Si vous côtoyez la civilisation humaine depuis le 25 mai 2018, vous n’êtes pas sans savoir que le Règlement général sur la protection des données (RGPD) est entré en vigueur et a provoqué un vent de panique pour certaines entreprises, cette panique a obligé, entre autres, de créer un DPO au sein des entreprises.
Si vous découvrez l’existence du RGPD dans cet article, bienvenue parmi nous !
Bref, ce règlement a pas mal chamboulé l’organisation des entreprises concernant la collecte et le traitement de données à caractère personnel. À ce stade de l’article, si vous ne savez toujours pas de quoi je parle, (re)plongez-vous dans l’un de nos anciens contenus pour savoir précisément de quoi il en retourne.
Bon, avant de faire cette (courte) parenthèse, je disais que le règlement a donné lieu à la création d’un nouvel acteur : le délégué à la protection des données. Son rôle a été brièvement expliqué dans un minuscule paragraphe d’un précédent article, mais sans entrer dans les détails. Normalement, vous me voyez venir : cet article sera consacré au délégué à la protection des données.
Si le sujet de l’article ne vous procure aucun émoustillement intérieur (du moins, j’ose espérer), c’est un rite de passage auquel vous ne pouvez échapper. Le délégué à la protection des données joue un rôle vital dans la mise en conformité avec le RGPD.
Commençons par le commencement
Si vous voulez enrichir votre culture personnelle avec une information inutile, sachez que l’expression « délégué à la protection des données » est mentionnée exactement 27 fois dans le RGPD. À aucun moment le législateur n’a jugé utile de la définir à l’article 4 du règlement. Peut-être est-ce une volonté d’éviter de restreindre le rôle du DPO dans l’entreprise ?
Et j’ai oublié un détail important : le « délégué à la protection des données » est très souvent abrégé… DPO (pour « Data Protection Officer« ). De nombreux sites, y compris celui la CNIL, ont fait le choix de garder l’acronyme anglais. Vous vous doutez bien que l’acronyme français aurait donné lieu à des jeux de mots plutôt cocasses.
Bref, le délégué à la protection des données prend les entreprises par la main (si tant est qu’elles en aient une…) pour les accompagner dans leur mise en conformité avec le RGPD. Il prodigue des conseils et fait part de sa grande sagesse pour que vous puissiez accueillir la CNIL avec du thé et des biscuits en cas de contrôle.
Quel est le rôle exact du DPO et quelles sont ses fonctions ?
Le délégué à la protection des données collabore étroitement avec le responsable de traitement et le sous-traitant pour répondre à leurs questions, leur donner des conseils ou leur indiquer les étapes nécessaires à la mise en conformité.
Chaque organisme est différent et n’a pas forcément les mêmes besoins. Par conséquent, le rôle et les missions du DPO seront différentes pour chacun. Néanmoins, le RGPD énonce quelques missions du délégué, sachant que la liste est loin d’être exhaustive :
- Le DPO informe et conseille toutes les personnes qui traitent des données personnelles au titre du RGPD ;
- Il contrôle la bonne application du RGPD par les organismes ;
- Le délégué à la protection des données dispense des conseils sur la réalisation d’analyses d’impact et vérifie leur exécution ;
- Il fait droit aux demandes des personnes (vous savez, le droit à l’oubli, à l’effacement, etc…) ;
- Il sert d’intermédiaire entre l’organisme et la CNIL, surtout si cette dernière prévoit une visite surprise…
Ces quelques missions n’ont l’air de rien, mais en réalité, il s’agit d’un travail colossal si l’entreprise part de zéro ! Le délégué à la protection des données peut passer des semaines, voire des mois entiers, à effectuer une cartographie des données, faire une priorisation des risques encourus et mettre en place des mesures techniques et organisationnelles. Et encore, toute cette phase est purement théorique. La mise en place effective des mesures et le déroulement du traitement peuvent prendre des années.
Bon, maintenant que je vous ai bien mis le moral dans les chaussettes, enchaînons avec la suite de l’article. Prenez un mouchoir, séchez vos larmes, et tenez bon !
Dans quels cas le DPO est obligatoire ?
Vous voulez une bonne nouvelle pour calmer vos larmes de crocodile ? La désignation d’un délégué à la protection des données est obligatoire uniquement dans certaines situations :
- Si vous travaillez pour une autorité ou organisme public. Que vous soyez une collectivité, un SPIC, un SPA ou un hôpital, vous devez absolument désigner d’un DPO. Seule la branche judiciaire est épargnée par cette obligation, pour des raisons obscures… ;
- Si les données que vous avez collectées exigent un suivi régulier et systématique à grande échelle des personnes. Pour faire simple, si vous brassez beaucoup de données personnelles, il est fort probable qu’un DPO soit obligatoire pour vous ;
- Si vous traitez à grande échelle des données relatives :
- À l’origine raciale ou ethnique d’une personne ;
- Aux opinions politiques d’une personne ;
- Aux convictions religieuses ou philosophiques d’une personne ;
- À l’appartenance syndicale d’une personne ;
- Au traitement de données génétiques ;
- Aux données biométriques d’une personne ;
- À la santé d’une personne ;
- À la vie ou l’orientation sexuelle d’une personne ;
- Aux condamnations pénales d’une personne.
À ce stade, vous devriez avoir perdu tout intérêt dans la lecture de cet article. Soit vous êtes visé par les conditions ci-dessus et vous êtes victime d’une nouvelle crise de larmes, soit vous n’étiez pas visé et vous avez lu toute cette partie pour rien.
Maintenant que j’ai retrouvé votre attention (du moins, je l’espère), j’ai une semi bonne nouvelle qui devrait réconforter les personnes visées par l’obligation de désigner un DPO…
Qui est concerné par l’obligation d’avoir un DPO ?
Le délégué à la protection des données n’est obligatoire que dans trois situations, mais les conditions sont suffisamment larges pour que de nombreux organismes soient visés. Par exemple, si vous traitez beaucoup de données personnelles dans le cadre de votre activité professionnelle, il est fortement probable que vous deviez désigner un DPO.
Les conditions énoncées par le RGPD sont tellement générales qu’il est impossible de connaître précisément les entreprises devant désigner un DPO. Tout sera laissé à l’appréciation souveraine de la CNIL, qui pourra vous sanctionner si vous n’avez pas eu le même raisonnement qu’elle. Par conséquent, cette subjectivité pourrait vous jouer des tours.
La CNIL a bien compris que certaines formulations du RGPD sont bien trop vagues. C’est pour cette raison qu’elle recommande fortement le recours à un DPO. Grâce à l’expertise de ce dernier dans le domaine du RGPD, il pourrait donner des conseils pertinents et vous guider dans votre mise en conformité.
Je peux désigner mon responsable de traitement comme DPO ?
Par faute de communication et de formation, certaines entreprises n’ont pas saisi l’importance et la complexité du RGPD. Certaines se sont seulement contentées de désigner un ancien CIL ou responsable de traitement en tant que délégué à la protection des données. En soi, ce n’est pas interdit… mais c’est une mauvaise idée.
À moins que votre responsable de traitement ait reçu une formation juridique précise sur l’application et l’interprétation du RGPD, ce n’est pas forcément la personne la plus appropriée pour effectuer votre mise en conformité avec le règlement.
Généralement, le responsable de traitement ne dispose pas d’une grande expertise concernant le texte officiel du RGPD. Il risque donc de commettre des erreurs dans la mise en conformité, ce qui vous vaudra sûrement une amende en cas de contrôle.
Pour éviter certains déboires, il est fortement recommandé de faire appel à un professionnel de la protection des données pour assurer votre mise en conformité.
À ce moment de l’article, vous devriez penser : « Mais comment choisir le DPO qui pourra me guider sur le droit chemin de la conformité ? ». Patience, chers lecteurs, tout vient à point à qui sait attendre…
Quel est le profil idéal du DPO ?
Beaucoup d’entreprises tombent dans le piège d’associer le RGPD à une loi relative à l’informatique, probablement parce qu’on leur a « vendu » le règlement comme une évolution de la loi Informatique et Libertés. De ce fait, nombreuses sont les annonces sur internet pour trouver un informaticien capable de mettre en conformité une entreprise.
En réalité, engager un informaticien est une grossière erreur, chers lecteurs ! Vous avez déjà tenté de lire le Règlement sur la protection des données ? Ce texte indigeste, sans couleur, sans image, long de 88 pages et écrit en taille de police 10 ? Seul un juriste est capable de lire, comprendre et interpréter tous les articles prévus par le règlement.
Si vous ne me croyez pas, c’est la CNIL qui le dit ! Dans sa fiche de conseil pour trouver le DPO idéal, elle indique que le délégué doit disposer d’une « expertise juridique et technique en matière de protection des données ».
Par conséquent, les entreprises qui choisissent un DPO uniquement spécialisé en informatique font un choix très discutable. En effet, le délégué à la protection des données n’utilise quasiment pas ses compétences en informatique, tandis que le juriste exerce constamment son expertise en se référant sans cesse au règlement.
Si vous n’êtes toujours pas convaincu par mes dires, prenons un exemple concret… Trouver le DPO idéal, c’est comme trouver son âme-sœur. À moins d’avoir des tendances autodestructrices (ça arrive), vous allez instinctivement choisir une personne compétente et qualifiée… pas le premier informaticien qui vous tombe sous le nez. Privilégiez donc un DPO répondant à tous les prérequis de la CNIL pour vous assurer une mise en conformité dans les meilleures conditions possibles. Une fois que vous aurez trouvé le DPO idéal, vous baignerez dans le bonheur !
Soit dit en passant, d’autres personnes ont eu l’idée de la métaphore DPO/âme-sœur avant moi. Il existe des pages web aux allures de site de rencontre… pour trouver le DPO de ses rêves ! Photos, âge, phrase d’accroche, références… tout y passe pour donner l’impression de trouver l’amour de sa vie.
Bref, pour résumer, choisissez un délégué à la protection des données ayant de solides connaissances juridiques. Depuis peu, il existe même des formations juridiques spécialisées dans le droit du numérique, dont certaines sont mêmes labellisées par l’ANSSI. Ces « cyber juristes » connaissent le RGPD sur le bout des doigts, donc ils sont largement prêts à relever le défi !
Mais je ne peux pas me permettre d’embaucher un DPO à plein temps !
N’ayez crainte, chers lecteurs ! Si vous ne pouvez pas vous permettre d’embaucher un DPO à plein temps, c’est peut-être mieux comme ça. En effet, la CNIL conseille de faire appel à un délégué externalisé pour s’occuper de la mise en conformité du RGPD. Cette solution présente de nombreux avantages :
- Le DPO n’est soumis à aucun lien hiérarchique. Il peut prendre toutes les mesures nécessaires concernant la mise en conformité, sans être influencé par quiconque ;
- Le DPO intervient uniquement quand vous en avez besoin ;
- Votre entreprise fait des économies en faisant appel à un DPO prestataire de manière ponctuelle ;
- Étant donné que le DPO est prestataire, la satisfaction de ses clients est primordiale. Il essaiera donc de prodiguer les meilleurs conseils possibles pour être certain que la mise en conformité est parfaite !
Bref, grâce à un DPO externe, tout le monde en ressort gagnant !
Comment trouver le bon DPO ?
Conseil : pas la peine d’éplucher l’annuaire pour chercher « délégué à la protection des données ». Au mieux, vous tomberez sur « décorateur », et au pire sur « dératiseur ».
Alors, comment faire ? Vous pouvez mener votre petite enquête sur internet, ce qui peut vous prendre beaucoup de temps. Ou alors, vous pouvez directement faire appel à Ziwit Consultancy Services pour vous guider dans les étapes à suivre pour assurer votre mise en conformité. Nous nous occuperons de désigner le DPO idéal pour vous !