Les données personnelles sont collectées pour fournir des services tels que des services commerciaux, médicaux, humanitaires mais elles sont aussi exploitées à des fins moins nobles, vendues à des tiers, volées, usurpées, tronquées. Autant de raison de les protéger autant que faire se peut et le DPO est là pour ça dans les organismes publics et privés. Voici la suite de mon précédent article de présentation de ce nouveau « maillon essentiel de la gouvernance de la donnée » (CNIL) dans les entreprises, prévu par le RGPD.

Pour vous permettre de comprendre aisément qui peut être désigné comme DPO et quelles sont les qualités requises de sa part (I), combien coûte un DPO (II) et quelles sont les formalités à accomplir dans le cadre de sa désignation (III).

Pour mémoire, nous avions vu dans mon précédent article sur « le DPO en quelques mots » (RGPD : la fonction de « DPO » expliquée en quelques mots (partie 1/3)), dans quels cas la désignation d’un DPO est obligatoire ou facultative, le fait qu’il peut être mutualisé entre plusieurs entités, être interne ou externe, les missions qui sont les siennes, à la fois juridiques et techniques.

Les conditions de sa désignation et son rôle sont décrits à la Section 4, articles 37 à 39 du RGPD.

1. Qui peut être désigné comme DPO et quelles sont les qualités requises ?

A. Qui peut remplir cette fonction ?

L’activité de DPO n’est pas une activité réglementée ni protégée.

Puisque le RGPD concerne à la fois des aspects juridiques et informatiques, le DPO peut être :
 Un juriste ou un avocat, de préférence spécialiste du droit des technologies ;
 Un informaticien ;
 Une personne ayant des fonctions administratives et financières, de gestion de la qualité, de la conformité et/ou d’audit.

B. Condition de l’absence de conflit d’intérêt.

La personne doit présenter des garanties d’indépendance, d’impartialité, et ne doit avoir aucun conflit d’intérêts (art.38 du RGPD).

Selon les lignes directrices du comité européen G29 remplacé par le Comité Européen à la Protection des Données (CEPD) concernant les délégués à la protection des données :

« En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme, peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement des données personnelles » [1].

Ainsi, la personne pressentie pour être DPO ne devra ainsi pas être trop proche du cercle décisionnel et ne pourra être désignée parmi la Direction Générale ou être DRH, DSI, Directeur/trice de la conformité, notamment.

Une entreprise qui avait désigné comme DPO son Directeur des risques, conformité et audit interne a, par exemple, été condamnée à 50 000 euros d’amende par l’Autorité de contrôle belge le 28 avril 2020 (dossier AH-2019-0013) considérant que :

« le cumul de la fonction de délégué à la protection des données avec une fonction en tant que chef d’un département que le délégué à la protection des données doit contrôler ne peut pas avoir lieu de manière indépendante » [2].

Un conflit d’intérêts peut également exister, par exemple, si un délégué, sur la base d’un contrat de service, représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets relatifs aux données personnelles, comme un avocat en matière contentieuse.

Cette condition du conflit d’intérêt peut compliquer considérablement, dans les faits, la désignation d’un DPO interne, favorisant ainsi la désignation d’un DPO externe avec lequel il y a moins de risques de conflits d’intérêts.

C. Caractéristiques particulières du DPO.

a) Appétences et connaissances techniques et juridiques.

S’agissant d’un travail à la fois technique, juridique et opérationnel, le DPO devra avoir une bonne connaissance et un goût certain pour les aspects légaux, réglementaires et technologiques et une véritable capacité à s’intégrer et à travailler de manière transversale et collaborative avec les divers acteurs de l’entreprise (RSSI, DSI, DG, DRH, DJ, acteurs métiers et marketing…).

Il est déconseillé de s’improviser apprenti DPO ou d’accepter cette fonction sans avoir été formé à celle-ci. Un des problèmes fréquents rencontrés dans les entreprises est, en effet, le manque de formation des DPO. Dans un sondage de l’AFPA [3], 44% des DPO en poste déclaraient avoir besoin d’une formation complète de DPO…

b) Engagement de confidentialité.

Le DPO ayant accès à un haut niveau d’information devra s’engager à une stricte confidentialité, tant à l’intérieur de l’entreprise qu’à l’extérieur de l’entreprise. De ce point de vue, le secret professionnel de l’avocat prévu à l’article 2 du Règlement Intérieur National de la Profession d’Avocat, et le respect de la confidentialité des échanges qui en découle, protègent particulièrement les entreprises lorsque le DPO est également avocat.

c) Communication et diplomatie.

Le DPO devant avoir accès à toutes informations de l’entreprise se rapportant à des traitements de données personnelles, il devra être averti de tous nouveaux projets susceptibles de concerner des données personnelles, et de la violation de données ou des risques de violations dans l’entreprise. Le DPO devra défendre au mieux les mesures de conformité à mettre en place, notamment auprès de la Direction Générale à laquelle le DPO reportera directement. Cette fonction le mettra souvent en porte à faux avec ses interlocuteurs internes dont il devra parvenir à faire des alliés de la conformité au RGPD.

La collaboration avec le RSSI de l’entreprise et le responsable conformité devra notamment être étroite. Il n’est pas évident d’expliquer que tel ou tel projet contrevient aux droits des personnes et doit être aménagé de manière à le rendre conforme. Le désarroi des DPO devant cette tâche est parfois important.

Le DPO pourra aussi être amené à assurer la formation des collaborateurs de l’entreprise au RGPD afin de les sensibiliser au RGPD et en faire des alliés internes.

Il sera aussi l’interlocuteur des clients, prospects, collaborateurs de l’entreprise en cas de violation de données personnelles ou d’exercice de leurs droits.

Il pourra aussi servir d’interface avec la CNIL en cas de contrôle de cette dernière.

d) Autonomie et sens de l’organisation.

Le DPO doit avoir des qualités organisationnelles particulières pour pouvoir naviguer entre tous les services de l’entreprise concernés et travailler de manière collaborative (RH, Marketing, Juridique, Informatique, Secrétariat Général…) et savoir prioriser ses actions en fonction des risques.

Il doit être aussi autonome dans la mesure où il ne doit pas recevoir d’instructions dans l’exercice de ses missions (art. 38 du RGPD).

Selon la taille de l’entreprise et les moyens dont elle dispose, le DPO travaillera en collaboration avec des correspondants internes qui pourront être regroupés dans ce que l’on peut appeler un « Comité relai RGPD ». Ce Comité sera en charge d’effectuer des tâches récurrentes et/ou à moindre valeur ajoutée, en fonction d’une répartition des responsabilités à définir au cas par cas avec le DPO.

Ce Comité relai pourra notamment être composé d’un membre de la Direction des Ressources Humaines, d’un membre de la Direction Juridique, du RSSI, d’un membre de la Direction de l’Administration des Ventes, du Marketing.

Selon la taille de l’entreprise ou le volume de données personnelles traitées notamment, le DPO pourra aussi être amené à déléguer certaines tâches récurrentes ou ponctuelles comme le remplissage et les mises à jour des registres de traitement, la réponse à l’exercice des droits par les personnes concernées, les formations au RGPD, la communication de crise, et ce, auprès de prestataires tiers comme des experts en communication, un avocat, un expert informatique.

Le DPO assurera alors un rôle de pilotage de la conformité en relation avec le Comité relai et/ou des prestataires externes.

2. Combien coûte un DPO ?

a) Les honoraires ou le salaire du DPO.

Si le DPO est un DPO externalisé, il conviendra de demander un devis au prestataire pressenti (avocat ou consultant…). Les honoraires pourront varier notamment selon le volume de travail pressenti, la taille de l’entreprise, le type de risques liés aux traitements. La première année, les tâches de mise en conformité seront généralement plus importantes que les années suivantes et les coûts décroissants.

Si le DPO est un DPO interne, salarié, la rémunération de ce dernier au titre de ses fonctions de DPO pourra varier également selon le contexte de l’entreprise, selon qu’il s’agit d’un ajout à son poste principal ou d’une création de poste de DPO par exemple, d’un poste de DPO mutualisé, etc.

b) Les autres coûts.

Le DPO doit, par ailleurs, être mis en capacité d’effectuer efficacement son travail. Pour ce faire, l’entreprise devra :
 Disposer d’un budget de formation continue du DPO s’il est DPO interne ;
 Disposer d’un budget pour des prestataires tiers le cas échéant ;
 Mettre en place, le cas échéant, une solution logicielle adaptée (à la gestion des plaintes, des registres, des études d’impact…) en fonction du volume et du type de données personnelles traitées notamment.

c) Les gains.

Il conviendra néanmoins de garder à l’esprit que le travail de conformité au RGPD n’est pas seulement un poste de coûts mais aussi un investissement de l’entreprise destiné à lui éviter divers types de désagréments tels que :

 Des sanctions administratives et financières de la CNIL en cas de non-conformité au RGPD sachant que les décisions des autorités de protection des données personnelles font souvent l’objet de publicité et peuvent atteindre des montants importants allant jusqu’à 4% du chiffre d’affaires mondial ;

 Une sanction du marché liée à la perte de confiance des clients, des prospects, des investisseurs en cas d’atteinte à la réputation et à l’image de l’entreprise lorsque celle-ci est mise en cause pour défaut de conformité ou qu’elle subit des atteintes à sa sécurité ;

 Des problèmes opérationnels et de perte d’exploitation liées à des pertes ou des vols de données ou à des atteintes à l’intégrité des données par exemple. Nombreux sont les établissements de santé, par exemple, qui ont été confrontés ces dernières années à des cyberattaques les empêchant parfois d’assurer les soins aux patients du fait de l’inaccessibilité des données piratées.

Se conformer au RGPD permet aussi aux entreprises de mener un travail de nettoyage et d’optimisation de la gestion de leurs données et des coûts associés. Cela peut être considéré comme une opportunité d’une meilleure gouvernance de l’entreprise.

Retarder la désignation d’un DPO signifie passer outre ses obligations légales et réglementaires et faire prendre potentiellement des risques financiers à son entreprise supérieurs à la dépense impliquée par un DPO. En effet, d’après les statistiques, pour 54% des PME, le cout financier moyen d’une cyberattaque est supérieur à 500K euros et le risque de défaillance des entreprises attaquées augmente de 40% dans les 6 mois de l’attaque.

3. Quelles formalités accomplir ?

a) La contractualisation.

Si le DPO est un salarié de l’entreprise, le contrat de travail régira ses droits et obligations ou bien un avenant au contrat de travail sera nécessaire en cas d’ajout de cette fonction à celle exercée jusqu’à lors par le salarié.

S’il n’est pas salarié de l’entreprise et intervient en qualité de DPO externe, un contrat de prestation de service pouvant prendre la forme d’une lettre de mission sera nécessaire afin de formaliser les droits et obligations de l’entreprise et du DPO.

b) La désignation.

En tout état de cause, le DPO sera désigné en ligne auprès de la CNIL par l’entreprise ou par le DPO pour le compte de cette dernière via le site de la CNIL [4].

Si l’entreprise effectue des traitements transfrontaliers et que son principal établissement n’est pas localisé en France mais dans un autre état de l’Union Européenne, il conviendra de désigner le DPO auprès de l’autorité de contrôle étrangère de l’établissement principal et non auprès de la CNIL. L’autorité étrangère pourra faire office « d’autorité chef de file ». La question se posera aussi en cas de groupe d’entreprises désignant un seul DPO.

c) La communication.

Il est également recommandé de procéder à des actions de communication relatives à sa désignation au sein de l’entreprise via la lettre d’information, les instances représentatives du personnel, note interne envoyée aux collaborateurs, présentation physique…Cela permet, en cette occasion, de présenter les enjeux, chantiers et moyens relatifs à la nécessaire conformité de l’entreprise à la réglementation.

Le législateur veille à ce que « l’informatique ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » (art. 1 Loi Informatique et Libertés du 6 janvier 1978, n°78-17). Les organismes publics et privés sont censés être des partenaires actifs de cette conformité, aidés en cela par leur DPO, ou leur conseil en matière de RGPD quand la désignation du DPO n’est pas obligatoire.

Un prochain article sur « le DPO en quelques mots » aura pour objectif de présenter les grandes lignes d’un plan d’action qu’un DPO peut décider de mettre en place lors de sa prise de fonction.

Caroline Sandler-Rosental Avocat au Barreau de Paris & DPO Droit de l'Informatique & des Achats Médiateur agréé CMAP Mail : [->caroline.sandler@rscavocat.com] Site Internet : http://www.rscavocat.com