Le Data Protection Officer (DPO) est le chef d’orchestre de la conformité de son organisme au Règlement Général sur la Protection des Données (RGPD). Il favorise l’émergence d’une véritable culture de la protection des données à caractère personnel auprès des agents ou salariés de son entité, notamment en les sensibilisant aux enjeux de la matière. Il est également le référent de ses collègues lorsqu’il s’agit, par exemple, d’organiser la mise en oeuvre d’un nouveau traitement de données ainsi que l’interlocuteur de la Commission Nationale de l’Informatique et des Libertés (CNIL). Avant d’expliquer pourquoi il peut être intéressant de recourir à un DPO externe, nous avons souhaité revenir rapidement sur les raisons pour lesquelles ce nouveau métier a été créé.

Pourquoi avoir créé le DPO ?

Dans son 32e rapport d’activité, la CNIL présentait les trois catégories de Correspondant Informatique et Libertés (CIL) que ses agents avaient pu rencontrer à l’occasion des contrôles réalisés au cours de l’année 2010 : « […] des CIL compétents et investis dans leurs fonctions, des CIL qui accomplissent partiellement leurs missions faute de temps, de moyens ou de reconnaissance, et enfin, des CIL mis en place comme « paravent » dans le seul but de bénéficier d’un allègement des formalités ou d’un effet d’affichage. […] ». Le législateur européen a probablement eu le même raisonnement que notre autorité nationale lorsqu’il a institutionnalisé le DPO, tout en supprimant la corrélation qui prévalait entre la suppression de certaines formalités préalables et la désignation d’un acteur interne de la protection des données.

Désormais, le principe est le suivant: tout organisme, qu’il ait désigné ou non un DPO, bénéficiera de la suppression des formalités préalables à la mise en oeuvre de ses traitements. Avec le Règlement Général sur la Protection des Données (RGPD), les organismes sont responsabilisés et il leur est demandé de mettre en place des procédures et politiques internes afin de démontrer leur conformité. C’est le fameux principe d’accountability auquel de nombreux praticiens du droit ont consacré – et consacrent toujours – plusieurs articles. Nous n’avons pas échappé à la règle, vous pouvez consultez notre fiche pratique sur le sujet dans notre Livre Blanc « Données à caractère personnel : votre conformité – 16  fiches pratiques ».

Ainsi, les institutions européennes ont souhaité faire du DPO un acteur au cœur de la conformité et de la nouvelle démarche d’accountability. En effet, une section à part entière du RGPD lui est consacrée et, dans trois cas, sa désignation a un caractère obligatoire

Téléchargez notre arbre de décision afin d’évaluer si vous êtes dans l’obligation de désigner un DPO.

Les TPE et PME peuvent être soumises à cette obligation, car le législateur européen n’a pas prévu d’exception pour les plus petites structures. En effet, aujourd’hui, de nombreuses startups traitent un volume important de données à caractère personnel ou bien travaillent quotidiennement avec des données sensibles ; le législateur aurait fait preuve d’incohérence si il les avait exclues du champ d’application du RGPD.

DPO externe ou DPO interne, telle est la question…

En vertu de l’article 37 §6 du RGPD, un responsable du traitement ou un sous-traitant pourra désigner un DPO soit parmi les membres de son personnel, soit sur la base d’un contrat de prestation de services. Aucune restriction quant au choix de l’une ou  de l’autre des solutions n’est prévue par le texte.

Que le DPO soit interne ou externe à l’organisme, les exigences du RGPD devront être satisfaites (connaissances spécialisées du droit de la protection des données, positionnement, absence de conflit d’intérêts, indépendance, allocation de ressources nécessaires, etc.). 

dpo-interne-externe-rgpd

Le DPO externe peut avoir l’avantage de la souplesse et permettre à une structure de se mettre en conformité sans mobiliser un salarié à temps plein ou à temps partiel sur cette fonction. En effet, les traitements de données à caractère personnel mis en oeuvre par certaines TPE/PME ne nécessitent pas forcément un temps plein. Il est ainsi parfaitement possible de prévoir l’intervention d’un DPO externe un jour par semaine par exemple (avec des adaptations en cas d’urgence bien entendu). En revanche, pour le début de la mission, il sera souvent nécessaire de prévoir un volume horaire plus important compte tenu du fait que certains organismes découvrent tout juste la protection des données à caractère personnel. Cette souplesse se traduit également dans la possibilité pour l’organisme de changer de prestataire.

L’externalisation de la fonction de DPO peut être une solution attractive pour les TPE/PME, compte tenu des dépenses que le recrutement d’un DPO salarié impliquerait. En effet, la désignation d’un DPO emporte des obligations à la charge de l’entité qui l’a désigné. Les DPO devront notamment pouvoir démontrer avoir des moyens suffisants pour mettre en oeuvre leurs actions. Il pourra s’agir de moyens matériels (budget annuel, temps consacré aux missions, formations, conférences, revues, organisation d’événements internes sur la protection des données, etc.) ainsi que des moyens organisationnels (création de circuits de validation pour l’ensemble des activités liées à la protection des données, intégration du DPO dans les processus de validation au moment opportun, etc.). Compte tenu de l’ampleur de la fonction et de l’avantage concurrentiel (« BtoC » et « BtoB ») que les entités pourraient mettre en avant dans le cadre de leur communication externe, les DPO désignés ne devront donc pas être des DPO « paravents ». En cas d’externalisation, ces dépenses sont à la charge du prestataire qui devra notamment assurer les coûts de formation, des ressources documentaires ou d’un remplaçant en cas d’absence du DPO.

Mise au point

DPO-as-a-service est le nouveau terme utilisé par les anglophones pour désigner un service à distance en matière de conformité au RGPD. Ainsi, nous avons notamment constaté l’apparition de « plateformes de mise en conformité » dont le fonctionnement est souvent similaire à ce que peut proposer gratuitement l’autorité luxembourgeoise (CNPD), qui rappelle à juste titre dans ses conditions d’utilisation qu’elle ne peut garantir la conformité au RGPD. En effet, ce genre de services ne pallie pas l’absence d’un DPO compétent, qu’il soit interne ou externe.

En outre, la CNIL et la DGCCRF ont formulé plusieurs recommandations en matière de prestations de services relatives à la mise en conformité d’une organisme au RGPD, notamment « vérifier la nature des services proposés : la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps ».

Il paraît en effet important de rappeler qu’aucune technologie (plateforme, logiciel, application, etc.) ne suffit à assurer la conformité. Il s’agit plutôt de mettre en place une organisation propre à l’entité, le principe d’accountability nécessitant notamment de documenter les pratiques et procédures, les relations avec les sous-traitants, les sensibilisations réalisées et d’analyser les contrats avec les sous-traitants ; les documents types ou documents standards n’ont donc pas leur place au sein d’un organisme qui souhaite être conforme au RGPD. D’autant que, comme rappelé par la CNIL et la DGCCRF, la conformité ne consiste pas en une simple action ponctuelle mais bien dans la mise en oeuvre de pratiques et procédures à réviser et actualiser régulièrement.

Mathias Avocats peut vous accompagner dans la montée en compétences du DPO que vous avez désigné ou bien accompagner votre DPO, quotidiennement, dans le cadre d’un forfait. Enfin, Mathias Avocats peut également être désigné DPO externe de votre structure.