Le Délégué à la Protection des Données (DPD) ou le Data Protection Officer (DPO) en anglais est une fonction créée et mise en place par le Règlement Général de la Protection des Données (RGPD).
DPO définition
Les données sont présentes en masse dans les entreprises. Ce qui peut poser des risques en matière de sécurité mais aussi de légalité. Pour aider les entreprises, un nouveau métier a le vent en poupe dans le secteur du numérique : le data protection officer (DPO).
Sa mission est la suivante : s’assurer que son employeur ou son client respecte la législation lorsqu’il utilise les données à des fins commerciales (mailing par exemple) mais aussi à des fins internes (logiciels RH). Son rôle est donc transversal, ce qui l’amène à travailler avec de nombreux départements : direction générale, marketing, développement ou encore RH. En cas de manquement à la loi, il est tenu d’alerter sa direction dans les plus brefs délais.
Son rôle est très polyvalent. En plus de connaissances en informatique et en cybersécurité, le data protection officer est tenu de posséder une grosse culture juridique, notamment en droit des nouvelles technologies de l’information et de la communication (NTIC). Aujourd’hui, des juristes spécialistes des NTIC, des informaticiens, des ingénieurs en cybersécurité peuvent exercer des fonctions de data protection officer au sein d’entreprises ou de cabinets de conseil.
Dans son 32e rapport d’activité, la CNIL présentait les trois catégories de Correspondant Informatique et Libertés (CIL) que ses agents avaient pu rencontrer à l’occasion des contrôles réalisés au cours de l’année 2010 : « […] des CIL compétents et investis dans leurs fonctions, des CIL qui accomplissent partiellement leurs missions faute de temps, de moyens ou de reconnaissance, et enfin, des CIL mis en place comme « paravent » dans le seul but de bénéficier d’un allègement des formalités ou d’un effet d’affichage. […] ». Le législateur européen a probablement eu le même raisonnement que notre autorité nationale lorsqu’il a institutionnalisé le DPO, tout en supprimant la corrélation qui prévalait entre la suppression de certaines formalités préalables et la désignation d’un acteur interne de la protection des données.
Peut-on volontairement désigner un DPO même si l’on ne remplit pas les critères définis par le RGPD ?
Il est tout à fait possible pour une organisation de faire volontairement appel aux services d’un Data Protection Officer, même lorsque celle-ci ne remplit pas les critères validés par le Règlement Général pour la Protection des Données. Le G29 encourage même cette démarche.
Les organismes qui ne sont pas soumis à l’obligation de nomination d’un Data Protection Officer et qui ne souhaitent pas en nommer un, peuvent toutefois avoir recours à du personnel ou bien des consultants extérieurs en charge de la protection des données à caractère personnel. Il sera alors important de veiller à ce qu’il n’existe aucune confusion possible quant à leurs tâches et leurs titres et que le responsable de traitement des données conserve bien ses prérogatives et les obligations lui incombant.
Les avantages d’un DPD / DPO externe
Le premier avantage d’un délégué à la protection des données externalisé est son indépendance. En tant que conseil auprès de l’organisme, le risque de conflit d’intérêt est levé. De part son expertise, il prend en charge la mission de DPD / DPO en apportant son expérience professionnelle acquise sur le terrain. Certains DPO externalisés peuvent également justifier leur expertise par l’obtention d’une certification, attestant de leurs compétences pour exercer dans le domaine de la protection des données.
Également, le DPD / DPO externalisé permet une maitrise du budget conformité RGPD, grâce à une relation contractuelle entre les deux parties. Enfin, en faisant appel à une agence spécialisée en protection des données, l’organisme s’assure d’une disponibilité immédiate (absence de formation), ainsi qu’une disponibilité à la carte en fonction des besoins, d’une année à l’autre. A noter, qu’il est également possible de mutualiser la fonction de DPD / DPO entre organismes appartenant à un même secteur d’activité.
Le Data Protection Officer est-il tenu par le secret professionnel ?
Conformément aux dispositions du RGPD, le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.
Lorsque vous décidez d’avoir recours aux services externalisés de Mon DPO externe, un engagement de confidentialité est en complément signé, vous garantissant ainsi la parfaite confidentialité des informations communiquées à votre DPO externe durant l’exécution de ses missions.
Les inconvénients d’un DPD / DPO externe
Il est souvent reproché à un DPD / DPO externalisé son coût horaire ou son taux journalier. L’autre inconvénient mis en avant, quand un organisme fait appel à un DPD / DPO externalisé, est le temps d’adaptation et la prise de connaissance de l’organisme. Il est inévitable qu’en tant que prestataire conseil, un DPD / DPO externe prenne un temps pour analyser l’existant et se familiariser avec l’environnement et les méthodes de travail de l’organisme.
DPO EXTERNE, COMMENT LE CHOISIR ?
Il revient au responsable de traitement de s’assurer que son DPO (qu’il soit interne ou externe) dispose bien des connaissances (aussi bien sur les aspects juridiques que sur les aspects techniques), du savoir-faire et du savoir-être (savoir résister aux pressions, savoir présenter une analyse à un comité de direction, savoir convaincre sans avoir besoin de brandir le risque de sanction, etc.) nécessaires, notamment pour être perçu par toutes les directions comme un interlocuteur pertinent.
Il doit aussi disposer d’un excellent relationnel pour lui permettre d’aller au contact des personnes pour interagir efficacement et chercher les bonnes informations. Compte tenu des enjeux et de l’augmentation de leur magnitude à la suite de l’entrée en application du RGPD (avec, notamment, l’explosion du montant des possibles sanctions), il convient de ne pas se tromper.
Concernant la sélection de consultants RGPD, voici quelques suggestions de points sur lesquels un responsable de traitement peut porter son attention afin d’éviter de confier sa conformité à un intervenant qui a suivi une formation de quelques jours sur le sujet et manque cruellement d’expérience et de vécu, il convient d’obtenir des éléments factuels permettant de juger de la réelle maturité du consultant : depuis combien de temps travaille-t-il dans le domaine ? A-t-il suivi des formations spécifiques en ce domaine – et si oui, de quel niveau et de quelle durée (accepterait-on de se faire opérer par un chirurgien ayant suivi trois jours de formation ?) ? À défaut d’une formation longue, quel est son « vécu » ?
A-t-il déjà soutenu des clients à l’occasion de contrôles de la Cnil ? A-t-il déjà été amené à soumettre une analyse d’impact à l’autorité de contrôle ? Les premiers enseignements de la grande étude sur les DPO menée en mars 2019 par l’Afpa à la demande du Ministère du Travail, avec la participation de l’AFCDP et le soutien de la Cnil (8), montre en effet que 40,1 % des DPO externes possédaient une expérience inférieure à deux ans (mécaniquement, avec le temps, ce taux va augmenter).
Plus problématique, 24,6 % d’entre eux indiquaient que plusieurs points importants du RGPD leur échappaient encore, voire qu’ils étaient « encore très loin de maîtriser tous les textes ». Au-delà du diplôme (voir la liste des formations longues préparant au métier de DPO (9)) ou de la certification (10) (qui se limite à la mesure du « que sais-je » mais ne couvre par le « que suis-je » et le « que sais-je faire ») présenté par le candidat, il est donc indispensable d’exiger des références et de prendre contact avec elles.
Comment trouver un DPO externe ? L’AFCDP met gracieusement à disposition une Place de marché RGPD (11), qui permet aux organismes de formuler leurs besoins et de recevoir des offres. Il est également possible de consulter la liste des organismes ayant désigné un DPO, publiée en open data par la Cnil (12) (et qui comporte des coordonnées de DPO externes), ainsi que la liste des signataires de la charte de déontologie du DPO (13).
Certains DPO externes font de la signature de ce document un élément majeur de leur relation avec leur leur client : « J’incite les chefs d’entreprise qui souhaitent me désigner en tant que leur DPD externe à signer la charte. La facilité avec laquelle ils l’envisagent est pour moi un indicateur de la qualité des conditions d’exercice de ma mission auprès d’eux » indique Christophe Champoussin, Administrateur de l’AFCDP et consultant Informatique et Libertés. À noter qu’il est exigé des signataires de souscrire à une assurance responsabilité civile professionnelle conçue spécifiquement pour une activité de DPO (14).
Lors du premier contact, une série de questions complémentaires relatives au fonctionnement du DPO externe choisi permet d’essayer de vérifier l’adéquation avec les besoins : de quelle façon compte-t-il maintenir son indépendance tout en assurant l’efficacité de ses actions ? Quelles sont ses exigences concernant les ressources que l’organisme doit lui mettre à disposition ? Dans quelle mesure est-il familier avec le secteur d’activité ou le type d’organisme ? De quelle façon et à quelle fréquence compte-t-il interagir avec la direction de l’organisme ? Quelle sera sa réactivité en cas d’imprévu (et comment son cabinet peut-il y faire face) ? Comment assure-t-il sa propre veille et formation continue ?
Quel est le risque de sanction en l’absence de nomination d’un DPO ?
Conformément aux dispositions de l’article 83 du RGPD, les entités ayant l’obligation de nommer un Data Protection Officer et ne respectant pas une telle obligation risquent de se voir infliger des amendes administratives par les autorités de contrôle compétentes (la Commission Nationale de l’Informatique et des Libertés – CNIL – en France par exemple).
Pour cette violation spécifique (on parle ici uniquement de l’absence de nomination), l’amende maximale encourue est de 10 000 000 d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent. La somme la plus élevée des deux montants est retenue comme étant la somme maximale de l’amende administrative pouvant être prononcée à l’encontre de l’entité fautive.