L'association AFCDP, qui regroupe et représente les DPO, publie une charte de déontologie afin de promouvoir une culture de l'éthique et d'assurer un développement serein de la profession, librement accessible sur le site Web de l'association.

Les Délégués à la protection des données (souvent appelés DPO, pour Data Protection Officer), jouent un rôle important en tant que conseillers des responsables de traitements ou des sous-traitants, afin de veiller que les règles édictées par le Règlement Général sur la Protection des Données (RGPD) sont respectées. C'est dans cet esprit que l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) a conçu la charte de déontologie des Délégués à la Protection des Données (DPD), afin de promouvoir une culture de l'éthique parmi ces professionnels désignés auprès de la CNIL au titre du respect des libertés et des droits fondamentaux des personnes concernées.

Les délégués à la protection des données créent de la valeur : ils aident différents types d'organisations, publiques ou privées, à atteindre leurs objectifs stratégiques tout en protégeant leurs actifs immatériels et en veillant à la conformité des actions et processus avec la règlementation en vigueur sur la protection des données personnelles.

Par conséquent, il est nécessaire et pertinent que la profession se dote d'une charte de déontologie, pour entretenir la confiance des organismes concernés envers ces professionnels et pour garantir la confidentialité, la qualité et le caractère intègre de leurs démarches et de leurs conseils.

Pour Patrick Blum, CIL-RSSI de l'Essec et Vice-président de l'AFCDP en charge de la commission métier, "cette charte répond au souhait des délégués à la protection des données de renforcer leur reconnaissance par une professionnalisation de leur métier. C'est un moyen formaliser les bonnes pratiques, de les harmoniser au sein de la profession, et de les 'défendre' auprès des employeurs".

Le délégué à la protection des données contribue à la réduction des risques qui pèse sur le responsable de traitement : la charte est donc également bénéfique aux responsables de traitements et aux sous-traitants, en ce qu'elle leur permet de savoir ce qu'ils peuvent attendre de leurs relations avec les professionnels, mais aussi du concours qu'ils doivent leur apporter afin de participer du succès de leur fonction et de leurs missions. Par la signature de cette charte, le délégué à la protection des données prend des engagements forts. Mais ceux-ci s'appuient nécessairement sur le soutien du responsable de traitement ou du sous-traitant. C'est pourquoi cette charte doit également être signée par ces derniers.

"Nous avons entamé nos premières réflexions il y a déjà plusieurs années. Cette charte est le fruit du travail d'un groupe de membres passionnés. Nous avons de plus bénéficié de remarques très constructives de la part de la CNIL, qui ont été intégrées, ce qui donne de la valeur à notre démarche", déclare Paul-Olivier Gibert, président de l'association des DPO.

En signant le document, le délégué à la protection des données s'engage, par exemple, à n'accepter une désignation uniquement s'il se juge compétent pour le faire, ce qui signifie qu'il dispose des connaissances et des ressources nécessaires afin d'exercer la fonction dans les meilleures conditions possibles. Il s'engage également à "nouer des contacts avec leurs confrères pour favoriser les échanges d'expériences et la mise en commun des meilleures pratiques et à s'investir dans la transmission de leur expertise auprès de stagiaires ou apprentis qu'ils pourraient accompagner".

Concernant la relation entre le délégué à la protection des données et le responsable de traitement/sous-traitant, la charte indique qu'elle est fondée "sur la confiance et la franchise et exige que la démarche du professionnel soit intègre, honnête, fidèle et diligente".

La charte prévoit également la fin de mission : "le responsable de traitement/sous-traitant veille à ce que le DPO interne poursuive une carrière normale au sein de l'organisme une fois sa mission terminée".

La charte concerne également les DPD externes (le RGPD donnant la possibilité aux responsables de traitement et aux sous-traitants de les désigner dans le cadre d'un contrat de service). Ainsi, elle traite de l'absence et prévention de conflits d'intérêts. "J'incite les chefs d'entreprise qui souhaitent me désigner en tant que leur DPD externe à signer la charte. La facilité avec laquelle ils l'envisagent est pour moi un indicateur de la qualité des conditions d'exercice de ma mission auprès d'eux", indique Christophe Champoussin, administrateur de l'AFCDP et consultant informatique et libertés.

En modifiant les principes régissant les traitements des données à caractère personnel dans une logique d'approche par les risques, le RGPD introduit de nouvelles exigences de conformité et des enjeux de responsabilité. Pour Laurent Caron, administrateur de l'AFCDP et avocat à la Cour, "dans un monde d'innovations, la déontologie et l'éthique prennent une nouvelle importance aux côtés des mécanismes habituels de la conformité. La charte de déontologie de l'AFCDP marque l'adhésion de l'ensemble des parties prenantes à ces nouveaux enjeux, aux côtés des délégués à la protection des données".

Albine Vincent, responsable du service des délégués à la protection des données à la CNIL, indique que "la Charte de déontologie réalisée par l'AFCDP est particulièrement emblématique de la professionnalisation des acteurs du monde de la protection des données personnelles que sont les délégués. Tous les outils permettant de les aider dans leur quotidien sont les bienvenus". Signalons que depuis le 27 mars la commission a mis en ligne sur son site Web le téléservice permettant de désigner un délégué à la protection des données.