9 idées reçues sur le DPO qui nuisent aux organismes
Le délégué à la protection des données est une fonction obscure pour les non-initiés. Avec l’entrée en vigueur du RGPD, nous avons noté un ensemble d’idées reçues en ce qui concerne le délégué à la protection des données (DPD ou DPO) ; et ce, peu important l’interlocuteur ou la taille, le secteur d'activité et la localisation des organismes.
En effet, le RGPD reste pour de nombreuses associations ou entreprises une obligation méconnue. La fonction de DPO n’est pas épargnée. En travaillant avec Blockproof, nos clients sont montés en compétence et ont approfondi leur connaissance en matière de RGPD. Dans cet article, nous reprenons les idées reçues qui fragilisent les organismes lorsqu'il s'agit de nommer ou d’exercer la fonction de DPO.
DPO interne ou externe pour petite organisation
"Nous avons très peu de salariés, nommer un DPO n’est pas nécessaire".
C'est le malentendu le plus courant qui conduit à la décision de ne pas nommer un DPO. Le RGPD a pour but de protéger les résidents de l'UE et leurs données, quelle que soit la taille de l'organisme qui traite leurs données. Durant la période COVID, deux médecins généralistes ont été sanctionnés par la CNIL par exemple.
En d'autres termes, l’application de la réglementation ne dépend pas de la taille de votre organisme, mais plutôt du volume de données traitées et/ou de la quantité de données que vous possédez sur une personne et durant combien de temps vous les conservez. Le risque est augmenté selon la nature des données recueillies et leur sensibilité.
DPO et Logiciel métier
"Notre organisme possède un logiciel-métier déclaré conforme au RGPD, nous n'avons donc pas besoin de désigner de DPO"
Ce mythe est similaire à celui qui précède, mais il s'agit d'une question plus complexe. D'un côté, il est certain que depuis 2018, de nombreux éditeurs de logiciels ont fait des efforts pour se conformer au RGPD. Mais de l'autre, la CNIL ne délivre plus de labels depuis 2018. Et il n'existe pas encore de certification officielle "Conforme au RGPD". Alors, comment estimez-vous la conformité des logiciels avec le RGPD pour le moment ? Est-ce seulement l'étiquette qui apparaît sur un document commercial ? Ou une attestation sur l'honneur ? Ou bien vérifiez-vous minutieusement toutes les preuves qui confirment la conformité ?
Par ailleurs, peu importe la conformité de votre logiciel métier, le RGPD prévoit que tout organisme en qualité de responsable du traitement des données qui utilise un logiciel professionnel est responsable du traitement des données si le sous-traitant qui fournit le logiciel ne respecte pas le RGPD.
Dernier point, ce n'est pas parce que le logiciel est conforme que la manière dont vous (et vos employés) traitez les données est conforme à la réglementation.
DPO interne et assistant ou assistante de direction
"Il suffit de dire à l'assistant de la direction qu'il est le délégué à la protection des données".
En vertu du RGPD, vous pouvez en nommer le DPO un au sein de l'organisme ou engager un organisme tiers pour être votre DPO externe . Vous souhaitez nommer un DPO interne ? C'est tout à fait possible, mais la réglementation précise que "Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de sa connaissance approfondie de la législation et des pratiques en matière de protection des données et de sa capacité à remplir les tâches qui lui sont confiées".
Avant tout, il faut donc savoir si votre assistant de la direction souhaite travailler sur le sujet de la protection des données personnelles. Ensuite, vérifiez si votre assistant ou assistante de direction est d’accord pour intégrer ces tâches en parallèle de sa fonction principale. Enfin, vérifiez que votre assistant dispose d’une culture générale / connaissances techniques en matière numérique pour accompagner votre DSI ou PSI dans la mise en œuvre du RGPD sur le plan informatique et sécurité.
Le principal point à retenir : si le délégué à la protection des données de l'organisme a des difficultés à comprendre les règles du RGPD, vous risquez de les enfreindre. Des connaissances en matière numérique sont un plus non négligeable pour endosser la fonction de DPO.
Le rôle du DPO est de fournir des recommandations au représentant légal, aux directeurs et aux employés en matière de protection de la vie privée de l'organisme.
DPO et Direction Générale, Direction des Ressources Humaines, Direction Informatique
"Nous allons nommer notre directeur général adjoint / notre DSI ou notre DRH comme DPO interne"
Il est possible que la médiatisation des problèmes relatifs au respect de la vie privée exercée par les GAFAM créée l’idée reçue selon laquelle le RGPD est le sujet de la Direction informatique (voire, celle des RH) mais c'est faux...
Cette idée a pu être renforcée par la partie visible du RGPD connue des particuliers, c'est-à-dire les mentions légales et les cookies. En pratique, la protection des données à caractère personnel de l'UE s'étend à toutes les formes de données - y compris les dossiers papiers. Elle dépasse donc le champ d'action du département informatique ou même du DRH.
Le risque de conflit d'intérêts
Deuxièmement, le RGPD énonce que : "Le délégué à la protection des données peut remplir d'autres tâches et fonctions. Le responsable du traitement ou le sous-traitant doit veiller à ce que ces tâches et fonctions n'entraînent pas de conflit d'intérêts".
Le DPO ne peut donc pas exercer une fonction au sein de son organisme qui l'amène à déterminer les finalités et les moyens du traitement des données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être examiné au cas par cas.
En règle générale, les fonctions susceptibles de donner lieu à un conflit d'intérêts au sein de l'organisation peuvent comprendre des fonctions de direction (par exemple, Direction générale, Responsable d'exploitation, Responsable financier et administratif, Responsable marketing et communication, Responsable des ressources humaines ou Responsable informatique), mais aussi d'autres métiers si ces fonctions ou rôles impliquent la détermination des finalités et des moyens du traitement (exemple : médecin-chef).
DPO et lien de subordination
"Nous avons un assistant social travaillant sous 3 membres de la direction qui peut devenir notre DPO"
Les conditions posées par le RGPD concernant la nomination d'un DPO interne vont bien au-delà de la simple nomination d'une personne. En somme, tout organisme nommant un DPO doit :
- s'assurer que le délégué à la protection des données ne reçoit aucune instruction concernant l'exercice de ces tâches
- la personne agissant en tant que DPO ne doit pas être licenciée ou sanctionnée pour l'accomplissement de ses tâches
Le délégué à la protection des données rend compte directement au plus haut niveau de management de l'organisme.
Dans le même ordre d'idées, des DPO internes rencontrent des difficultés dans l'exercice de leur fonction lorsqu'ils reçoivent constamment des ordres de leur hiérarchie directe et n'arrivent pas à entrer en contact avec la Direction Générale à temps ou directement (sans avoir à faire rapport à leur supérieur hiérarchique).
Le DPO ne recherche que le meilleur pour l'organisme. Veillez à vous assurer qu'il dispose de l'indépendance nécessaire pour effectuer son travail, comme l'exige le RGPD.
Nomination du DPO et conformité RGPD
"Nous avons nommé un délégué à la protection des données (DPO). Maintenant, tout est conforme"
Si près du but ! Beaucoup sont tombés dans le piège. Car la nomination du DPO ne suffit pas à être conforme au RGPD. Faut-il encore l’appliquer, pouvoir l’appliquer et maintenir la conformité dans le temps. Sur la capacité d’exécution, notez que l’organisme doit soutenir le délégué à la protection des données dans l'accomplissement de ses tâches en lui fournissant les ressources nécessaires à leurs exécutions et le maintien de ses connaissances d'expert.
Selon la législation, les DPO doivent en effet se tenir au courant des nouveautés en matière de règlements, de directives, de recommandations et de nouvelles technologies. Le DPO pourra dans ce cadre disposer de son propre budget et suivre régulièrement des formations pour se tenir au courant des évolutions juridiques et techniques ; ce qui au global représente un budget d'environ 6000 euros pan an. Un DPO qui ne dispose pas de ressources suffisantes est aussi fictif que le fait de ne pas en avoir un.
Pour information, recruter un délégué à la protection des données à temps plein au sein de votre organisme représente au minimum un salaire de 40 000 euros brut par an (hors charges patronales) et peut monter jusqu'à 60 000 euros.
DPO et mise à jour de la conformité
"Nous informerons le DPO de toute modification ou mise en œuvre de nouvelles activités/fonctionnalités de traitement des données, uniquement lorsque tout sera en place et fonctionnel. C'est alors à lui de rendre le tout conforme."
Il n'existe pas de " magicien DPO ". Le DPO ne peut pas défaire les processus internes en un clin d'œil et rendre vos pratiques conformes aux règles RGPD a posteriori. Le RGPD exige que le DPO soit consulté en temps utile, c'est-à-dire lors de la conceptualisation d'une activité de traitement de données ou d'une fonctionnalité. Exemples : mise en place d'un suivi GPS sur les véhicules de l'organisme, installation de caméras de vidéosurveillance, achat de nouveaux logiciels, prise de décision de détruire d'anciennes archives, etc. La liste est longue.
Concrètement, le DPO se charge :
- d’informer et conseiller les directeurs et les employés qui réalisent le traitement de leurs obligations, en tenant dûment compte du risque associé aux opérations de traitement, selon la nature, l'étendue, le contexte et les finalités du traitement.
- de fournir des conseils, le cas échéant, au sujet de l'évaluation de l'impact sur la protection des données et assurer le suivi de son exécution.
Responsabilité du DPO interne
"C’est de la responsabilité du DPO"
Un autre élément contribuant au mythe est que tout manquement est de la responsabilité du DPO interne. Le DPO interne est un conseiller. Sachez qu'en tant qu'organisme, c'est vous qui avez le pouvoir de décider si vous suivez ses conseils ou si vous allez à leur encontre.
La responsabilité du DPO interne ne peut être recherchée que sur le plan secondaire, si et seulement si vous pouvez prouver qu'il a volontairement négligé son devoir de conseil en fonction du risque présenté.
L'important est de tenir compte de ses conseils et de faire des choix judicieux dans le cadre de la mise en conformité de l’organisme.
DPO et processus interne
"Le DPO est là pour nous empêcher de faire notre travail - il dit toujours non et peut nous dénoncer à l'autorité de contrôle de la protection des données"
Une autre idée reçue très courante. Les missions du DPO ne consistent pas à dire non à vos méthodes de travail. Le DPO est là pour vous aider à faire votre travail dans le respect des règles et ce, afin de réduire les risques juridiques et éventuelles brèches de sécurité. Le respect de la vie privée est aussi valorisable auprès de vos usagers, clients et salariés.
De plus, n'oubliez pas que le RGPD indique clairement que le délégué à la protection des données est tenu au secret ou à la confidentialité concernant l'exécution de ses tâches. Il vous informe des risques et vous propose des solutions, parmi lesquelles vous choisissez la plus appropriée pour mener à bien la mission de votre organisme. Voyez-le comme un facilitateur.
De plus, si la CNIL a des questions, elle peut s'adresser à votre DPO pour obtenir des éclaircissements. Mais si la CNIL s'adresse directement à vous en tant que responsable de traitement, vous pourrez bénéficier des services du DPO pour comprendre ce qu'ils demandent et apporter les réponses appropriées.