Délégué à la protection des données personnelles et DPO interne

DPO interne

Le Règlement Général de Protection des Données (RGPD) permet aux responsables de traitement de désigner un Délégué à la protection des données (ou DPO, pour Data Protection Officer) externe, là où l’ancienne loi Informatique et Libertés ne donnait la possibilité de désigner un CIL externe qu’en présence de moins de cinquante salariés ayant accès aux données. Cette nouvelle liberté est une réelle avancée, le chef d’entreprise étant le mieux placé pour savoir qu’elle est la formule qui correspond le mieux à son entreprise et à son contexte.

LE DPO INTERNE CONNAÎT L’ENTREPRISE SUR LE BOUT DES DOIGTS

Le DPO interne est connu de tous et connaît l’entreprise sur le bout des doigts : il est mieux à même de découvrir l’existence d’un projet impliquant des données personnelles au détour d’une conversation anodine devant la machine à café ou dans le compte-rendu d’une réunion. Grâce à sa présence continuelle, sa réactivité peut s’avérer capitale en cas de contrôle de la Cnil ou de violation de données.

Bien sûr un DPO interne peut avoir été récemment embauché et découvrir l’entreprise et son environnement. Le DPO interne n’est pas forcément à temps plein sur sa fonction. L’article 38-6 du RGPD indique qu’il peut exécuter d’autres missions.

En revanche, le responsable du traitement doit veiller à ce que celles-ci n’entraînent pas de conflit d’intérêts (le DPO ne peut pas définir les finalités et les moyens des traitements). Dans ses lignes directrices sur le DPO (3) (WP243, version révisée du 5 avril 2017), le CEPD (Comité Européen de la Protection des Données) exclut ainsi — de manière non exhaustive — les fonctions de directeur général, directeur opérationnel, directeur financier, responsable du département marketing, responsable du service informatique. Pour sa part, le DPO externe, qui passe moins de temps dans les murs (l’estimation la plus fréquente est de moins de dix jours par an), n’a connaissance que de ce qui lui est présenté – à moins qu’il ne se lance dans des audits qui peuvent être ressentis comme intrusifs par le personnel.

Cependant le prestataire, qui porte un regard neuf sur l’entreprise et ses pratiques, peut avoir plus de facilité que le DPO interne pour soulever les questions les plus délicates et pour formuler des constats sans fards (effet « psychiatre » : on le paye relativement cher… donc on l’écoute). Il sert aussi souvent de « confident » et recueille des témoignages dont des salariés n’osent pas faire état auprès de leur hiérarchie. Et si le prestataire agit pour plusieurs responsables de traitement du même secteur d’activité, il peut faire bénéficier ses clients d’une forme de benchmarking (sans bien sûr rien révéler de ses autres missions).

Si la fonction du DPO est confiée à un prestataire personne morale, il est essentiel que chaque membre de ce sous-traitant impliqué dans la prestation remplisse toutes les exigences applicables de la section 4 du RGPD (concernant, par exemple, l’absence de conflit d’intérêts). En revanche, les compétences de chaque personne peuvent être combinées afin qu’une équipe puisse servir un client. Dans un souci de clarté, il est recommandé de connaître la répartition claire des missions au sein de l’équipe du DPO externe et d’identifier l’individu qui sera le contact principal. Il serait généralement utile de préciser ce principe dans le contrat de service (le contenu de celui-ci fera l’objet d’un futur article).

Les inconvénients d’un DPO interne

Le DPO, s’il est désigné en interne, constituerait alors une sorte de salarié autonome : n’est-ce pas ici la création d’une parfaite antithèse d’un point de vue social ou, à tout le moins, d’un collaborateur sui generis ?

Si certaines situations similaires existent déjà, à l’instar de l’exercice d’un mandat prud’homal ou de fonctions syndicales, il n’en reste pas moins que le règlement de l’éventuelle porosité entre les deux sphères d’activité du salarié est relativement bien traité par les textes : tel n’est pas le cas ou du moins pas encore pour le statut de DPO, ce dernier n’étant en outre a priori pas considéré comme un salarié protégé au sens du droit social.

Cette contradiction évidente entre l’étendue des missions et le statut qu’elle requiert soulève plusieurs interrogations qui ne sont à ce jour pas tranchées et qui ne le seront probablement pas avant que la Haute Juridiction ne se prononce à leur égard.

Quelle sera l’étendue du pouvoir de direction et de sanction de l’employeur si l’exécution défectueuse des missions du DPO a des conséquences importantes sur la marche générale de l’entreprise ? Peut-on d’ailleurs parler d’ « exécution défectueuse » comme cela serait le cas pour des obligations contractuelles ? Quid d’une intention de nuire avérée du DPO ? L’impossibilité a priori totale de pénaliser le responsable du traitement sera-t-elle absolue ?

Qu’en est-il également de la charge de travail générée le cas échéant par les missions relevant du statut DPO ? Les éventuelles heures de dépassement seront-elles considérées comme des heures supplémentaires, alors même que ces dernières n’ont nécessairement pas pu être effectuées à la demande de l’employeur ?
Le droit prétorien relatif au contentieux des heures supplémentaires aura-t-il vocation à s’appliquer en pareil cas ?

D’un point de vue relationnel, que se passera-t-il si le DPO, n’ayant pas été préalablement consulté avant la mise en œuvre d’un traitement portant sur des données personnelles, émet en toute indépendance un avis négatif auprès de la Direction ? Peut-on objectivement affirmer que sa prise de position n’aura aucun effet sur l’exercice de ses fonctions salariales classiques ?
Si les textes semblent dresser une frontière ferme et imperméable entre la sphère « salarié » et la sphère « DPO », la réalité est parfois toute autre et il y a fort à parier que les relations de travail seront impactées malgré les précautions et recommandations prises par le RGPD.

Le coût élevé d’un DPO interne

Le salarié aura besoin d’un temps de formation pour acquérir les connaissances nécessaires à la nouvelle mission que l’on vient de lui confier.

En effet, les coûts d’un DPD / DPO interne sont difficilement chiffrables, puisque le poste se cumule aux missions actuelles du salarié, la plupart du temps sans augmentation significative du salaire. Enfin, le dernier point de vigilance à avoir quand on désigne un DPD / DPO interne est le risque de conflit d’intérêt. En effet, le délégué à la protection des données doit être neutre et indépendant, à aucun moment il ne peut être juge et partie. C’est souvent pour cette raison que le choix de l’externalisation du poste de DPD / DPO est privilégié.

Comment trouver un Data Protection Officer ou DPO ?

En vertu de l’article 37 du règlement général sur la protection des données, le Data Protection Officer « est désigné sur la base de ses qualités professionnelles et,  en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Il n’existe pas encore de diplôme de DPO. C’est un métier nouveau. Le choix du DPO doit cependant se baser sur plusieurs critères objectifs. Un DPO compétent est une personne qui dispose :

  • D’une forte culture juridique, et en particulier d’une parfaite connaissance du droit relatif à la protection des données personnelles.
  • De très bonnes connaissances en informatique et en droit de l’informatique – en particulier en cyber-sécurité.

Si certains DPO ont une formation d’ingénieur ou d’informaticien, la plupart des Data Protection Officer ont une formation juridique. Au-delà des compétences, le choix du DPO doit se faire également sur des critères éthiques. L’intégrité professionnelle est une qualité essentielle pour un DPO. Ce professionnel est soumis à des obligations de confidentialité et doit être extérieur à toutes situations de conflits d’intérêts.

Quel est le risque de sanction en l’absence de nomination d’un DPO ?

Conformément aux dispositions de l’article 83 du RGPD, les entités ayant l’obligation de nommer un Data Protection Officer et ne respectant pas une telle obligation risquent de se voir infliger des amendes administratives par les autorités de contrôle compétentes (la Commission Nationale de l’Informatique et des Libertés – CNIL – en France par exemple).

Pour cette violation spécifique (on parle ici uniquement de l’absence de nomination), l’amende maximale encourue est de 10 000 000 d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent. La somme la plus élevée des deux montants est retenue comme étant la somme maximale de l’amende administrative pouvant être prononcée à l’encontre de l’entité fautive.

Autres articles :

Formulaire de contact :

[contact-form-7 id=”263″ title=”Formulaire de contact 1″]

Laisser un commentaire