DPO RGPD : le guide pour la Direction
C'est quoi le DPO ?
Dans le cadre du RGPD, le DPO (Data Protection Officer) ou Délégué à la protection des données (DPD) est la personne physique désignée par le Responsable de traitement d'une entreprise, association ou organisme public pour veiller à la conformité des traitements de données à caractère personnel.
C'est quoi le Responsable de Traitement ?
Le Responsable de Traitement est “la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement”. En pratique, le Responsable de Traitement, c'est souvent la Direction Générale. C'est la personne physique ou l'organisme qui définit "à quoi servent" les informations utilisées et les moyens mis en œuvre dans le cadre de ses activités. Le Délégué à la protection des données recommande et le Responsable de Traitement veille à l’application effective des recommandations. La Direction ne peut pas être DPO pour cause de conflit d’intérêts.
Les missions essentielles du DPO
Le Délégué à la Protection des Données désigné devra a minima remplir les missions suivantes :
- Informer et conseiller la Direction ou le sous-traitant, sur les obligations leur incombant en matière de protection des données personnelles, notamment pour l’analyse d’impact.
- Le Délégué à la protection des données (DPD) sera tenu de veiller au respect du RGPD, notamment par la réalisation d'une sensibilisation ou formation des salariés clés de l'organisme.
- Le DPD sera également tenu de coopérer avec l’autorité de contrôle, pour toute question ou contrôle.
Même si le Délégué à la protection des données souffre d'idées reçues, il demeure l'interlocuteur de choix en matière de RGPD. Ce dernier pourra vous conseiller sur les bonnes pratiques et obligations relatives au traitement des informations personnelles au sein de votre entreprise, association ou établissement public.
La mise en place de la conformité RGPD par le DPO
Le délégué de votre organisme peut aussi réaliser la mise en place opérationnelle du RGPD et son suivi dans le temps (audit, corrections de documents, recommandations sur les projets impliquant des données personnelles, rédaction de clauses juridiques, rédaction de nouvelles procédures, etc.).
Attention, pensez à demander à votre prestataire DPO externe la liste exhaustive des livrables dans le devis car le RGPD peut induire des frais cachés.
Le Délégué à la Protection des Données est-il obligatoire pour mon organisme ?
Désigner un Délégué à la Protection des Données est une obligation légale, définie par le Règlement Général sur la Protection des Données selon les cas suivants :
- Si votre établissement est une autorité publique ou un organisme public, à l’exception des instances judiciaires, ainsi les collectivités territoriales sont spécifiquement visées par cette obligation ; ce que n’a pas manqué de relever la CNIL en sanctionnant 22 communes.
- Si votre activité principale exige un traitement de données personnelles par un suivi régulier/ systématique à grande échelle des personnes concernées
- Si votre activité principale traite à grande échelle des données à caractère personnel dites sensibles. Attention, le terme à "grande échelle" est piège et ne désigne pas uniquement la collecte d'un grand volume de données. A titre d'exemple, les EHPAD sont dans obligations d'avoir un DPO alors qu'ils ne traitent pas de données en "grande quantité".
- Si la nomination d’un DPD est légalement prévue par le droit national
La désignation d'un DPO est vivement recommandée
La CNIL et le Comité européen de la protection des données (CEPD) (organe européen garantissant une harmonie et une cohérence dans l’application du RGPD sur le territoire de l’Union européenne par les différentes autorités de contrôle nationales), recommandent vivement la désignation d’un DPD lorsqu’il est facultatif.
L'absence de DPO doit être justifié
Si vous décidez tout de même de ne pas désigner un DPD, la Direction (incarné par la Direction Général ou Président) devra faire un écrit pour justifier son choix de ne pas nommer un DPO interne ou externe et conserver cet écrit détaillé et daté.
Quelle sanction pour non désignation de DPO ?
La “meilleure motivation ou en tout cas la plus efficace” dans l'action de désigner un délégué à la protection des données est celle d’éviter une sanction pour manquement aux obligations définies par le RGPD.
En effet, ne pas se conformer à l’obligation de nommer un DPD vous expose à diverses sanctions prononcées par la CNIL allant d’une mise en demeure à une sanction pécuniaire d'un maximum 4 % du chiffre d’affaires. La Commission nationale de l’informatique et des libertés (CNIL) est depuis 1978 l’autorité de contrôle française chargée de veiller au respect de la législation relative à la protection des données relatives aux citoyens de l'Union Européenne en France.
Qui peut être DPO RGPD ?
Le DPO doit être en capacité d’accomplir les missions et fonctions qui lui sont légalement réservées. Le DPO (ou DPD) est une personne physique, désignée conformément à :
- ses qualités professionnelles,
- sa maîtrise
- ses connaissances relatives à la législation en matière de protection des données
Une fois ces éléments définis, une question demeure. Dois-je nommer un DPO interne ou DPO externe au sein de mon entreprise, association ou organisme public ?
Le DPO externe : définition
Le délégué à la protection des données est dit "DPO externe", lorsqu’il fait partie d’une entité juridique distincte de l'entité dans laquelle il intervient.
Pour la gestion et la rédaction des documents essentiels, il est préférable de choisir une personne ayant une connaissance pointue de la législation relative à la protection des données. Néanmoins, le délégué à la protection des données est indépendant et n’est pas responsable de la réalisation effective de ses recommandations. Cette responsabilité incombe à la Direction qui le désigne. En matière de prix, nous vous recommandons de consulter notre article : Tarifs moyens DPO externe, coûts cachés et pièges à éviter dans un devis.
Le DPO interne : définition, prix et conflit d'intérêts
Le délégué à la protection des données peut être internalisé. Il sera donc salarié de l'entité juridique.
Attention néanmoins au risque de conflit d’intérêts. La nomination du Délégué à la protection des données ne doit pas entraîner un conflit d’intérêts dans l’exercice de ses fonctions. En effet, dans l’exercice de ses missions, le DPD ne peut recevoir aucune instruction. Il doit pouvoir être en contact avec toutes les personnes de l'entreprise, l'association ou tout autre établissement de manière appropriée et en temps utile. Le délégué ne doit pas être considéré comme subordonné. Il fait un rapport de ses observations et de ses conseils dans les traitements d'informations à caractère personnel au niveau le plus élevé de la direction. Ainsi certaines personnes ne pourront pas être nommées Délégué à la Protection des Données en raison de leur missions au sein de l'organisation. Par exemple : les fonctions de direction, DRH, DSI, chef de service dans le secteur de la santé, etc. Cette disposition assure l’indépendance et l’intégrité du DPO.
Le prix d'un DPO interne est relatif à sa charge de travail et de ses fonctions en interne.
DPO interne en double fonction : charge de travail et prix
Pour une mise en conformité classique, d'une association ou d'une entreprise mono-activité, ayant une entité juridique, une mise en conformité globale peut-être estimée à environ 70h par mois de travail l'année 1. En année 2 et suivante, le maintien de la conformité pourrait-être estimé à 20h par mois pour la gestion des demandes, des cas de violation de données, l'intégration de nouveaux prestataires, le suivi de la conformité, la sensibilisation, l'audit annuel de conformité, les mises à jour réglementaires, les recommandations aux métiers et éventuellement un contrôle de la CNIL. Le temps de 70h par mois peut être plus important si vous disposez de données sensibles, de multiples entités juridiques et/ou de nombreuses activités commerciales ou médico-sociales. Le prix est donc associé au salaire chargé d'un ETP à mi-temps l'année 1 et d'un quart-temps l'année 2 et suivantes. Pour mémo, la simple désignation d'un DPO interne ou externe ne suffit pas à vous éviter les sanctions de la CNIL.
DPO interne à temps plein : salaire et outil RGPD
Le choix d'un DPO interne à temps plein est pertinent au sein des grands groupes particulièrement, qui dispose d'une équipe de Juriste en interne et d'un réseau de Référents RGPD. Un DPO interne peut aussi être désigné dans le cadre d'une mutualisation entre plusieurs entités juridiques distinctes souhaitant mutualiser la charge financière. Dans les deux cas, les DPO internes font souvent la demande d'avoir un outil RGPD tel que l'outil RGPD de Blockproof, ou l'outil d'autres confrères.
En cas d'erreur du DPO, la Direction porte la responsabilité ?
En principe, le Data Protection Officer n'engage pas sa responsabilité. Il ne pourra donc pas être sanctionné dans l’exercice de ses missions. En effet, le DPD est indépendant et n’est pas subordonné. La responsabilité d’une non conformité incombe au Responsable du traitement (RT). Cependant, la responsabilité pénale du délégué pourra être engagée s’il enfreint de manière volontaire les dispositions pénales relatives à la protection des données relatives aux personnes, ou s’il se rend complice d’une infraction en aidant le RT ou le Sous-traitant à enfreindre des dispositions du Règlement général sur la protection des données.
Dans le cadre d'une externalisation, la Direction pourra invoquer un défaut de conseil à l'encontre du DPD externe (ou l'entreprise qui l'emploi) dans la situation où ce dernier n'a pas respecté les obligations contractuelles définies par le contrat de DPO externe et sa lettre de mission.
Pourquoi désigner un Délégué à la Protection des Données ?
Dans la mesure où des entreprises sont soumises à une obligation d'avoir un Délégué à la Protection des Données, la désignation auprès de la CNIL permet de limiter le risque de sanction (mais ce n'est pas tout). Le choix d'un DPO comporte de nombreux avantages, notamment en DPO externalisé.
Intérêt du DPO pour la Direction quand la désignation est facultative
Dans la mesure où la désignation est facultative, cette démarche vous assure une conformité et un respect des dispositions relatives à la protection de la vie privée des personnes concernées. Vous réduisez le risque de sanction, assurez le respect des droits et par conséquent, une confiance des parties prenantes de votre établissement. Votre image de marque sera valorisée et vous permettra de vous démarquer. Enfin par cette démarche, vous prouvez votre bonne foi en matière de respect de la vie privée.
L’intérêt du DPO pour les Directions d'entreprises TPE/PME
Désigner un délégué à la protection des données devient nécessaire pour répondre à des appels d'offres d'organismes réglementés ou attachés à l'éthique de la gestion des données personnelles.
Le RGPD est de plus en plus utilisé devant les prud'hommes. Être conforme avec l'appui d'un DPO externe vous permet d’éviter d'alourdir la note prudhommal. Cela permet aussi de rassurer les salariés sur la manière dont vous traitez leurs données personnelles.
L'intérêt du DPO pour les Direction d'associations
La désignation d’un délégué à la protection des données peut être une condition sine qua non à la demande de financement et à l’obtention d’aides. Vous diminuez également le risque de potentielles sanctions.
Comment trouver un DPO ?
Si vous souhaitez internaliser la fonction, nous vous recommandons de choisir un profil ayant l'habitude de gérer des processus qualité. Les profils de Qualiticien(ne) ou Juriste en droit social sont pertinents. Attention néanmoins à leur apporter la formation nécessaire et les outils pour qu'ils puissent s'occuper de la gestion du RGPD en toute sérénité. Chez Blockproof, nous proposons un accompagnement au DPO permettant au DPO interne d'avancer en toute tranquillité dans la démarche de conformité. En bonus, notre accompagnement est en partie finançable grâce à de la formation éligible OPCO (du fait de notre certification Qualiopi).
Si vous songez à l'externalisation, vous disposez de plusieurs moyens pour trouver un DPO externe. Tout d'abord, les moteurs de recherche. Il suffit de taper les mots "devis RGPD" pour trouver facilement une liste de prestataires proposant de service de Délégué à la Protection des Données externalisé via les annonces sponsorisées ou les pages les plus pertinentes selon Google.
Comment désigner un DPO ?
Pour tout entité juridique établie en France, la formalité pour nommer un DPO est gratuite et doit être faite en ligne auprès de la CNIL via un formulaire dédié.
Pour information, si votre entreprise ou association est établie dans un autre pays membre de l’UE, vous devrez vous adresser à l’autorité de contrôle de ce pays membre, selon les formalités qu’elle aura déterminé en la matière.
Informations renseignées auprès de la CNIL :
Concernant les formalités auprès de la Commission nationale de l'informatique et des libertés, plusieurs informations devront être renseignées :
- Sur l’organisme : le numéro SIREN si vous disposez d’un tel numéro, l'adresse postale, le secteur d’activité, les coordonnées du responsable légal.
- Sur le Délégué à la Protection des Données :
- l’identité précise de la personne physique désignée, son nom, prénom, numéro de téléphone, adresse postale et courriel. Attention ces informations sont privées et seront conservées par la CNIL mais ne seront pas publiques.
- les coordonnées publiques du DPO : au minimum 2 moyens de contact différents (par exemple : un formulaire en ligne, une adresse e-mail dédiée, une adresse postale ou un numéro de téléphone dédié).
Si vous êtes soumis à l’obligation, ne tardez pas. Dans le cas contraire, vous avez le droit d'en désigner un à tout moment.
DPO et certification
La CNIL a depuis la loi du 20 juin 2018, la capacité de certifier des personnes. De sorte qu’elle a adopté deux référentiels de certification, permettant d’agréer des organisme chargés de délivrer des certifications de compétences du Délégué à la protection des données, conformément à une liste de 17 compétences et savoir-faire. Une liste des organes certificateurs est disponible sur le site de Légifrance.
Comme abordé précédemment la fonction de délégué n’est pas subordonnée à un diplôme ou une certification mais un profil juriste est fortement recommandé (cf. titre suivant).
La certification DPD sur référentiel de la CNIL est une certification parmi tant d’autres. Nous attirons votre attention concernant les autres certifications disponibles sur le marché. En effet, certains organismes autre que la CNIL ont développé leurs propres référentiels sur la base desquels sont délivrées des certifications délégué à la protection des données ; celles-ci ne seront donc pas des certifications valides au regard du référentiel de la CNIL.
Quelle formation pour un DPO ?
En pratique, le plus sécurisé est de choisir des DPO disposant d'un Master 2 en Droit du numérique ou Droit des nouvelles technologies. Vous pouvez aussi (dans les cas complexes tels que l'accompagnement d'un établissement dans le secteur médico-social et sanitaire) opter pour un Délégué à la Protection des Données disposant d'un Master 2 en Droit de la Santé.
En effet, le travail de conformité est d'environ 95% de travaux juridiques et 5% d'informatique. Le pourcentage peut varier selon votre activité. Retenez que le RGPD est une tâche éminemment juridique.
Nommer un informaticien externalisé en qualité de DPD n'est pas la meilleure idée par exemple. Un profil de juriste BAC+5 est donc le profil plus pertinent. Le profil d'avocat est aussi intéressant si ce dernier a suivi un cursus spécialisé en protection des données personnelles ou en droit du numérique durant ses études de droit. N'hésitez pas à lui poser la question sur les différents droits que l'avocat a pu étudier à l'université.