Village de la Justice www.village-justice.com

[Côte d’Ivoire] La rémunération du DPO. Par Désiré Allechi, Juriste.
Parution : mercredi 22 juillet 2020
Adresse de l'article original :
https://www.village-justice.com/articles/remuneration-dpo,36149.html
Reproduction interdite sans autorisation de l'auteur.

La fonction de DPO est une fonction qui prend de l’ampleur depuis l’entrée en vigueur du RGPD. Toutefois, bien que faisant l’objet d’un Arrêté (n°511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du correspondant à la protection des données à caractère personnel) qui en fixe les conditions d’exercice, sa rémunération est source de discordes et d’incompréhensions pour beaucoup de responsables du traitement en Côte d’Ivoire, lesquels considèrent la fonction de DPO non pas comme une fonction à part entière mais comme une tâche supplémentaire devant être exercée de façon ponctuelle.

Le cycle de vie d’une entreprise est semblable à celui des personnes physiques qui naissent, vivent et meurent. La recherche de profit est le but de toute entreprise commerciale toutefois, pour empêcher des dérives dans la recherche effrénée des bénéfices donc pour éviter des pratiques déloyales, des dispositifs juridiques sont mis en place pour encadrer l’activité desdites entreprises.

Dans le début du 20ème siècle mais surtout au 21ème siècle nous avons constaté un changement de paradigme dans le mode de fonctionnement des entreprises. En effet, sans toutefois remettre en cause l’importance de la clientèle comme élément essentiel dans tout fonds de commerce, les entreprises ayant cerné l’importance des données personnelles se sont inscrites dans une tendance de traitements abusifs des données personnelles surtout grâce à l’usage des Technologies de l’Information et de la Communication.

Les technologies ne cessent d’émerger et les problèmes qu’ils occasionneront ou du moins les problèmes que susciteront son usage démesuré seront sans précédent. En clair, convient-il de noter que le cocktail ou la symbiose entre mauvaise foi et mauvais usage de la technologie sera fatal pour la clientèle, les consommateurs encore qualifiés de personne concernée.

Les dispositifs juridiques internationaux (RGPD) comme nationaux (arrêté n°511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du correspondant à la protection des données à caractère personnel) prévoient la fonction de délégué à la protection des données pour un contrôle efficace des traitements de données à caractère personnel.

Le délégué à la protection des données personnelles (DPO) ou correspondant à la protection des données dont la dénomination varie selon la législation utilisée est un artisan sinon un acteur important dans le processus de mise en conformité même si sa désignation n’est pas obligatoire dans tous les cas de figure. Le correspondant a pour mission principale de s’assurer de la conformité des traitements effectués à la législation. Il est le garant de la conformité des traitements et est en étroite collaboration avec tout le personnel intervenant dans le traitement des données à caractère personnel.

C’est une obligation pour les membres de la structure ou de l’entreprise de donner une suite favorable à ses demandes dans le cadre de ses fonctions (strictement dans celles-ci) pour lui permettre d’établir une cartographie mais aussi d’avoir une claire vision desdits traitements afin d’établir un process adéquat lui permettant d’évacuer ou de traiter tout potentiel danger imminent ou latent pour les données à caractère personnel des clients de l’entreprise. Sans toutefois entrer dans la distinction DPO externe ou DPO interne ou même dans les considérations relatives aux conditions de sa désignation ou ses missions, nous souhaitons quelque peu traiter de la rémunération de ce dernier dans le cadre des tâches qu’il accomplit dans la conformité de l’entreprise.

Les évolutions juridiques ne sont pas faites de façon concomitante avec les réflexions ou les manières de penser dans la culture d’entreprise en Afrique. En effet, est-il important de mentionner que la désignation d’un DPO (Data Protection Officer) ou d’un Correspondant à la Protection des Données pour une entreprise comporte tout type d’avantage sauf des avantages pécuniaires. Il n’y a aucun intérêt pécuniaire immédiat dans le choix d’un correspondant d’où la réticence sinon le refus pour certaines entreprises d’en avoir. L’absence d’avantage pécuniaire dans la désignation du DPO s’explique par le fait que l’entreprise puisera dans son actif pour la rémunération et l’achat du matériel informatique pour lui permettre d’exercer sa mission sans en obtenir un bénéfice.

Ainsi le manque de profit immédiat exacerbe les responsables du traitement qui voient en ces dispositifs juridiques un moyen pour l’autorité de régulation de contrôler de façon indirecte leurs activités alors qu’en dehors de ce cas de figure, la désignation du correspondant est un vecteur de confiance et de sécurité pour la clientèle. Les responsables du traitement n’ont pas toujours le choix de désigner ou non un correspondant, sa présence étant parfois obligatoire car c’est un acteur important dans la conformité d’une entreprise qui traite certaines catégories particulières de données personnelles dont les données sensibles [1].

En tout état de cause, une fois désigné, celui-ci doit pouvoir exercer ses missions mais avant tout, il doit être rémunéré. La question de la rémunération du Correspondant est une question vraiment délicate pour les entreprises. Le constat dans nos pays africains notamment en Côte d’Ivoire est que les entreprises en dehors du secteur bancaire qui dans la majorité a compris la nécessité de protéger les données personnelles, voient d’un mauvais œil l’idée de rémunérer un correspondant. En effet, cela s’explique par l’idée selon laquelle pour elles, c’est une fonction comme les autres, laquelle fonction pourrait être assurée en interne par un employé sans une quelconque augmentation de son salaire.

En clair selon la conception des chefs d’entreprises, c’est une fonction comme les autres ou disons une tâche complémentaire qu’un employé pourrait accomplir au même titre que celles habituelles. Contrairement à cette conception erronée, la fonction de DPO est une fonction à part entière. Pour ce faire, elle nécessite les moyens financiers, matériels et humains adéquats pour sa mise en œuvre.

S’agissant de l’aspect financier c’est-à-dire de la rémunération du correspondant, il est prévu à l’alinéa 1 de l’article 12 de l’arrêté précité que : « la rémunération du correspondant à la protection des données à caractère personnel est librement négociée avec le responsable du traitement » dans un premier temps, il ressort de l’interprétation de cette disposition que la fonction de correspondant n’est pas une tâche qu’on exécute de façon ponctuelle et par voie de conséquence qui ne nécessiterait pas la détermination d’un montant à allouer au correspondant.

Sachant que la rémunération est la contrepartie d’une fonction assumée ou même en vertu d’un contrat liant deux personnes, il est évident que le législateur en parlant de rémunération avait pour intention de préciser qu’être correspondant à la protection des données signifie exercer une fonction à part entière nécessitant une rémunération précise laquelle est tributaire de la complexité de ladite fonction. En outre, faut-il ajouter que l’expression « librement négociée » signifie que le responsable de traitement ne peut en aucun cas imposer un montant au futur correspondant.

C’est donc d’un commun accord que les parties au contrat déterminent le montant de la rémunération. Toutefois, sachant la complexité de cette fonction, les conséquences ou les responsabilités qui pourraient en découler mais aussi au regard des conditions strictes prévues pour accéder à cette fonction (lesquelles conditions ont pour but d’éviter l’amateurisme dans cette fonction délicate) et pour éviter tout abus de la part du responsable de traitement qui dans une telle configuration apparaît comme un véritable employeur au sens du droit du travail, le législateur a fixé de façon implicite le seuil du montant pouvant être alloué au correspondant.

Ainsi l’alinéa 2 de l’article 12 précité prévoit que

« (…) pour les personnes physiques, cette rémunération ne peut être inférieure à la moyenne des rémunérations applicables à des employés de même profil, par le responsable de traitement ».

Au-delà de ces considérations il se pose toujours la question de savoir si un individu travaillant dans l’entreprise et remplissant les conditions pour prétendre à la fonction de correspondant devrait en cas de désignation pour l’exercice de cette fonction recevoir son salaire de base ou connaitre une augmentation considérable de son salaire. De prime abord il est nécessaire de mentionner que c’est une question à laquelle l’arrêté n’apporte pas de réponse d’où la possibilité d’envisager des réflexions personnelles car ce vide juridique pourrait être une source d’abus de la part des responsables du traitement.

En effet comme nous l’avions dit plus haut, être correspondant ou DPO c’est exercer une fonction particulière dans l’univers de la donnée personnelle et non effectuer une mission ponctuelle. De ce fait, il est nécessaire que soient alloués au correspondant les moyens adéquats pour l’atteinte des objectifs. Cela dit, la solution logique dans le cas de figure où le correspondant est choisi au sein de l’entreprise pour exercer la fonction de correspondant sans être déchargé de ses fonctions d’origine serait une augmentation significative des moyens financier (augmentation du salaire), humain et matériel pour une atteinte efficace des objectifs car au-delà du constat erroné que certains dirigeants ont, c’est une fonction qui requiert beaucoup d’attention et d’engagement dans sa mise en œuvre.

Par conséquent il convient de retenir que cette fonction n’est certes pas une fonction qui serait une source de revenus pour l’entreprise mais c’est une fonction pour laquelle il est nécessaire de prévoir un budget conséquent dans la mesure où sa négligence serait d’un effet négatif incontestable pour l’entreprise tant pour sa notoriété que pour son profit pécuniaire.

Désiré Allechi, Juriste Spécialiste du Droit des TIC

[1Article 21 de la loi ivoirienne N°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.

Comentaires: