DossierRGPD: tout savoir sur le DPO, délégué à la protection des données
Le 25 mai 2018, adieu CIL, bonjour DPO! Du moins pour les entreprises qui avaient déjà créé cette fonction. Pour les autres, plusieurs questions se posent: devons-nous nommer un DPO? Est-il possible de l'externaliser? Voici les réponses!
Sommaire
- Dans quels cas nommer un DPO?
- Le DPO, cheville ouvrière de la conformité au RGPD
- Les missions du DPO
- Créer le registre des traitements
- Les qualités indispensables du DPO
- Un niveau d'expertise à adapter selon les traitements de données effectués
- Quelles formations pour devenir DPO?
- Combien coûte le recours à un DPO?
- Quel coût pour un DPO externalisé?
- Comment trouver son DPO externe ou mutualisé?
- Fédérations professionnelles, cabinets d'avocats, sociétés de conseil... Les pistes à explorer
1 Dans quels cas nommer un DPO?
Une des obligations introduites par le Règlement européen de protection des données (RGPD) adopté en mai 2016 est l'obligation, pour certaines structures, de nommer un data protection officer (DPO), en français délégué à la protection des données. Cette fonction remplacera à compter de mai 2018 celle de correspondant informatique et libertés (CIL), créée en 2004 avec la loi Informatique et libertés.
La désignation du DPO sera obligatoire dans trois cas:
- si le traitement des données personnelles est effectué par une autorité ou un organisme publics;
- si les activités de base de l'organisme consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées (profilage, ciblage publicitaire...);
- ou encore lorsque l'activité implique le traitement à grande échelle de données sensibles ou relatives aux condamnations et infractions spéciales.
Les banques, assurances, instituts de sondages, par exemple, ne pourront s'en dispenser.
2 Le DPO, cheville ouvrière de la conformité au RGPD
Les organisations qui ne sont pas concernées par ces cas, quant à elles, sont libres de ne pas nommer de délégué. Cependant, le nouveau règlement met fin à l'obligation de déclaration prévue par la loi Informatiques et libertés. Désormais, les entreprises doivent pouvoir apporter à tout moment la preuve qu'elles protègent les données personnelles. C'est pourquoi les experts recommandent la désignation d'un DPO, même pour les structures qui n'y sont pas contraintes, si elles collectent des données personnelles. "Pour ma part, je suis persuadée que le DPO est indispensable pour mener à bien la conformité exigée par le RGPD", avertit Hélène Legras, vice-présidente de l'Association des data protection officers.
Chaque organisme pourra enregistrer son DPO auprès de la Cnil à partir du 25 mai 2018. La fonction pourra être internalisée, mutualisée avec plusieurs structures, ou encore externalisée auprès d'un cabinet d'avocat ou d'une entreprise spécialisée.
Pour aller plus loin sur le RGPD, consultez notre dossier "RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données"
L'obligation de nommer un délégué à la protection des données concerne de nombreuses entreprises. Et même pour celles qui n'y sont pas contraintes, cette fonction se révélera vite très utile pour accompagner le chantier de mise en conformité avec le RGPD!
3 Les missions du DPO
Chef d'orchestre de la gestion des données, le DPO a une mission d'information, de conseil et d'audit. Isabelle Dubois, qui exerce en Suisse en tant que DPO externe avec sa structure Ad Hoc Résolution, estime que "la fonction est relativement élastique entre le minimum légal et l'ampleur que l'on peut donner à la mission selon les ressources de l'entreprise et le volume de traitements".
Pour la Cnil, le rôle du délégué est tout d'abord d'informer et conseiller le responsable du traitement ou le sous-traitant, ainsi que les équipes, et de contrôler le respect du RGPD. Il lui revient également de conseiller l'organisme sur la réalisation d'une analyse d'impact relative à la protection des données et d'en vérifier l'exécution. Enfin, il coopère avec l'autorité de contrôle, dont il est le point de contact: c'est lui qui devra informer les autorités en cas de faille de sécurité.
4 Créer le registre des traitements
Le RGPD impose également aux organisations de tenir un registre des traitements de données personnelles: "Le registre est rattaché au responsable de traitement, mais dans la pratique c'est le DPO qui le tient à jour", souligne Richard Bertrand, directeur d'Actecil, société spécialisée dans le conseil en protection des données personnelles.
Qu'il soit salarié ou non, "il doit être en mesure d'exercer ses fonctions et missions en toute indépendance", insiste Hélène Legras : le DPO fera ses rapports au niveau le plus élevé de la direction, qu'il alertera en cas de manquement au règlement. Il doit donc avoir une certaine neutralité et ne pas être juge et partie.
C'est pourquoi la Cnil précise qu'en interne, il n'est pas possible de nommer à cette fonction le DSI ou le responsable RH, par exemple.
Dans les grands groupes, ce sont généralement les CIL déjà en place qui seront amenés à évoluer vers cette fonction. Enfin, le DPO ayant accès à des données qui peuvent être sensibles, il a une obligation de confidentialité. De par le caractère sensible et stratégique de sa mission, le règlement européen prévoit que "le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions" (art. 38.3). Par ailleurs, il n'est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.
Hélène Legras souligne que "DPO signifie data protection officer: l'expression parle de "data" sans préciser "personnelles". On peut donc penser que le DPO aura en charge la protection de toutes les données de l'entreprise, qu'elles soient personnelles, industrielles ou intellectuelles." Un allié de plus pour le Daf dans la gestion des risques, en somme!
En quoi consiste la fonction de DPO? Audit, réalisation des analyses d'impact, conseil, diffusion de l'information, communication interne et externe... Véritable chez d'orchestre de la mise en conformité avec le RGPD, il est le rouage indispensable dans la mise en oeuvre des traitements de données.
5 Les qualités indispensables du DPO
Les qualités d'un bon DPO? "Un tiers d'informatique, un tiers de juridique, un tiers de capacités organisationnelles... Et un quatrième tiers de bon sens!", sourit Alain Bensoussan, avocat spécialisé en droit du numérique et des technologies avancées, fondateur du cabinet éponyme et également président de l'Association des data protection officers. Car le délégué va passer son temps à arbitrer... Il n'y a pas un profil type. Issue du domaine technique ou juridique, par exemple, la personne qui a vocation à devenir DPO doit disposer,pour la Cnil (au regard de l'art. 37.5 du RGPD), d'une expertise dans le domaine des législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le DPO sera également capable de communiquer efficacement.
"Il apparaît comme un coordinateur, un superviseur associé à toutes les questions relatives à la protection des données au sein de son entreprise, résume Hélène Legras, vice-présidente de l'Association des data protection officers. Il ne peut être expert dans tous les domaines et doit s'appuyer sur d'autres expertises internes." Comme bien des fonctions émergentes (contract manager, risk manager...), le délégué aura donc un rôle charnière entre les différentes directions de l'entreprise: SI, juridique, opérationnelles...
Lire aussi : Évaluation des tiers : où en sont les entreprises ?
6 Un niveau d'expertise à adapter selon les traitements de données effectués
Selon l'activité de l'organisme et le niveau de sensibilité de ses traitements, son niveau d'expertise sera plus ou moins élevé. Il doit également disposer d'une bonne connaissance du secteur d'activité et de l'organisation de la structure: les opérations de traitement qu'elle effectue, son SI et ses besoins en matière de protection et de sécurité des données. La Cnil insiste sur la nécessité de "favoriser un délégué géographiquement proche pour faciliter une communication efficace": le RGPD précise que le délégué doit être "facilement joignable à partir de chaque lieu d'établissement" (art. 37.3).
Son choix dépendra beaucoup des traitements effectués par la structure. Ainsi, pour une entreprise qui n'a que peu de traitements, un DPO externe sera pertinent. Dans les collectivités territoriales et organismes publics, la nomination d'un DPO mutualisé permettra de satisfaire l'obligation légale en ayant un pilote local de la conformité. Pour la Cnil, il faut avant tout "favoriser un expert du secteur", qui connaîtra bien les spécificités des données traitées.
Pour garantir la conformité des traitements, sans pour autant tomber dans le travers de l'interdiction "par précaution", le délégué à la protection des données devra faire preuve de diplomatie! Et ce n'est pas la moindre de ses qualités...
7 Quelles formations pour devenir DPO?
Le DPO est un nouveau métier: il n'existe pas un parcours type pour accéder à cette fonction. "Pour un poste de DPO en interne, certaines entreprises cherchent des profils d'ingénieur, de RSSI", analyse Isabelle Dubois, DPO externe (Ad Hoc Résolution).
> Le Cnam propose un certificat de spécialisation Délégué à la protection des données (DPO/CIL), destiné aux auditeurs disposant de bonnes connaissances juridiques.
> Côté universités, Assas et Paris 10 ont créé un diplôme universitaire Délégué à la protection des données, pour les personnes ayant déjà une expérience en entreprise (droit, informatique ou gestion).
> L'université de Franche-Comté a également ouvert en 2014 un nouveau DU CIL/DPO, s'adressant principalement aux responsables informatiques ou responsables qualité.
> Enfin, l'Isep a créé un Mastère spécialisé Management et protection des données à caractère personnel.
Par ailleurs, la Cnil accompagnera les délégués dans l'organisation et l'exercice de leurs missions. Son site propose une liste d'organismes de formation labellisés, à destination des futurs DPO. Enfin, pour les structures optant pour un DPO externe, la Cnil recommande d'"adapter le degré de qualification de l'expert en fonction des enjeux": pour les cas les plus courants, recourir à un avocat expert en biométrie et profilage sera peu pertinent.
Bien que le métier soit nouveau, plusieurs formations existent pour devenir DPO. La plupart sont dérivées des formations initialement dédiées aux correspondants informatique et libertés.
8 Combien coûte le recours à un DPO?
Le métier étant récent, il n'existe pas de grille de rémunération, d'autant plus que la plupart des DPO déjà nommés en interne occupaient d'autres fonctions dans l'entreprise avant leur nomination, et qu'ils ont souvent conservé leur précédente rémunération.
9 Quel coût pour un DPO externalisé?
Le recours à une prestation de DPO externe aura un coût très variable selon le secteur d'activité, les traitements effectués et le niveau de maturité de l'entreprise dans ses traitements. "Il faut compter une enveloppe budgétaire de quelques milliers d'euros", évalue Richard Bertrand, directeur d'Actecil, société spécialisée dans le conseil en protection des données personnelles. Par exemple, pour une entreprise de 200 à 300 salariés qui a un bon niveau de conformité et connaît peu de changements dans ses traitements, le coût approximatif sera de 4000 euros pour un état des lieux (de 3 à 5 jours de travail), puis environ 10000 à 12000 euros par an pour bénéficier d'un DPO externalisé.
Le cabinet Alain Bensoussan Avocats Lexing propose pour sa part une fonction de DPO externalisé avec un suivi accessible en ligne: après la mise en conformité, la prestation représente en moyenne "un ou deux jours par trimestre pour une entreprise de taille moyenne, et un jour par mois pour une grande entreprise, indique Alain Bensoussan. Au plan budgétaire, le coût sera compris entre 1000 et 1500 euros par journée." L'expert rappelle aussi qu'"il faut disposer d'outils dédiés, la prestation ne se limitant pas au conseil: cartographie des traitements, référentiels à écrire, registres..."
Le DPO étant un nouveau métier, difficile de donner un salaire de référence! Le coût d'une prestation de DPO externe, quant à lui, dépendra beaucoup de la maturité de l'entreprise en matière de data protection.
10 Comment trouver son DPO externe ou mutualisé?
"Tout le monde n'a pas besoin d'un DPO à plein temps", rappelle Isabelle Dubois, qui exerce la fonction de DPO externalisé, avec sa structure Ad Hoc Résolution, pour une start-up suisse spécialisée dans la géolocalisation, ayant une filiale en France. Une solution idéale pour les organisations dont le traitement de données personnelles n'est pas le coeur de métier, mais qui veillent à leur conformité avec le RGPD. "Alors que l'externalisation du CIL n'était possible que lorsque moins de 50 personnes participaient au traitement des données, le DPO peut être externalisé librement", précise Richard Bertrand, dirigeant d'Actecil. Les collectivités publiques, par exemple, peuvent ainsi se regrouper et prendre quelqu'un sur un mandat, plutôt que d'avoir un poste dédié.
11 Fédérations professionnelles, cabinets d'avocats, sociétés de conseil... Les pistes à explorer
Pour trouver un prestataire, la Cnil recommande de "se rapprocher des fédérations professionnelles pour vérifier la présence des experts informatique et libertés qui pourraient devenir le délégué mutualisé pour plusieurs entreprises." Le Daf (ou le dirigeant d'entreprise) pourra solliciter des cabinets d'avocats ou encore des sociétés de conseil spécialisées. À cet effet, les labels Cnil en audit et gouvernance constituent un bon indicateur pour le guider. Au-delà des compétences indispensables, Isabelle Dubois recommande surtout de choisir "une personne de confiance, qui est bien en phase avec le fonctionnement de l'entreprise, qui a de l'entregent et qui sait trouver les ressources".
>> [Mise à jour du 23/01/18] Le conseil national des barreaux recommande 2 offres de DPO externalisé, retrouvez l'article sur ce sujet ici.
La prestation de DPO externalisé en détail
Côté organisation de la prestation, Richard Bertrand, dirigeant d'Actecil, commence "par faire un état des lieux pour connaître le niveau de maturité de la société et évaluer le travail à effectuer pour parvenir à la conformité".
Deuxième étape: la création du registre des traitements, puis la mise en place d'actions: création d'une charte informatique, de documents structurants... "Puis on descend dans la conformité au niveau des traitements." Pour les prestataires de services, un registre de sous-traitance devra également être créé.
Une fois la conformité atteinte, le DPO va suivre l'évolution des traitements et de l'entreprise (nouveaux logiciels, nouvelles arrivées...). Il validera que les nouvelles applications mises en place respectent le RGPD. À noter, Actecil met à disposition de l'entreprise un tableau de bord qui lui permet de suivre à distance le processus et d'accéder à son registre.
Isabelle Dubois, pour sa part, prévoit en moyenne un jour d'activité par mois au sein de l'entreprise, le reste des échanges se faisant surtout par mail et téléphone.
À lire aussi: "RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données"
Pour trouver un DPO externe, les entreprises devront faire appel à des cabinets d'avocats, ou bien à des sociétés spécialisées en protection des données. Pour sélectionner le bon prestataires, les labels délivrés par la Cnil constituent un bon indicateur!
Sur le même thème
Voir tous les articles Carrière & Talents
Par Stéphanie Gallo Triouleyre
3 min.Par Stéphanie Gallo
Par Marie-Amélie FENOLL
Par La rédaction
