Blockproof
retour à la liste
2 min de lecture

DPO RGPD : le guide pertinent pour la Direction Générale

DPO RGPD : le guide pertinent pour la Direction Générale

C'est quoi le DPO RGPD ?

Le DPO RGPD est le Délégué à la protection des données ("Data Protection Officer") de votre entreprise ou association ou établissement public.

Le DPO RGPD est la personne physique ou morale, désignée par la Direction pour être conforme au RGPD en vigueur depuis 2018.

Il a pour fonction de veiller à la conformité de votre organisme et suivi dans le temps.

Le DPO RGPD va être en charge du travail du RGPD (rédaction de clause, avis juridique, etc).

DPO RGPD : missions essentielles

Le Délégué à la Protection des Données (DPO RGPD) désigné devra a minima remplir les missions suivantes : 

  1. Informer et conseiller la Direction ou le sous-traitant, sur leurs obligations RGPD
  2. Veiller au respect du RGPD dans l'organisme
  3. Coopérer avec l’autorité de contrôle, pour toute question ou contrôle.
  4. Répondre aux demandes d'exercice de droit
  5. Apporter un support juridique au service I.T en cas de violation de données 

Le DPO RGPD s'occupe de l'opérationnel du RGPD

Le DPO de votre organisme va généralement réaliser la mise en place opérationnelle du RGPD et son suivi dans le temps étant donné que peu de métiers disposent des compétences en interne.

Les tâches opérationnelles du DPO sont à 95% juridiques environ (et non informatique, comme on pourrait le croire). Les jobs de DPO et RSI sont complémentaires.

En effet, le travail de conformité regroupe notamment l'écriture et correction de clauses RGPD, la réalisation d'un registre, la recommandation sur les projets impliquant des données personnelles, la rédaction de procédures d'exercice des droits, la formalisation d'un droit à l'image, etc.

Il est donc recommandé d'avoir un profil de Juriste I.T pour votre organisme (avec un BAC+5 en droit du numérique de préférence pour éviter les coquilles).

Le DPO RGPD est-il obligatoire ?

L'obligation de conformité RGPD est en vigueur depuis 2018 et dans ce cadre :

Les autorités recommandent fortement de désigner un DPO (ou de justifier pourquoi vous n'avez pas fait).

Les références en la matière sont la CNIL et le Comité européen de la protection des données (CEPD).

3 cas où il est très difficile, voir impossible, de justifier l'absence d'un DPO RGPD :

  • Si vous traitez des données sensibles
  • Si vous collectez de nombreuses données sur une seule personne
  • Si vous collectez un volume de données très important

À contrario, certaines entreprises de vente de marchandises, comme les boulangeries locales par exemple, n'ont pas l'obligation de nommer de DPO car ils disposent uniquement de données salariés.

DPO RGPD : la preuve de non désignation

Si vous décidez tout de même de ne pas désigner un DPD, la Direction Général ou Président devra faire un écrit détaillé pour justifier son choix de ne pas nommer un DPO interne ou externe.

L'écrit devra être conservé signé et daté. 

DPO RGPD : quelles sanctions pour non désignation ?

Ne pas se conformer à l’obligation de nommer un DPD vous expose à diverses sanctions CNIL allant d’une mise en demeure à une sanction pécuniaire de 4 % du chiffre d’affaires ou d'un maximum de 20 millions d'euros pour les associations.

Un salarié peut-il être DPO RGPD ?

Sous conditions, oui, un salarié peut être DPO RGPD.

Il sera communément appelé "DPO interne".

La condition la plus importante à respecter est celle du non conflit d'intérêt.

Un salarié ne peut pas être DPO RGPD lorsque les fonctions prévoient ou supposent :

1) la détermination des moyens du traitement (c'est à dire comment sont gérées les informations)

2) et/ou ses finalités (c'est à dire à quoi elles servent) dans un département spécifique, type RH ou informatique, ou bien de manière générale à l'organisme

Métiers exclus de la fonction de DPO RGPD :

La CNIL prévoit une liste de fonction incompatibles avec la désignation d'un DPO salarié :

  • Président
  • Directeur Général
  • Secrétaire général
  • Directeur opérationnel
  • Directeur financier
  • Responsable marketing
  • Responsable des Ressources Humaines
  • Responsable du Service Informatique (RSI ou DSI)

Dans certains cas, il sera compliqué de nommer d'autres fonctions comme Directeur juridique si il peut représenter l’organisme devant les tribunaux dans des dossiers impliquant des données personnelles (source).

D'autres métiers comme Responsable Qualité, peuvent selon les cas, être exclus car ils définissent quelles informations usagers sont traités et dans quel but au sein des logiciels métiers.

Plus largement, la CNIL intègre également l'expertise Juridique I.T et le temps disponible pour l'exercice de la mission comme critères (mais ceux-ci ne sont pas pas obligatoires).

DPO RGPD salarie - condition designation

DPO RGPD : quelle charge de travail ?

La charge du DPO RGPD varie selon la typologie de l'organisme, le nombre de salariés et les pratiques soutenues par la Direction.

Trois scénarios :

1 - Votre organisme collecte des données sensibles

Plus vous collectez de données sensibles, plus le travail de conformité et d'analyse sera important.

2 - Votre organisme dépasse les 50 salariés

À cet taille, le volume de traitement de données réalisé par les salariés et la multitude des prestataires augmente fortement car l'entreprise ou l'association est structurée.

3 - La mise en place de pratiques dites à risque

Si vous souhaitez mettre en place une IA pour le commerce, de la géolocalisation, ou de la vidéosurveillance par exemple, vous collecterez probablement plus d'informations à risque qu'un simple mail/nom/prénom. De plus, vous multipliez la circulation d'information vers des sous-traitants comme le prestataire de vidéo, de géolocalisation ou l'IA qui s'entraine avec vos données. Ces pratiques sont possibles légalement, mais doivent être encadrées avec la mise en place de différents documents de conformité.

Le DPO RGPD externalisé : définition

Le "DPO externe" est un prestataire RGPD, distinct de l'entité dans laquelle il intervient. 

Son rôle est d'assurer : les missions de DPO + le travail opérationnel de mise en conformité RGPD.

Est-ce qu'un DPO externalisé est moins cher qu'un DPO interne ?

Oui, sauf si vous êtes un organisme comme une boulangerie qui n'a pas de données clients par exemple.

En pratique, le RGPD est un univers à lui seul car le vocabulaire employé et les exigences sont techniques.

Il est donc nécessaire pour le DPO interne de décrypter la réglementation et à partir de son Excel ou page word, de tout rédiger de 0 ou presque (cf. modèles CNIL).

Une conformité partant d'une page blanche, pour un profil non juriste, peut prendre jusqu'à 70h par mois (ce qui, rapporté au salaire représente une perte importante).

Une offre DPO externe quant à elle, peut démarrer à 190 € HT / mois (en savoir plus sur les tarifs pratiqués sur le marché). Chez Blockproof par exemple, nous pouvons adapter l'offre DPO externalisée au besoin de conformité et budget disponible.

DPO RGPD externalisé : quelle responsabilité pour le prestataire ?

Le DPO externalisé est tenu par devoir d'expertise

Le DPO externe, en qualité d'Expert dispose d'un savoir que vos salariés n'ont pas. Il va donc vous partager des recommandations ou avis juridiques dont vous ne pouvez pas avoir connaissance.

En outre, si votre DPO RGPD vous partage, en qualité d'Expert, une information qui est fausse et que vous ne pouviez pas connaître, le prestataire est Responsable.

Exemple : certaines violations de données doivent être déclarées dans les 72h après connaissance de la violation. Si votre DPO externe vous dit que ce délai est de 15 jours, c'est de sa responsabilité (car vous ne pouviez pas savoir que ce qu'il disait est faux).

Par contre, si votre DPO externe vous dit que c'est 72h et qu'en pratique, vous attendez 15 jours avant de déclarer à la CNIL, alors c'est de votre responsabilité.

En effet, le Client est le décisionnaire final sur comment sont gérées les données chez lui, peu importe les recommandations du DPO.

Le DPO externalisé est tenu par un contrat

Comme un prestataire RH ou DSI externalisé, votre DPO externe est tenu par un contrat. Il est donc évident que ce dernier doit respecter ses engagements. Le cas contraire,votre prestataire peut être sanctionné selon les termes dudit contrat.

C'est pourquoi, il est très important de demander à votre prestataire de lister les livrables attendus ou à défaut, le quota d'heures alloués au projet pour que vous puissiez vérifier le travail réalisé et éviter les frais cachés (en savoir plus sur les coûts cachés et pièges à éviter dans un devis).

DPO RGPD salarié à temps plein : salaire et outil RGPD

Le choix d'un DPO interne à temps plein est pertinent au sein des grands groupes particulièrement, qui disposent d'une équipe de Juristes en interne et d'un réseau de Référents RGPD.

Un DPO interne peut aussi être désigné dans le cadre d'une mutualisation entre plusieurs entités juridiques distinctes souhaitant mutualiser la charge financière.

Dans les deux cas, les DPO internes font souvent la demande d'avoir un outil RGPD tel que l'outil RGPD de Blockproof, ou l'outil d'autres confrères.

DPO RGPD : intérêts financiers pour les TPE/PME

Désigner un DPO RGPD devient nécessaire pour :

  • répondre à des appels d'offres d'organismes réglementés (ex : établissements publics)
  • répondre à des demandes clients (grands comptes généralement)
  • limiter la note devant les prud'hommes (car la non conformité peut être utilisé contre vous)
  • sécuriser vos actifs numériques (ex : prestataire SI ou de logiciel/application web)
  • économiser ses coûts en cybersécurité

DPO RGPD : intérêts extra-financiers

  • ne plus penser au RGPD comme risque éventuel (financier ou sanction personnelle de la Direction)
  • récupérer une vision claire des informations circulant dans l'entreprise
  • donner un cadre sécurisant à ses salariés
  • se protéger juridiquement de mauvaises pratiques informatiques d'un salarié

Comment trouver un DPO RGPD ?

Déjà, vous pouvez faire appel à Blockproof :)

1) Si vous souhaitez nommer un DPO salarié de votre entreprise ou association, nous vous recommandons de choisir un profil ayant l'habitude de gérer des processus qualité.

Les profils de Qualiticien(ne) ou Juriste en droit social sont pertinents.

Attention néanmoins à leur apporter la formation nécessaire et les outils pour qu'ils puissent s'occuper de la gestion du RGPD en toute sérénité.

Chez Blockproof, nous proposons un accompagnement (formations et ateliers pratiques) finançable OPCO pour permettre à votre salarié DPO d'avancer en toute tranquillité dans sa démarche de conformité (avec en bonus, notre outil RGPD pour gagner du temps).

2) Si vous songez à un DPO RGPD externalisé, vous disposez de plusieurs moyens pour trouver un DPO externe (en plus de l'offre Blockproof).

Tout d'abord, les moteurs de recherche. Il suffit de taper les mots "devis RGPD" pour trouver facilement une liste de prestataires proposant de service de DPO externe.

Vous pouvez essayez les publicités sponsorisées ou, par sécurité, pré-sélectionner les prestataires référencées naturellement par Google.

Comment désigner un DPO RGPD ?

Pour tout entité juridique établie en France, la formalité pour nommer un DPO est gratuite et doit être faite en ligne auprès de la CNIL via un formulaire dédié. Blockproof peut également vous accompagner sur ce point là.

Pour info, si votre entreprise est établie dans un autre pays membre de l’UE, vous devrez vous adresser à l’autorité de contrôle de ce pays membre, selon les formalités qu’elle aura déterminé en la matière.

DPO RGPD : quelles informations à renseigner auprès de la CNIL ?

Concernant les formalités auprès de la Commission nationale de l'informatique et des libertés, plusieurs informations devront être renseignées :  

  • Sur l’organisme : le numéro SIREN si vous disposez d’un tel numéro, l'adresse postale, le secteur d’activité, les coordonnées du responsable légal.
  • Sur le Délégué à la Protection des Données : 
    - l’identité précise de la personne physique désignée, son nom, prénom, numéro de téléphone, adresse postale et courriel. Attention ces informations sont privées et seront conservées par la CNIL mais ne seront pas publiques.
    - les coordonnées publiques du DPO : au minimum 2 moyens de contact différents (par exemple : un formulaire en ligne, une adresse e-mail dédiée, une adresse postale ou un numéro de téléphone dédié).

DPO et certification

Depuis la loi du 20 juin 2018, la CNIL a la capacité de certifier des personnes. De sorte qu’elle a adopté deux référentiels de certification, permettant d’agréer des organismes chargés de délivrer des certifications de compétences du DPO. Une liste des organes certificateurs est disponible sur le site de Légifrance.

Pourquoi une certification ?

Car les profils de Juristes BAC+5 en droit du numérique, disposant du diplôme donc, pour être DPO sont rares en comparaison de la demande.

La CNIL a donc ouvert la possibilité de désigner des DPO non diplômé, mais souhaite que ces derniers disposent d'un bagage de connaissance minimum.

Attention néanmoins, car certains organismes (autres que la CNIL) ont développé leurs propres référentiels sur la base desquels sont délivrées des certifications délégué à la protection des données ; celles-ci ne seront donc pas des certifications valides au regard du référentiel de la CNIL.

DPO RGPD : quelle formation est nécessaire pour être en sécurité ?

Pour votre sécurité juridique, privilégiez un DPO disposant d'un Master 2 en Droit du numérique ou Droit des nouvelles technologies.

Exceptionnellement, vous pouvez (dans les cas complexes tels que les établissements dans le secteur médico-social et sanitaire) opter pour un Délégué à la Protection des Données disposant d'un Master 2 en Droit de la Santé.

Pour mémo, le travail de conformité est d'environ 95% de travaux juridiques et 5% d'informatique. C'est un travail éminemment juridique.

Nommer un informaticien externalisé en qualité de DPD n'est pas la meilleure idée par exemple.

Un profil de juriste BAC+5 est donc le profil plus pertinent. Le profil d'avocat est aussi intéressant si ce dernier a suivi un cursus spécialisé en protection des données personnelles ou en droit du numérique durant ses études de droit.

N'hésitez pas à lui poser la question sur les différents droits que l'avocat a pu étudier à l'université.

DPO RGPD et Responsable de Traitement

Le Responsable de Traitement est “la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement”.

Généralement, le Responsable de Traitement, est incarné par la Direction Générale. C'est la personne physique ou l'organisme qui définit "à quoi servent" les informations utilisées et les moyens mis en œuvre dans le cadre de ses activités. Le Délégué à la protection des données recommande et le Responsable de Traitement veille à l’application effective des recommandations. La Direction ne peut pas être DPO pour cause de conflit d’intérêts.

article author
Yolène F.