Depuis le 25 mai 2018, avec l’entrée en application du Règlement Général sur la Protection des Données nᵒ 2016/679 (ci-après « RGPD »), l’acronyme « DPO » (de Data Protection Officer francisé en « DPD » de Délégué à la Protection des Données) se familiarise. Il s’apparente au chef de projet de la protection des données personnelles et accompagne les entreprises, organismes, collectivités, etc. à se conformer au RGPD.
L’utilisation récurrente de ce terme intrigue. Les personnes concernées intra ou extra entreprise prennent peu à peu conscience de la place de leurs droits et libertés relatifs à leurs données personnelles, ce qui confère un rôle majeur au DPO.
Depuis maintenant plus de deux ans de création de ce métier, les interrogations sur ce métier émergent et convoité se multiplient. Qui est-il ? Est-il obligatoire ? Quelles sont ses compétences ? Quel rôle a-t-il ? etc. DPO Consulting, Cabinet d’experts spécialisés en protection des données personnelle répond aux 10 questions les plus fréquentes sur le DPO.
Qui est le DPO d’une entreprise ?
Est-il obligatoire ? Que risque l’entreprise qui ne désigne pas de DPO ?
Pourquoi désigner un DPO même s’il n’est pas obligatoire ?
Quelles sont ses compétences requises ?
Quels sont les rôles du DPO ?
Comment mobiliser toute une entreprise sur la conformité de l’entreprise au RGPD ?
Pourquoi le DPO doit-il former ses collaborateurs ?
Comment le DPO analyse-t-il la nécessité de réaliser une Analyse d’Impact sur la Vie Privée (AIVP) ?
Quelle place pour le DPO dans le choix d’un prestataire ?
Comment assurer une mise en conformité pérenne ?
Le DPO est la personne chargée de la protection des données personnelles dans la mise en place des activités de traitement des entreprises. Chef de projet de la mise en conformité de l’entreprise au RGPD le DPO représente le gardien de la sécurité et de la confidentialité des données confiées tout en assurant un rôle de partenaire de conseil stratégique dans le développement des projets de l’entreprise.
Il peut aussi bien être salarié de l’entreprise que DPO externalisé dès lors qu’il regroupe les compétences requises : juridique, informatique, gestion de projet.
En interne, la mission du DPO nécessite du temps et des connaissances spécifiques dans son secteur d’activité qu’il met en corrélation avec la protection des données personnelles.
L’externalisation apporte une expertise appuyée. Elle permet de pallier un éventuel conflit d’intérêt interne, d’assure des coûts maitrisés et responsabilise une personne externe. C’est pour l’entreprise qui désigne un DPO externalisé un gage de compétence et d’indépendance avec une possibilité de souplesse et une responsabilisation contractuelle avec le DPO externe.
DPO consulting se tient à votre disposition pour vous accompagner en tant que DPO externalisé de la TPE-PME à l’entreprise (pluri)nationale Groupe. N’hésitez pas à faire votre demande de devis.
L’obligation de désignation d’un DPO ne s’applique pas à toutes les entreprises. L’article 37 du RGPD prévoit la désignation d’un DPO dans 3 cas précis :
Selon le RGPD, l’entreprise peut s’exposer à un avertissement ou mise en demeure de se conformer, à une injonction ou ordre de cessation des violations, à une limitation ou suspension de traitements et surtout à une amende pouvant s’élever à 20 000 000€ ou 4% du chiffre d’affaires annuel mondial.
Ces sanctions administratives peuvent être cumulées de sanctions pénales à l’encontre du dirigeant de l’entreprise. Garant de la conformité de son entreprise, il s’expose à en cas de manquement de diligence dans le contrôle de la mise en œuvre des mesures légales à 5 ans d’emprisonnement et 300 000€ d’amende (article 226-16 et suivants du Code pénal).
À ces sanctions juridiques prévues, les sanctions étant rendues publiques par la diffusion d’un communiqué officiel de la CNIL, s’ajoute une sanction morale de l’opinion publique engendrée par l’atteinte à l’image. L’impact peut se répercuter dans les relations avec les personnes concernées, les partenaires, les prestataires (par exemple repli des investisseurs, rupture de partenariats, etc.). La mise en conformité devient alors un atout concurrentiel.
DPO Consulting vous permet de tester ici votre nécessité de devoir désigner un DPO et vous accompagne dans la désignation de votre DPO.
L’absence de désignation obligatoire d’un DPO ne soulage pas l’entreprise de se conformer au RGPD.
Un DPO volontaire voire un référent RGPD devra être nommé à minima pour chaque service opérationnel afin de se conformer aux exigences du RGPD. Cette culture de protection des données personnelles vient alors s’ajouter aux missions quotidiennes des équipes. Une surcharge non négligeable de travail pour déterminer et centraliser les actions de mise en conformité, prévoir un suivi régulier avec la direction, rédiger les documents de mise en conformité, assurer la gestion des demandes de droits, les potentielles violations de données, etc.
Certains aspects de mise en conformité tels que le « Privacy by design et Privacy by default » et les engagements des sous-traitants peuvent aussi être considérés comme des obstacles importants pour les opérationnels. Ces analyses techniques nécessitent un savoir particulier sur l’appréhension du RGPD. Il s’agit par exemple de définir les finalités du traitement, caractériser sa légalité, d’étudier les moyens techniques et opérationnels, de rédiger la documentation de conformité, de qualifier les parties à un contrat, etc.
Pour un gain de temps opérationnel et une conformité optimale, il est toujours opportun de nommer un DPO. Cette désignation assure d’une conformité avérée au RGPD : mobiliser ses compétences afin de cartographier les traitements de données à caractère personnel et guider l’entreprise dans son programme de mise en conformité. Il est facilitateur et chef de projet inné et n’aura aucun mal à avoir une vision transverse et à déployer ses actions dans le cadre d’une concertation constructive avec les différentes parties prenantes. L’expertise du DPO limite les risques inhérents aux traitements qui pèsent tant sur les personnes concernées que sur l’entreprise.
Au côté opérationnel de la désignation s’ajoute un avantage concurrentiel. Les personnes concernées prennent conscience de la place de leurs droits et libertés en matière de protection des données personnelles. La vigilance sur l’utilisation des données personnelles se reflète par la hausse de 27% du nombre de plaintes déposées entre 2018 et 2019 à la CNIL selon son rapport d’activité. L’opinion publique devient un contrôleur de la conformité.
Enfin, si les entreprises qui traitent directement de données personnelles (B2C) sont sur le devant de la scène, il n’en est pas moins pour les entreprises dont les relations sont axées B2B. Les recours à la sous-traitance impliquent majoritairement du traitement de données personnelles auquel le responsable de traitement fera davantage confiance si le prestataire montre « patte blanche ».
L’encadrement juridique en matière de protection des données personnelles devient alors un atout concurrentiel. Aussi, bien que pas toujours obligatoire, le DPO figure comme un investissement en termes d’image d’entreprise et, partant, devient une stratégie commerciale et non plus seulement juridique.
A lire : Externaliser son DPO, un gage de conformité et de confiance
DPO Consulting vous accompagne aussi en tant que conseil si la désignation de DPO n’est pas obligatoire pour vous accompagner dans votre mise en conformité.
Qu’il s’agisse d’un DPO volontaire ou obligatoire, les obligations de mise en conformité demeurent les mêmes pour l’entreprise. Afin de pouvoir tenir compte de toutes les exigences du RGPD, la personne désignée est avant tout :
Le RGPD, ses évolutions et les autres normes nationales et internationales en la matière doivent être prises en compte pour tout acte de réflexion par le DPO. Cette adaptation juridique peut s’illustrer notamment avec la décision récente de la CJUE 16 juillet 2020 qui invalide l’adéquation de la protection assurée par le Privacy Shield, législation américaine en matière de protection des données personnelles. C’est un renversement de situation notamment dans le cadre des relations contractuelles avec les sous-traitants, coresponsables de traitements, etc. Ce « coup de pied dans la fourmilière », implique au DPO d’identifier et réviser les conditions de transferts de données avec les pays soumis au Privacy Shield.
La protection des données personnelles va de pair avec le respect des obligations légales nationales qui s’imposent à certains traitements, mais aussi aux durées de conservation. Le DPO doit alors être en mesure de faire le lien entre les différentes spécificités législatives dans l’application de la gouvernance de mise en conformité. Il peut d’agir par exemple d’exigences législatives dans la gestion des traitements RH et le RGPD, dans le traitement de dossiers patients médicaux et le RGPD, dans la lutte contre la fraude aux assurances, etc.
La mise en conformité est un projet lourd et long à déployer. Il nécessite une gouvernance bien délimitée : de la rédaction des documents d’accountability, au suivi des évolutions de projet de l’entreprise, en passant par la gestion des demandes des personnes concernées et de la formation des salariés qui manipulent les données personnelles. C’est pourquoi il est indispensable pour le DPO d’être en mesure d’assurer une gestion de projet.
Enfin la protection des données personnelles concernant aussi bien les documents papiers que numériques, le DPO doit avoir les compétences d’émettre de recommandations sur la sécurisation nécessaire des données à caractère personnel (chiffrage, codage, journalisation, etc.). D’où la nécessité d’un savoir-faire technique informatique.
DPO Consulting est à votre disposition pour vous former au profil du DPO et vous propose de nombreuses formations telles que les activités du DPO, les outils d’accomplissement des missions, les domaines spécifiques, la sécurité des systèmes d’information, etc.
Le DPO est garant de la conformité de son entreprise au RGPD, mais n’en est pas responsable. C’est avant tout un conseil et l’intermédiaire direct auprès de la CNIL, autorité administrative de contrôle en matière de protection des données personnelles. Ce rôle l’exempte de toute responsabilité pénale dans le cadre de l’exercice de ses fonctions.
Pour mener à bien sa mission, le DPO propose un plan de mise en conformité validé en aval par la direction de l’entreprise. Il est tenu de rédiger les documents clés de la conformité et d’émettre des recommandations sur les actions à entreprendre pour assurer la légalité des traitements et une protection constante des données personnelles.
Pour se faire, le DPO doit bénéficier de moyens matériels et organisationnels adéquats. Il doit :
Cette accessibilité évite aux services opérationnels d’être ralentis dans l’exercice de leurs missions et aux personnes concernées d’être assurées de la bonne gestion de leurs données personnelles (ex : demande d’exercice de droits). Pour se faire, il est fortement préconisé de prévoir une adresse mail générique et spécifique de contact.
En tant que spécialiste de la protection des données personnelles, le DPO n’est pas censé recevoir d’instructions d’autres services opérationnels dans le cadre de l’exercice de ses missions. Il ne peut pas lui être reproché d’avoir manqué à sa mission de mise en conformité s’il n’avait pas connaissance de certains traitements ou procédés techniques et qu’il a justement émis des recommandations non suivies.
Dans l’exercice de son rôle et de ses missions, le DPO ne doit pas être en situation de conflit d’intérêts en cas de cumul d’une autre fonction. C’est pourquoi externaliser la fonction de DPO favorise l’impartialité totale du chef d’orchestre de la protection des données personnelles
Pour mobiliser au mieux une entreprise, le DPO doit dès sa désignation sensibiliser la direction de l’importance de collaborer. Le soutien et la collaboration de la direction ont souvent un impact plus conséquent auprès des services opérationnels.
Pour connaître au mieux les traitements réalisés par chaque service, le DPO audite les différents services de l’entreprise (RH, IT, commercial, moyens généraux, comptabilité, etc.). Ces entretiens permettent d’établir le niveau de conformité et les points de non-conformité selon les éléments clés des traitements. Le collaborateur auditionné es souvent le responsable de service ou un opérationnel désigné. L’intérêt est par exemple de savoir quel est l’objectif, sur quelle base légale se fonde le traitement, quelles sont les données collectées et par quels moyens, comment les personnes sont informées, où sont conservées les données et combien de temps, qui y a accès, quels sont les prestataires, etc.
En découlent la rédaction du registre des traitements et la mise en place d’un plan d’action de mise en conformité.
Le plan de mise en conformité reprend les chantiers de conformités encadrés par le RGPD et contrôlés par la CNIL. Il s’agit par exemple de la licéité des traitements, l’information des personnes, la désignation d’un DPO ou à minima un référent de données personnelles, l’accountability, le privacy by design, la gestion des violations de données, les transferts de données hors de l’Espace Economique Européen, etc.
Tout au long du déploiement de sa mission, le DPO est garant du suivi et du maintien de la mise en conformité. Pour se faire, il est recommandé de mettre en place un « comité de suivi » avec les personnes clés décisionnaires. Ce comité permet de présenter les différents projets de traitements qui vont être mis en place dans l’entreprise, de valider les documents de mise en conformité, de mobiliser les services impliqués, de prendre des décisions sur de nouvelles mesures à mettre en place etc.
Le DPO coordonne les équipes nationales et extraterritoriales (pour les Groupes) tout en assurant une gouvernance de représentant UE.
DPO Consulting vous accompagne dans la mobilisation de l’entreprise avec un conseil d’audit et plan d’action met au-delà des frontières en tant que représentant UE.
Le DPO désigné de l’entreprise est par principe l’acteur de la formation des collaborateurs étant donné ses connaissances maitrisées en matière de protection des données personnelles. En l’absence de DPO, l’entreprise peut avoir recours à un Cabinet spécialisé de formation en matière de RGPD. La formation répond à une obligation légale et assure une sécurité opérationnelle.
Juridiquement, l’article 39 du RGPD confère au DPO la mission « de sensibilisation et de formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ». Le format de formation n’étant pas précisé, libre choix au DPO de procéder à une formation physique, une formation en ligne, une formation intra ou extra entreprise voire la participation à des webinaires.
Aussi, le DPO est en mesure d’adapter le choix de la formation des salariés selon le secteur professionnel de l’entreprise et l’implication plus ou moins importante des services dans la gestion des données personnelles tout en ayant le contrôle des coûts de formation.
Opérationnellement, la formation des collaborateurs leur permet de prendre conscience des risques et des bonnes pratiques à adopter dans le traitement des données personnelles. Il ne s’agit pas seulement de tenir compte des mesures techniques de sécurisation à mettre en place, mais aussi de sensibiliser sur les risques d’erreur ou de malveillance des acteurs humains. Autrement dit, quand bien même avoir des réflexes techniques est indispensable, le collaborateur doit lui aussi veiller à l’utilisation de ses propres données personnelles : lors du télétravail, sur l’ouverture de mail malveillant (phishing ou ransomware), etc.
La formation des salariés permet au DPO d’assurer une bonne gestion de l’accountability. Ils prennent connaissance de la nécessité d’intégrer le DPO dans la mise en place de nouveaux traitements.
Les services opérationnels étant des acteurs clés, les collaborateurs doivent avoir conscience des enjeux de collaboration avec le DPO dans la gestion des délais de procédure en cas de demandes de droit ou de violations de données personnelles. Il s’agit par exemple du service RH avec la gestion des données des collaborateurs, du service marketing avec la gestion des données prospect/clients, du service IT dans la gestion des systèmes informatiques, etc ;
En d’autres termes, sensibiliser le salarié assure une conformité pérenne dès la mise en place de nouveaux traitements par la consultation du DPO, sensibilise sur la prise en compte de la protection des données tout au long des traitements et répond à une obligation légale.
DPO Consulting met à votre profit des formations en présentiel et vous permet d’assurer des formations en e-learning grâce à son outil certifié myDPO.
Les formations s’adaptent à votre secteur d’activité et aux différents services opérationnels
Le RGPD prévoit la réalisation d’une AIVP lorsque le traitement de données, compte tenu de sa nature, de sa portée, de son contexte et de ses finalités, est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35 RGPD). Il donne des indications sur les types de traitements nécessitant une analyse d’impact (évaluation systématique, traitements de données sensibles à grande échelle, surveillance systématique), mais laisse l’appréciation aux autorités de contrôle de déterminer leurs propres critères de risques et traitements soumis à AIVP ou ne nécessitant pas d’AIVP.
Aussi, il s’agit pour le DPO d’analyser la finalité du traitement et le caractère de risque d’atteinte à la vie privée de celui-ci. Le risque tient compte de la potentielle violation et des menaces qui en seraient à l’initiative. Il peut s’agir d’une atteinte à la confidentialité des données, à la disponibilité et intégrité des données et ses impacts sur les droits et libertés des personnes.
L’analyse de l’étude de la réalisation d’une AIVP doit être documentée. Il est préférable de procéder en plusieurs étapes :
Dès lors, le DPO est en mesure d’apprécier la réalisation nécessaire d’une AIVP. Il mobilise les services opérationnels intervenant dans le traitement pour recenser : une description détaillée des opérations de traitement d’un point de vue technique et opérationnel, la nécessité et proportionnalité du traitement, les risques et les mesures envisagées pour faire face au risque. L’AIVP tient aussi compte du contrôle et des mesures de sécurité prévues en cas de recours à un/des sous-traitant(s).
L’analyse d’impact est une procédure longue et technique. Les experts de DPO vous accompagnent dans la réalisation d’analyse d’impact sur la vie privée et vous proposent leur outil d’accompagnement de conformité myDPO pour y réaliser vos propres AIVP.
Le RGPD promeut un principe de responsabilisation des acteurs que sont le responsable de traitement et le sous-traitant (article 4 RGPD). Le responsable de traitement n’est désormais plus seul à assurer et assumer l’obligation de conformité. Les sous-traitants doivent également soutenir un niveau de conformité suffisant, pour satisfaire aux exigences légales et règlementaires sur le sujet.
Le DPO a pour mission de déterminer les qualifications des parties avec les rôles afférents. Un prestataire peut tout aussi bien être responsable de traitement que sous-traitant selon la position opérationnelle exercée. Il est alors préférable de suivre une procédure de sélection de sous-traitants selon :
La clause contractuelle sur la vie privée avec les prestataires ne s’applique que dans les cas où le sous-traitant est amené à traiter des données personnelles dans l’exercice de sa prestation.
Le responsable de traitement définit les finalités de traitements, les modalités de mise en œuvre, les personnes et données concernées. Le degré d’autonomie du prestataire sous-traitant dans l’exécution du traitement est à l’appréciation de la relation contractuellement convenue. Tout l’intérêt de la négociation contractuelle est de déterminer les qualifications des parties selon le traitement et la finalité et plus particulièrement qui donne des directives à l’autre. C’est par exemple l’enjeu dans le cas de qualification d’un prestataire informatique : tout dépendra selon qu’il s’agit d’un éditeur de solution hébergée, un fournisseur d’application SaaS, un hébergeur de site internet, etc.
En amont de la contractualisation, il est préconisé de prévoir une procédure de sélection des sous-traitants afin d’encadrer la coordination entre les métiers dès la sélection. Ce choix relève souvent d’une fiche pratique, d’une liste des exigences minimums pour le sous-traitant, d’une grille ou questionnaire de sélection afin d’évaluer la conformité du prestataire. Le responsable de traitement y détermine les critères essentiels et obligatoires de sélection auxquels peuvent s’ajouter des critères facultatifs, mais importants. L’idéal pour faciliter la coopération opérationnelle entre le service concerné et le DPO est de mettre en place une fiche projet qui permet de déterminer quand saisir le DPO pour la qualification des parties.
Majoritairement, les entités sont dotées d’un socle de clauses qui fixent les exigences minimums à imposer aux sous-traitants. Opérationnellement, la relation contractuelle peut se faire selon plusieurs moyens donc chacun d’entre eux doit faire l’objet d’une négociation :
Le DPO forme les opérationnels sur l’analyse de la nécessité d’une clause RGPD et la sélection du sous-traitant, qualifie les parties et négocie contractuellement les responsabilités.
DPO Consulting vous accompagne dans le choix de vos prestataires, l’encadrement contractuel, la mise en conformité pour répondre aux exigences du responsable de traitement.
Le RGPD oblige aux entreprises d’être en mesure de démontrer leur conformité : c’est le principe de l’accountability. La pérennité de la conformité se reflète principalement par une collaboration des services avec le DPO et une documentation centralisée pour un accès simplifié assurant un suivi constant de la conformité de l’entreprise aux évolutions législatives.
Pour une gestion de projet optimale, le DPO s’assure avant tout :
Il s’agit pour le DPO de veiller à ce que le socle des documents indispensables soit régulièrement mis à jour et à disposition des personnes concernées (par exemple : politique générale, Charte RH, procédure privacy by design, référentiel des durées de conservations, etc.). L’accountability s’applique aussi aux registres de suivi de mission tels que le registre de gestion des demandes de droit, le registre des violations de données.
Cette centralisation passe par un serveur commun interne et est souvent facilitée par le recours à un outil coffre-fort DPO.
L’outil de conformité est un gain de temps pour le DPO. L’ergonomie de l’outil tend à faciliter la rédaction des documents, centralise les supports, accompagne dans le respect du principe de privacy by design, consigne les registres des traitements, des demandes de droits, des violations de données, de formation, etc. C’est aussi une meilleure implication des équipes pouvant rentrer leurs processus eux-mêmes (par exemple une fiche de traitement du registre, un questionnaire pour les analyses d’impact sur la vie privée, etc.).
DPO Consulting met à votre disposition son outil de conformité au RGPD, coffre-fort de la conformité : myDPO solution
– Marie de Asis-Trem
Télécharger notre Fiche Pratique « La CNIL et ses prérogatives »cpour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.