Question de : Mme Julie Ozenne
Essonne (9^e circonscription) - Écologiste et Social

Mme Julie Ozenne attire l'attention de M. le garde des sceaux, ministre de la justice, sur l'encadrement juridique des délégués à la protection des données (DPO) externalisés et donc non-salariés de l'entreprise ou de l'organisation pour laquelle ils interviennent et les risques d'atteinte au périmètre du droit que soulève l'exercice de leurs missions. Un arrêt de la Cour de cassation du 19 mars 2025 (Civ. 1re, 19 mars 2025, n° 23 19.915) a admis l'accès dérogatoire au barreau d'une juriste, désignée par son employeur en qualité de déléguée à la protection des données auprès de la CNIL, considérant que l'activité consistant, pour le juriste, à assurer la mise en œuvre des exigences de conformité, notamment en ce qui concerne le règlement général de protection des données, peut relever du traitement de problèmes juridiques et constituer un service juridique spécialisé au sens de l'article 98, 3° du décret n° 91-1197 du 27 novembre 1991 organisant la profession d'avocat. Si cette décision laisse entendre que les missions d'un DPO peuvent, dans certains cas, s'apparenter à un exercice du droit, elle ne clarifie pas la frontière entre information juridique et consultation juridique au sens des articles 54 et suivants de la loi du 31 décembre 1971, qui réservent l'activité de consultation juridique et de rédaction d'actes sous seing privé pour autrui exercée à titre habituel et rémunéré aux seuls professionnels du droit. Or les missions définies à l'article 39 du RGPD, à savoir l'information et le conseil sur les obligations légales, le contrôle du respect du droit applicable, l'avis sur les analyses d'impact, la participation à l'évolution de contrats et la sensibilisation des équipes impliquent nécessairement une interprétation et une application spécifique du droit de la protection des données et donnent lieu en pratique à la réalisation de prestations individualisées de consultation juridiques et de rédaction d'actes en matière juridique (rédaction et révision de contrats, etc.) destinées à analyser la situation de l'entreprise ou de l'organisation concernée et à orienter ses actions de mise en conformité avec la règlementation applicable en matière de traitements de données personnelles. La CNIL souligne d'ailleurs que les DPO doivent être désignés en raison de leurs « connaissances spécialisées du droit et des pratiques en matière de protection des données », tout en rappelant que seuls 28 % d'entre eux disposent d'un profil juridique et 43 % sont issus de l'administratif, de la finance, de la conformité, de l'audit, etc. (et environ 29 % ont un profil informatique). La certification des compétences des DPO, délivrée par des organismes agréés par la CNIL, est accessible sur la seule base d'une expérience professionnelle de deux ans, sans exigence de formation juridique préalable. Ainsi, un nombre croissant de DPO externes délivrent des conseils personnalisés portant sur l'application du droit, sans être soumis aux garanties attachées aux professions réglementées. Une situation de fait s'est installée, sans que le législateur n'ait précisé si ces consultations relèvent de l'article 54 de la loi du 31 décembre 1971. Dans ce contexte, elle souhaite connaître les intentions du Gouvernement quant à l'encadrement de la possibilité, donnée aux consultants DPO externes, de délivrer des consultations juridiques, afin de garantir la sécurité juridique des entreprises et des administrations, ainsi que le respect du périmètre du droit.