schedule 1 min de lecture

DPO RGPD : le guide ultime

DPO RGPD : le guide ultime

C’est quoi le DPO ?

Le DPO (Data Protection Officer) ou Délégué à la protection des données (DPD) est la personne désignée par le Responsable de traitement (RT) pour veiller à la conformité des traitements de données à caractère personnel.

Le Responsable de Traitement quant à lui est “la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement”. En résumé, le Responsable de Traitement (RT) est une personne physique ou un organisme qui définit "à quoi servent" les informations utilisées et les moyens mis en œuvre dans le cadre de ses activités. Le RT est le décideur, incarné par la Direction ou toute personne disposant d'une délégation de pouvoir.

Le rôle et missions essentielles du DPO (ou DPD)

Le DPO désigné devra a minima remplir les missions suivantes : 

  1. Informer et conseiller la Direction ou le sous-traitant, sur les obligations leur incombant en matière de protection des données personnelles, notamment pour l’analyse d’impact. 
  2. Le Délégué à la protection des données (DPD) sera tenu de veiller au respect du RGPD de l'organisation, notamment par une sensibilisation et la formation des salariés traitant des données personnelles. 
  3. Le DPD sera également tenu de coopérer avec l’autorité de contrôle, pour toute question ou contrôle. 

En la matière, le Délégué à la protection des données est l’interlocuteur de choix concernant en matière de RGPD. Ce dernier pourra aussi vous conseiller sur les bonnes pratiques et obligations relatives au traitement des informations personnelles au sein de votre entreprise, association ou établissement public.

La réalisation de la conformité RGPD par le DPO

Le délégué de votre organisme peut aussi réaliser la mise en place opérationnelle du RGPD et son suivi dans le temps (audit, corrections de documents, recommandations sur les projets impliquant des données personnelles, rédaction de clauses juridiques, rédaction de nouvelles procédures, etc.).

Attention, avant de devenir client, pensez à demander à votre prestataire la liste exhaustive des livrables dans le devis (car le RGPD peut induire des frais cachés).

Le DPO ne peut pas être Responsable de Traitement

Le Data Protection Officer et le RT sont deux personnes bien distinctes. Le Délégué à la protection des données et le RT sont en étroite relation : le premier donne des conseils et le second prend les décisions pour son entreprise, son association ou tout autre typologie d'établissement. Le RT est chargé de l’application effective des recommandations du DPO. Par conséquent, il ne peut pas être le Délégué à la Protection des Données pour cause de conflit d’intérêts.

Qui peut être DPO ?

Le DPD est une personne physique, désignée conformément à ses qualités professionnelles, sa maîtrise et ses connaissances relatives à la législation en matière de protection des données. Il doit être en capacité d’accomplir les missions et fonctions qui lui sont légalement réservées.

DPO interne ou externe : le choix n'est pas toujours simple

Il n'est pas toujours facile de savoir "quoi" choisir selon ses besoins, objectifs et ressources disponibles en interne. Si vous hésitez entre les deux, découvrez notre article : DPO interne ou DPO externe ?

DPO interne définition

A titre d'information, le délégué à la protection des données peut être internalisé, c'est-à-dire qu’il sera salarié, au sein de l'entité juridique. 

Attention néanmoins au risque de conflit d’intérêts ! La nomination du Délégué à la protection des données ne doit pas entraîner un conflit d’intérêts dans l’exercice de ses fonctions. En effet, dans l’exercice de ses missions, le DPD ne peut recevoir aucune instruction. Il doit pouvoir être en contact avec toutes les personnes de l'entreprise, l'association ou tout autre établissement de manière appropriée et en temps utile.

Le délégué ne doit pas être considéré comme subordonné. Il fait un rapport de ses observations et de ses conseils dans les traitements d'informations à caractère personnel au niveau le plus élevé de la direction. 

Ainsi certaines personnes ne pourront pas être nommées DPD en raison de leur missions au sein de l'organisation. Par exemple : les fonctions de direction, DRH, DSI, chef de service dans le secteur de la santé, etc. Cette disposition assure l’indépendance et l’intégrité du DPO.

DPO externe définition

Le délégué à la protection des données sera dit externe, lorsqu’il fait partie d’une entité juridique distincte. 

Pour la gestion et la rédaction des documents essentiels, il est préférable de choisir une personne ayant une connaissance pointue de la législation relative à la protection des données. Le délégué à la protection des données est indépendant et n’est pas responsable de la réalisation effective de ses recommandations. Cette responsabilité incombe à la Direction qui le désigne.

Quel type de prestataire peut être DPO externe ? 

Dans la mesure où la fonction de Data Protection Officer n’est pas une profession réglementée telle que la profession de notaires ; seule une maîtrise adéquate de la législation et des pratiques sont exigées par le Règlement général sur la protection des données. 

La fonction de DPD externe peut être exercée par des juristes spécialisés mais aussi des avocats, des consultants indépendants, des cabinets de consulting spécialisés, etc. Attention au niveau de qualité. Si vous êtes face à un(e) Juriste spécialisé (BAC+5), vous avez la garantie d'un niveau de qualité sécurisant. 

En cas d'erreur du DPO, qui porte la responsabilité ? 

En principe, le Data Protection Officer n'engage pas sa responsabilité. Il ne pourra donc pas être sanctionné dans l’exercice de ses missions. En effet, le DPD est indépendant et n’est pas subordonné. La responsabilité d’une non conformité incombe au Responsable du traitement (RT). 

Cependant, la responsabilité pénale du délégué pourra être engagée s’il enfreint de manière volontaire les dispositions pénales relatives à la protection des données relatives aux personnes, ou s’il se rend complice d’une infraction en aidant le RT ou le Sous-traitant à enfreindre des dispositions du Règlement général sur la protection des données.

Dans le cadre d'une externalisation, les clients pourront invoquer un défaut de conseil à l'encontre du DPD externe (ou l'entreprise qui l'emploi) dans la situation où ce dernier n'a pas respecté les obligations contractuelles définies par le contrat de DPD externe et sa lettre de mission. 

Qui est désigné auprès de la CNIL (personne physique ou morale) et quelles sont les formalités ?

Le DPO externe est une personne physique qui sera désignée auprès de la CNIL (voir la procédure plus bas). Il peut être désigné par la Direction, ou par le DPD externe lui-même. Il peut aussi accompagner la Direction dans les formalité administratives. Chez Blockproof par exemple, nous nous chargeons des formalités administratives ; à la suite de quoi, vous recevrez une notification de désignation de la part de la CNIL. 

DPO mutualisé définition

Pour information, on parlera de “DPO mutualisé” lorsqu’un seul Data Protection Officer est désigné pour un groupe de plusieurs organismes distincts.

Le DPO mutualisé peut être interne (salarié d'une des entités participant au regroupement) ou externe (dans une relation de prestataire à clients). 

Quand le DPO est-il obligatoire ?

Désigner un DPD est une obligation légale, définie par le Règlement Général sur la Protection des Données dans les cas suivants :

  • Si votre établissement est une autorité publique ou un organisme public, à l’exception des instances judiciaires, ainsi les collectivités territoriales sont spécifiquement visées par cette obligation ; ce que n’a pas manqué de relever la CNIL en sanctionnant 22 communes. 
  • Si votre activité principale exige un traitement de données personnelles par un suivi régulier/ systématique à grande échelle des personnes concernées
  • Si votre activité principale traite à grande échelle des données à caractère personnel dite sensibles. Attention, le terme à "grande échelle" est piège et ne désigne pas uniquement la collecte d'un grand volume de donnée. A titre d'exemple, les EHPAD sont dans obligations d'avoir un DPO alors qu'ils ne traitent pas de données en "grande quantité". 
  • Si la nomination d’un DPD est légalement prévue par le droit national

Quelle sanction pour non désignation de DPO ?

La “meilleure motivation ou en tout cas la plus efficace” dans le choix de désigner un délégué à la protection des données est sans doute celle d’éviter une sanction pour manquement aux obligations définies par le RGPD. 

En effet, ne pas se conformer à l’obligation de nommer un DPD vous expose à diverses sanctions prononcées par la CNIL allant d’une mise en demeure à une sanction pécuniaire de maximum 4 % du chiffre d’affaires article Sanction RGPD. La Commission nationale de l’informatique et des libertés (CNIL) est depuis 1978 l’autorité de contrôle française chargée de veiller au respect de la législation relative à la protection des données relatives aux citoyens de l'Union Européenne en France. 

Ne pas désigner de DPO doit être justifié 

Dans la mesure où la CNIL et le Comité européen de la protection des données (CEPD) aussi appelé Européen Data Protection Board (EDPB) en anglais, qui est l’organe européen garantissant une harmonie et une cohérence dans l’application du RGPD sur le territoire de l’Union européenne par les différentes autorité de contrôle nationales, recommandent vivement la désignation d’un DPD lorsqu’il est facultatif. Si vous décidez tout de même de ne pas désigner un DPD, nous vous recommandons de justifier votre choix en conservant un écrit détaillé et daté. 

Pourquoi faire le choix d'un DPO ?

Dans la mesure où des entreprises par exemple, sont soumises à une obligation d'avoir un DPD, la désignation permet de limiter le risque de sanction (mais ce n'est pas suffisant).

Intérêt pour votre organisme lorsque la nomination est  facultative

Dans la mesure où la désignation est facultative, cette démarche vous assure une conformité et un respect des dispositions relatives à la protection de la vie privée des personnes concernées. Vous réduisez le risque de sanction, assurez le respect des droits et par conséquent, une confiance des parties prenantes de votre établissement. Votre image de marque sera valorisée et vous permettra de vous démarquer. Enfin par cette démarche, vous prouvez votre bonne foi en matière de respect de la vie privée.

L’intérêt pour les TPE/PME

Désigner un délégué à la protection des données devient nécessaire pour répondre à des appels d'offres d'organismes très réglementés ou attachés à une éthique de la data. Dans la mesure où les données que vous traitez concernent notamment les données des salariés, être conforme vous permet d’assurer un suivi des exercices de droit des salariés et d’éviter des procédures devant les prud’homme. 

Intérêt pour les associations

La désignation d’un délégué à la protection des données peut être une condition sine qua non à la demande de financement et à l’obtention d’aides. Vous diminuez également le risque de potentielles sanctions. 

Comment trouver un DPO ?

Si vous souhaitez internaliser la fonction, nous vous recommandons de choisir un profil ayant l'habitude de gérer des process qualité. Les profils de Qualiticien ou Juriste en droit social sont pertinents. Attention néanmoins à leur apporter la formation nécessaire et les outils pour qu'ils puissent s'occuper de la gestion du RGPD en toute sérénité. Chez Blockproof, nous proposons un accompagnement "Premiers pas RGOD" et un accompagnement "Sérénité" permettant à délégué d'avancer en toute tranquillité dans le projet. En bonus, notre accompagnement est en partie finançable grâce à de la formation éligible OPCO (du fait de notre certification Qualiopi). 

Si vous songez à l'externalisation, vous disposez de plusieurs moyens pour trouver un DPD. Tout d'abord, les moteurs de recherche. Il suffit de taper les mots "devis RGPD" pour trouver facilement une liste de prestataires proposant de service de délégué à la protection des données externalisé.

Pour en savoir plus sur nos accompagnements, rendez-vous sur l'onglet "offre" de notre site internet et demandez un devis gratuit et sans engagement. Vous pourrez en plus, si vous le souhaitez, échanger avec un expert Blockproof, qui vous présentera tous les choix possibles (selon vos objectifs et budgets). 

Quels sont les prix moyens d’un DPO externe ? 

Cela peut vous paraître aberrant, mais les prix peuvent aller, selon les prestataires, de 5000 € à 90 000 € selon votre activité pour la mise en œuvre de la conformité. C'est pourquoi il est important de comparer les devis entre eux.

En effet, il y a une distinction à faire entre le rôle de délégué et la réalisation opérationnelle du RGPD. 

Certaines Communes ou Ecoles publiques par exemple ont très largement nommées des DPD externes mais ces derniers n'ont littéralement rien fait dans la constitution du dossier de conformité. Ce sont aux salariés sur le terrain (généralement incarnés par des métiers administratifs) qui réalisent tout le travail de conformité et de suivi dans le temps ; le DPD gardant uniquement ses fonctions essentielles (vue précédemment). 

Le marché du RGPD est comparable au marché de la rénovation énergétique

Vous trouverez de nombreux prestataires de qualité, qui réaliserons les travaux RGPD en toute sécurité et balayerons devant votre porte avant de partir. De l'autre côté, vous trouverez des offres de DPD excessivement chères et/ou surdimensionnées donnant lieu à des travaux de conformité moyens (voire à reprendre) et laissant tout un tas de poussière sous le tapis. 

Les prix des délégués externalisés sont très variables et dépendent de nombreux facteurs : 

  1. le nombre d'entités juridiques
  2. la nature des données collectées
  3. la nature de votre activité
  4. l'usage d'un outil permettant au délégué d'aller plus vite que sur Excel
  5. la spécialisation du délégué dans votre secteur d'activité, etc.

Dans le choix de votre prestataire, en tant que client, veillez donc à comparer les devis et la profondeur de l'offre et gardez en tête que la simple nomination d'un DPD ne suffira pas à prouver aux autorités que vous êtes en règle. 

Comparez les devis DPO entre eux

Même si vous êtes séduit(e)s par une offre d'accompagnement, qu'il s'agisse de celle de Blockproof ou d'un confrère, nous vous recommandons de toujours avoir a minima deux devis (voir 3).

Pourquoi prendre le temps de comparer les devis ?

  1. vous aurez une vision éclairée du choix que vous réalisez
  2. cela vous rassurera dans le choix de votre prestataire
  3. vous éviterez les pièges et discours commerciaux
  4. vous connaîtrez les éventuels frais cachés

Pour comparer entre deux devis, n'hésitez pas à faire une demande gratuite sur notre page offre chez Blockproof.

Quels sont les pièges à éviter dans la tarification d'un DPO externe ?

1) Les services "très cheap"

Les offres peu chères sont souvent associées à un DPO qui "ne fait rien". Si tout le travail de mise en place et de suivi est internalisé, que le choix d'un DPD est la seule chose manquante, alors OK.

Par contre, si vous souhaitez que votre DPD réalise la conformité, demandez au prestataire qu'il liste de manière exhaustive les livrables qu'il va produire.

2) La charge de travail pour vos équipes

Attention aux entreprises qui vous proposent la "tenue du Registre des activités" par exemple, mais qui vous demandent ensuite de lister toutes les données personnelles de votre établissement dans un Excel ou un outil RGPD.

Dans ce cas là, le délégué à la protection des données va seulement consolider les informations. Ce sera d'abord à vous, en plus de votre fonction principale, de réaliser toute la saisie manuelle.

3) Le prix uniquement indexé sur le nombre de salariés

Le nombre de salarié n'impacte pas directement le travail du DPD. Pour exemple, le travail de mise à jour d'un contrat de travail ou d'une charte informatique est le même que vous soyez 10 ou 200. Par contre, en pratique, plus vous avez de salariés, plus avez un traitement différencié des données. Plus vous disposez de traitements, plus la charge du DPD est importante. En pratique, si votre entité "fait tout le temps la même chose", le prix ne devrait pas varier que vous soyez 20 ou 300 salariés. 

4) Les services très chers par rapport aux autres devis

Une offre trop onéreuse n'est pas forcément signe d'une offre de qualité. Il peut s'agir d'une offre complètement surdimensionnée par rapport à votre besoin ou d'une entreprise qui ne sait pas gérer son temps. Dans les deux cas, ce n'est pas bon signe. Une fois encore, pour votre sécurité, nous vous recommandons de comparer les devis entre plusieurs confrères, même si vous trouvez que Blockproof par exemple, vous propose le service le plus adapté à votre besoin. Comparer vous permettra d'être serein dans votre décision à devenir client. 

Pour aller plus loin sur les pièces à éviter, découvrez notre article sur le véritable coût du RGPD dans notre section blog.  

Comment désigner un DPO ?

Pour tout entité juridique établie en France, la formalité pour nommer un DPO est gratuite et doit être faite en ligne auprès de la CNIL via un formulaire dédié.

Pour information, si votre entreprise ou association est établie dans un autre pays membre de l’UE, vous devrez vous adresser à l’autorité de contrôle de ce pays membre, selon les formalités qu’elle aura déterminé en la matière.

Concernant les formalités auprès de la Commission nationale de l'informatique et des libertés, plusieurs informations devront être renseignées :  

Sur l’organisme : le numéro SIREN si vous disposez d’un tel numéro, l'adresse postale, le secteur d’activité, les coordonnées du responsable légal.

Sur le délégué à la protection des données : 

  1. l’identité précise de la personne physique désignée, son nom, prénom, numéro de téléphone, adresse postale et courriel. Attention ces informations sont privées et seront conservées par la CNIL mais ne seront pas publiques.
  2. les coordonnées publiques du délégué à la protection des données : au minimum 2 moyens de contact différents. Par exemple: un formulaire en ligne, une adresse e-mail dédiée, une adresse postale ou un numéro de téléphone dédié.

Si vous êtes soumis à l’obligation, ne tardez pas. Dans le cas contraire, vous avez le droit d'en désigner un à tout moment. 

DPO et certification : 

La CNIL a depuis la loi du 20 juin 2018, la capacité de certifier des personnes. De sorte qu’elle a adopté deux référentiels de certification, permettant d’agréer des organisme chargés de délivrer des certifications de compétences du Délégué à la protection des données, conformément à une liste de 17 compétences et savoir-faire. Une liste des organes certificateurs est disponible sur le site de Légifrance.

Comme abordé précédemment la fonction de délégué n’est pas subordonnée à un diplôme ou une certification.  

La certification DPD sur référentiel de la CNIL est une certification parmi tant d’autres. Nous attirons votre attention concernant les autres certifications disponibles sur le marché. En effet, certains organismes autre que la CNIL ont développé leurs propres référentiels sur la base desquels sont délivrées des certifications délégué à la protection des données ; celles-ci ne seront donc pas des certifications DPD sur référentiel de le CNIL.

En pratique, le plus sécurisé est de choisir des profils disposant d'un Master 2 en Droit du numérique ou, dans le cadre d'un établissement dans le secteur médico-social et sanitaire par exemple d'un Master 2 en Droit de la Santé.

En effet, le travail de conformité est d'environ 95% de travaux juridiques et 5% d'informatique. Il s'agit là d'estimation bien entendu, le pourcentage peut varier selon votre activité. Retenez que le travail est éminemment juridique. Nommer un informaticien externalisé en qualité de DPD n'est pas, à notre sens, la meilleure idée par exemple. Un profil de juriste BAC+5 est donc le profil plus pertinent. Le profil d'avocat est aussi intéressant si ce dernier a suivi un cursus spécialisé en protection des données personnelles ou en droit du numérique durant ses études de droit. N'hésitez pas à lui poser la question sur les différents droits qu'il a pu étudier à l'université.