La mise en conformité RGPD va bientôt souffler sa première bougie, une belle occasion d’établir un premier bilan pour se préparer à la phase répressive que vient d’annoncer la CNIL.

Un sujet récurrent qui mérite quelques éclairages : doit-on internaliser ou externaliser son DPO ?

Ce que l’on doit retenir pour savoir qui est concerné par la mise en conformité RGPD ?

A y regarder de plus près, rares sont les organisations (responsables de traitement dans le jargon RGPD) qui peuvent échapper à une mise en conformité RGPD en bonne et due forme. Difficile d’éviter la désignation d’un DPO ou de se détourner de la mise en place d’un registre de traitement. En effet, toutes les organisations européennes publiques et les entités privées de plus de 250 personnes doivent d’office s’y soumettre. A cela, s’ajoutent les entreprises susceptibles de traiter des données personnelles sensibles ou en volume (ou leurs sous-traitants). La sensibilité des données et la volumétrie étant difficile à qualifier au sens RGPD, le risque de ne pas s’y conformer n’est pas moindre. Enfin, l’ensemble des fournisseurs d’un organisation doivent être conformes RGPD pour lui permettre de le devenir à son tour. Ne pas se conformer représente un risque réel de perdre des clients. La sanction de 4% du Chiffre d’Affaires annuel ou le déficit d’image ne sont pas non plus à prendre à la légère.

Comment la CNIL définit le DPO (Data Privacy Officer) ou DPD (Délégué à la Protection des Données)

Il est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.

Pour garantir l’effectivité de ses missions, le délégué :

  • doit disposer de qualités professionnelles et de connaissances spécifiques,
  • doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.

Avec l’entrée en vigueur du RGPD, l’exigence légale de désignation officielle d’un DPO concerne un grand nombre d’entreprises et de collectivités : les organismes et autorités publiques, les entreprises privées de délégation de service public, les entreprises en capacité de traquer à grande échelle le comportement, les usages ou le déplacement du grand public, les entreprises qui manipulent des données sensibles à large échelle…

En complément, les sous-traitants des entreprises (ou collectivités) concernées vont eux-aussi devoir nommer un DPO s’ils sont en capacité d’accéder à des données personnelles non-anonymisées : SSII-ESN, agence web, éditeur d’application mobile, éditeur de logiciel, SaaS, cloud et hébergeur, plateforme de SAV ou de relation client délocalisée…

Outre l’obligation légale de désigner un DPO, la CNIL recommande plus largement (dans son guide officiel pour les sous-traitants) à tous les prestataires qui cumulent l’accès aux data de leurs clients de nommer un DPO.

Il peut-être un salarié en interne ou DPO externalisé (personne physique ou morale).

Désigner un DPO externalisé : comment s’y retrouver ?

Plusieurs constats faits sur le terrain au cours des derniers mois permettent de mieux comprendre ce phénomène.

Un DPO externalisé comme remède à la désignation historique d’un DPO junior

Le métier de DPO est une profession réglementée. L’article 37 de la législation RGPD oblige à désigner le DPO sur la base de sa capacité technique et juridique à conformer les entreprises aux normes RGPD. Le DPO doit être un professionnel averti aussi bien en management de la sécurité de l’information (ex. : connaissance de l’iso 27001 et l’iso 27018) qu’en droit des NTIC. Il doit assurer une veille pour intégrer les évolutions régulières de la loi (souvent hebdomadaires).

L’obligation pour certaines organisations de déclarer auprès de la CNIL un DPO à compter du 25 mai 2018 a souvent donné lieu à des désignations internes d’urgence ne tenant pas toujours compte de ces critères.

Ces organisations ont depuis pris conscience qu’un contrôle de la CNIL qui mettrait en avant l’insuffisance du DPO pourrait donner lieu à sanction et ont préféré recourir à des experts externes pour une mise en conformité sécurisée rapide.

Un DPO externalisé pour disposer immédiatement d’un profil compétent

Comme vu plus haut, le DPO doit disposer de connaissances techniques (data, SI, sécurité), juridiques (droit commercial, NIC) et métier (l’application du RGPD dans le domaine de la santé est très différent que dans celui du transport). Il bénéficie de préférence d’une formation spécifique RGPD assurée par des organismes certifiants désignés par la CNIL (Securitas, CNAM,..) qui peuvent courir dans certains cas sur plusieurs mois. La professionnalisation en interne d’un tel profil se révèle long, coûteux et difficilement compatibles avec les exigences du RGPD qui imposent une disponibilité immédiate d’un DPO aguerri.

Un DPO externalisé pour éviter le conflit d’intérêt

Le Délégué ne peut occuper un poste qui le conduirait à déterminer les finalités et les moyens d’un fichier : en d’autres termes, il ne peut pas être « juge et partie ».

Bon nombre de fonctions sont susceptibles de donner lieu à un conflit d’intérêts : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. On notera que la direction juridique ou un cabinet d’avocats assurant la défense de l’organisation ne peut être désigné en qualité de DPO.

A noter : un conflit d’intérêt peut également exister si un délégué sur la base d’un contrat de service représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données à caractère personnel.

Un DPO externalisé pour contourner les exigences du DPO salarié

Le DPO relève d’un statut spécifique, à la fois proche de la Direction sans pour autant présenter de conflit d’intérêt, salarié de la structure tout en étant indépendant et « intouchable » du moins pour les missions relevant de son statut de DPO.

On retrouve en effet plusieurs principes posés par l’Article 38 du RGPD, parmi lesquels :

  • l’octroi des ressources nécessaires pour exercer ses missions
  • l’indépendance et l’absence d’instructions en ce qui concerne l’exercice de ses missions
  • l’impossibilité d’être relevé de ses fonctions ou pénalisé par le responsable du traitement (l’organisation)

Même si le DPO ne bénéficie pas du statut de salarié protégé au sens du droit social, son licenciement (tout comme toute mesure le concernant) doit être rigoureusement encadré afin d’éviter tout contentieux. On notera en particulier que le RGPD précise qu’un DPO ne peut être relevé de ses fonctions ni être pénalisé par son entreprise du fait de ses attributions.

De même, le CEPD (Contrôleur européen de la protection des données) considère que l’indépendance du DPO est respectée notamment par l’interdiction faite au responsable du traitement (l’organisation) ou au sous-traitant de le licencier ou de le sanctionner pour l’exercice de ses missions. Ainsi, souligne le CEPD, il est interdit, à titre d’exemple, de retarder ou de refuser l’octroi d’une promotion ou de refuser le versement d’une prime à un DPO alors que d’autres salariés y ont droit.

L’impartialité et l’indépendance d’un DPO externalisé permettent ici de gommer toute ambiguïté quant à l’application rigoureuse de l’Article 38.

Top-Rgpd est un cabinet Conseil pluridisciplinaire (Avocat NTIC, DPO externalisés certifiés CNAM, experts IT+15 ans) spécialisé dans le RGPD. Nous proposons des prestations d’audit RGPD, d’accompagnement à la mise en conformité RGPD, de DPO externalisés et de formation de sensibilisation RGPD.