Le Règlement Général de Protection des Données (RGPD) permet aux responsables de traitement de désigner un Délégué à la protection des données (ou DPO, pour Data Protection Officer) externe, là où l’ancienne loi Informatique et Libertés ne donnait la possibilité de désigner un CIL externe qu’en présence de moins de cinquante salariés ayant accès aux données. Cette nouvelle liberté est une réelle avancée, le chef d’entreprise étant le mieux placé pour savoir qu’elle est la formule qui correspond le mieux à son entreprise et à son contexte. Mais quels sont les avantages et les inconvénients de chaque approche ?
Le DPO existe sous deux formes principales : interne (il est membre du personnel du responsable de traitement) et externe (il exerce ses missions sur la base d’un contrat de service). Le RGPD laisse au responsable de traitement le choix entre ces deux formules, chaque organisme étant le mieux placé pour décider quelle est l’approche adaptée à son besoin, son contexte et son degré de maturité en matière de conformité. Cette ouverture, prévue par l’article 37.6 du RGPD (1) est à l’origine de la création ces derniers mois de nombreux postes de DPO externes, comme en témoigne le job board de l’AFCDP dédié au métier de DPO (2).
Cet article se propose de synthétiser ces deux formules – qui présentent chacune avantages et inconvénients, dont le responsable de traitement (et le sous-traitant) doit avoir conscience avant de faire son choix.
LE DPO INTERNE CONNAÎT L’ENTREPRISE SUR LE BOUT DES DOIGTS
Le DPO interne est connu de tous et connaît l'entreprise sur le bout des doigts : il est mieux à même de découvrir l'existence d'un projet impliquant des données personnelles au détour d'une conversation anodine devant la machine à café ou dans le compte-rendu d’une réunion. Grâce à sa présence continuelle, sa réactivité peut s’avérer capitale en cas de contrôle de la Cnil ou de violation de données.
Bien sûr un DPO interne peut avoir été récemment embauché et découvrir l’entreprise et son environnement. Le DPO interne n’est pas forcément à temps plein sur sa fonction. L’article 38-6 du RGPD indique qu’il peut exécuter d’autres missions.
En revanche, le responsable du traitement doit veiller à ce que celles-ci n’entraînent pas de conflit d’intérêts (le DPO ne peut pas définir les finalités et les moyens des traitements). Dans ses lignes directrices sur le DPO (3) (WP243, version révisée du 5 avril 2017), le CEPD (Comité Européen de la Protection des Données) exclut ainsi — de manière non exhaustive — les fonctions de directeur général, directeur opérationnel, directeur financier, responsable du département marketing, responsable du service informatique. Pour sa part, le DPO externe, qui passe moins de temps dans les murs (l’estimation la plus fréquente est de moins de dix jours par an), n'a connaissance que de ce qui lui est présenté – à moins qu'il ne se lance dans des audits qui peuvent être ressentis comme intrusifs par le personnel.
Cependant le prestataire, qui porte un regard neuf sur l'entreprise et ses pratiques, peut avoir plus de facilité que le DPO interne pour soulever les questions les plus délicates et pour formuler des constats sans fards (effet « psychiatre » : on le paye relativement cher... donc on l'écoute). Il sert aussi souvent de « confident » et recueille des témoignages dont des salariés n’osent pas faire état auprès de leur hiérarchie. Et si le prestataire agit pour plusieurs responsables de traitement du même secteur d’activité, il peut faire bénéficier ses clients d’une forme de benchmarking (sans bien sûr rien révéler de ses autres missions).
Si la fonction du DPO est confiée à un prestataire personne morale, il est essentiel que chaque membre de ce sous-traitant impliqué dans la prestation remplisse toutes les exigences applicables de la section 4 du RGPD (concernant, par exemple, l’absence de conflit d’intérêts). En revanche, les compétences de chaque personne peuvent être combinées afin qu’une équipe puisse servir un client. Dans un souci de clarté, il est recommandé de connaître la répartition claire des missions au sein de l’équipe du DPO externe et d’identifier l’individu qui sera le contact principal. Il serait généralement utile de préciser ce principe dans le contrat de service (le contenu de celui-ci fera l’objet d’un futur article).
L’INDÉPENDANCE DU DPO EST UN COMBAT DE CHAQUE INSTANT
L'article 38.3 et le considérant 97 du RGPD font bénéficier les DPO d'une totale indépendance dans leurs actions, « qu'ils soient ou non des employés du responsable de traitement ». Les lignes directrices du CEPD précisent que les DPO « ne peuvent être tenus d'adopter un certain point de vue sur une question liée à la législation en matière de protection des données ». Concernant cette indépendance (qui reste dans le cadre des missions incombant au DPO conformément à l’article 39) tout est question de personnalité.
De 2005 à 2018, la plupart des CIL internes ont prouvé qu'il était possible de remplir leur mission sans avoir à faire de concession et des CIL externes ont honoré leur contrat en n'hésitant pas à exposer clairement les non-conformités. À l'inverse, qui peut dire que jamais un CIL interne n'a été tenté de détourner le regard ou de battre en retraite sous la pression d'une direction ? Et qui peut assurer qu'un CIL externe n'a pas adapté son comportement à l'approche du renouvellement de son contrat, même si cette approche peut être qualifiée de stupide ?
À l'occasion d'une conférence organisée par la Cnil pour fêter en 2011 les cinq ans du CIL, le Professeur Gerhard Kongehl, qui dirige l’Ulmer Akademie (Bade-Wurtemberg), avait relaté la naissance difficile des Datenschutzbeauftragter (DSB) – la version allemande du DPO - et s’était livré à une description savoureuse des « mauvais » profils de délégués à la protection des données à caractère personnel qu’il avait observés outreRhin (4) : aux côtés du professionnel efficace (il comprend les besoins du responsable de traitement et cherche, avec ses collègues, une solution équilibrée et conforme à la loi), il signalait l'existence du DSB « vantard » (celui-ci se prend pour « l'homme fort » et aime tout contrôler, alors que le DPO doit se focaliser sur le conseil), ou « profiteur » (il ne connaît en fait que très peu la loi, ne répond pas aux attentes... mais s'accroche à son poste) ou encore « servile » (il s'agit généralement d’un DPO externe, travailleur indépendant, qui fait tout pour obtenir une prolongation du contrat qui le lie avec l’ organisme, au besoin en oubliant de signaler quelques non-conformités).
L’indépendance du DPO interne doit être rappelée dans sa lettre de mission (5). Le professionnel doit pouvoir travailler et s’exprimer librement (cf. considérant 97 et article 38.3 du règlement). Cela passe aussi par l’absence de conflit d’intérêts (cf. article 38 du RGPD). Concernant le DPO externe, ce point doit explicitement apparaître dans le contrat de service établi avec le donneur d’ordre. En cas de désaccord persistant sur des points fondamentaux de conformité, il serait logique que le contrat soit résilié.
QUELLE FORMULE CHOISIR ?
Aucune formule n’est « meilleure » qu’une autre, et chaque inconvénient exposé dans ce texte peut être minoré, par exemple concernant le DPO externe, en choisissant un consultant qui a déjà réalisé des missions pour le compte de l’organisme ou d’autres acteurs du même secteur (voire un ancien salarié) et le faire bénéficier d’un « relais » efficace au sein de l’entreprise.
Concernant le DPO interne, il convient d’assurer sa formation et le maintien de ses connaissances, mais aussi de prévoir son remplacement si nécessaire. L’externalisation semble la priorité pour les organismes de petite taille. Mais il est une formule qui n’est pas assez connue et qui, pourtant, répond parfaitement aux attentes des PME, celle du « deux temps partiel, en CDI (6) ». Dans ce cas, le professionnel de la conformité est embauché (en CDD ou, mieux, en CDI) en temps partiel et désigné DPO (interne) par deux responsables de traitement différents (de préférence dans des secteurs d’activité distincts) – à raison, par exemple, de trois jours pour le premier et deux pour le second.
Pour les organismes qui découvrent le sujet, le mieux est sans doute de faire appel à un DPO externe afin de « nettoyer les écuries d'Augias » : selon la taille de la structure, il lui faudra deux ou trois ans pour découvrir les cadavres dans les placards, procéder aux révisions les plus urgentes, changer drastiquement certaines habitudes, mettre en place les procédures indispensables. Une fois cette période critique passée, le chef d'entreprise peut alors désigner l'un de ses collaborateurs en tant que DPO interne, quitte à conserver une prestation de soutien auprès de l'ancien DPO externe.
Dans sa charte de déontologie du DPO (7), l’AFCDP a intégré un chapitre intitulé « Absence et prévention de conflits d’intérêts », qui stipule que « Les Délégués à la protection des données [externes] ne peuvent être le prestataire de plus d’un client ou mandant dans une même affaire s’il y a conflit ou risque sérieux de conflit entre les intérêts de ses clients ou mandants ; s’interdisent de s’occuper des affaires de tous les clients ou mandants concernés lorsque surgit un conflit d’intérêts, lorsque le secret professionnel risque d’être violé ou lorsque leur indépendance risque de ne plus être entière ; ne peuvent accepter une mission confiée par un nouveau client ou mandant si le secret des informations données par un ancien client ou mandant risque d’être violé ou lorsque la connaissance des affaires de ce dernier favoriserait le nouveau client ou mandant ; se doivent d’informer le Responsable de traitement/ sous-traitant ou le donneur d’ordre de tous les intérêts qui pourraient influencer leur jugement ou compromettre l’équité dont ils doivent faire preuve.
Par ailleurs, les Délégués à la protection des données externes devraient évaluer en toute transparence avec les Responsables de traitement/sous-traitant concernés s’ils peuvent être désignés pour des organismes qui peuvent se considérer comme concurrents. ». Pour les structures les plus importantes, la panacée est sans doute à trouver du côté d’une synergie efficace entre un DPO interne (qui a la bonne connaissance de la structure) et des prestataires extérieurs spécialisés (en droit, en sécurité informatique, en technique d’audit). Bien sûr, de multiples critères doivent être pris en compte pour faire le bon choix, entre DPO interne et externe, comme la taille de l’entreprise, l’étendue du système d’information, le nombre et la complexité des projets et la criticité des traitements, les moyens mis à disposition du DPO. Le contexte et le niveau de maturité de l’entité sont également importants.
Le passage d’une formule à l’autre présente quelques intérêts s’il est désiré et maîtrisé. En Allemagne, la cour fédérale du Travail a décidé le 23 mars 2011 qu'un responsable de traitement ne pouvait mettre fin au mandat d'un DPO interne afin d'en désigner un externe (rappelons que la désignation d'un Délégué à la protection des données est obligatoire de longue date chez nos voisins). La loi fédérale révisée en septembre 2010 exigeait en effet une « bonne raison » pour que soit mis fin à la mission d'un DPO interne (qui n’avait pas démérité). Le juge a estimé que la stratégie du chef d'entreprise – basée uniquement sur des critères économiques - ne répondait pas à cette condition.
S’il est délicat de tirer une règle de cette unique décision de jurisprudence, on perçoit que, pour la désignation initiale de son DPO, le Responsable de traitement n’a pas le droit à l'erreur... S'il décide de commencer par un prestataire externe et veut se donner la possibilité de ré-internaliser la fonction, il convient de le prévoir contractuellement avec le prestataire. Restent les questions relatives au coût et à l’efficacité de chaque formule, sur lesquelles il est difficile de statuer, tant les réponses dépendent de chaque cas de figure. Les DPO externes mettent en avant un coût apparent moindre mais pour une présence sans commune mesure avec celle d’un DPO interne (et il faut comptabiliser les coûts cachés du solide relais qui lui est dédié au sein de l’entreprise).
À leur crédit, le fait qu’ils soulagent leurs clients du besoin de former un DPO interne et de l’aider en permanence à conserver sa pertinence. Il s’agira alors pour les responsables de traitement de faire jouer la concurrence et de négocier, en se posant quelques questions en face de certaines tarifications anormalement basses (peut-on réellement espérer être conforme au RGPD pour quelques centaines d’Euros par an ?), qui peuvent en fait nécessiter des facturations supplémentaires pour réaliser un PIA, préparer une réponse à une demande de droit d’accès ou assurer un soutien en cas de contrôle de la Cnil. Il est intéressant de noter qu’aucun consultant ne « vit » uniquement sur des prestations de DPO externe mais que tous cherchent à assurer la pérennité de leurs activités en proposant également des missions de conseils, d’audit, de formation, voire de fourniture d’outils. Nous n’abordons pas ici les avantages propres à la mutualisation, évidents quand un unique DPO doit assurer la conformité d’organismes qui présentent des caractéristiques identiques (ce qui permet une sorte « d’industrialisation »).
SI L’ON RETIENT LA FORMULE DPO EXTERNE, COMMENT LE CHOISIR ?
Il revient au responsable de traitement de s’assurer que son DPO (qu’il soit interne ou externe) dispose bien des connaissances (aussi bien sur les aspects juridiques que sur les aspects techniques), du savoir-faire et du savoir-être (savoir résister aux pressions, savoir présenter une analyse à un comité de direction, savoir convaincre sans avoir besoin de brandir le risque de sanction, etc.) nécessaires, notamment pour être perçu par toutes les directions comme un interlocuteur pertinent.
Il doit aussi disposer d’un excellent relationnel pour lui permettre d’aller au contact des personnes pour interagir efficacement et chercher les bonnes informations. Compte tenu des enjeux et de l’augmentation de leur magnitude à la suite de l’entrée en application du RGPD (avec, notamment, l’explosion du montant des possibles sanctions), il convient de ne pas se tromper.
Concernant la sélection de consultants RGPD, voici quelques suggestions de points sur lesquels un responsable de traitement peut porter son attention afin d’éviter de confier sa conformité à un intervenant qui a suivi une formation de quelques jours sur le sujet et manque cruellement d’expérience et de vécu, il convient d’obtenir des éléments factuels permettant de juger de la réelle maturité du consultant : depuis combien de temps travaille-t-il dans le domaine ? A-t-il suivi des formations spécifiques en ce domaine – et si oui, de quel niveau et de quelle durée (accepterait-on de se faire opérer par un chirurgien ayant suivi trois jours de formation ?) ? À défaut d’une formation longue, quel est son « vécu » ?
A-t-il déjà soutenu des clients à l’occasion de contrôles de la Cnil ? A-t-il déjà été amené à soumettre une analyse d’impact à l’autorité de contrôle ? Les premiers enseignements de la grande étude sur les DPO menée en mars 2019 par l'Afpa à la demande du Ministère du Travail, avec la participation de l’AFCDP et le soutien de la Cnil (8), montre en effet que 40,1 % des DPO externes possédaient une expérience inférieure à deux ans (mécaniquement, avec le temps, ce taux va augmenter).
Plus problématique, 24,6 % d’entre eux indiquaient que plusieurs points importants du RGPD leur échappaient encore, voire qu’ils étaient « encore très loin de maîtriser tous les textes ». Au-delà du diplôme (voir la liste des formations longues préparant au métier de DPO (9)) ou de la certification (10) (qui se limite à la mesure du « que sais-je » mais ne couvre par le « que suis-je » et le « que sais-je faire ») présenté par le candidat, il est donc indispensable d’exiger des références et de prendre contact avec elles.
Comment trouver un DPO externe ? L’AFCDP met gracieusement à disposition une Place de marché RGPD (11), qui permet aux organismes de formuler leurs besoins et de recevoir des offres. Il est également possible de consulter la liste des organismes ayant désigné un DPO, publiée en open data par la Cnil (12) (et qui comporte des coordonnées de DPO externes), ainsi que la liste des signataires de la charte de déontologie du DPO (13).
Certains DPO externes font de la signature de ce document un élément majeur de leur relation avec leur leur client : « J’incite les chefs d’entreprise qui souhaitent me désigner en tant que leur DPD externe à signer la charte. La facilité avec laquelle ils l’envisagent est pour moi un indicateur de la qualité des conditions d’exercice de ma mission auprès d’eux » indique Christophe Champoussin, Administrateur de l’AFCDP et consultant Informatique et Libertés. À noter qu’il est exigé des signataires de souscrire à une assurance responsabilité civile professionnelle conçue spécifiquement pour une activité de DPO (14).
Lors du premier contact, une série de questions complémentaires relatives au fonctionnement du DPO externe choisi permet d’essayer de vérifier l’adéquation avec les besoins : de quelle façon compte-t-il maintenir son indépendance tout en assurant l’efficacité de ses actions ? Quelles sont ses exigences concernant les ressources que l’organisme doit lui mettre à disposition ? Dans quelle mesure est-il familier avec le secteur d’activité ou le type d’organisme ? De quelle façon et à quelle fréquence compte-t-il interagir avec la direction de l’organisme ? Quelle sera sa réactivité en cas d’imprévu (et comment son cabinet peut-il y faire face) ? Comment assure-t-il sa propre veille et formation continue ?
Nous reviendrons dans un prochain article sur le contenu du contrat qui doit être établi entre l’organisme (le responsable de traitement) et le DPO externe. Nous y traiterons de questions telles que : Quelle est la « bonne » durée du contrat ? Que prévoir pour la fin de mission ? Le DPO externe peut-il avoir accès aux données personnelles traitées par son client ? Quel est son statut (au sens du RGPD) ? Peut-on se séparer d’un DPO externe dont on est mécontent des services ? Le DPO externe peut-il prendre contact avec la Cnil sans l’autorisation de son client ? ❚
1 : https://afcdp.net/reglement-europeenrgpd-indexe-commente/
2 : www.afcdp.net/jobboard/offres
3 : www.afcdp.net/les-avis-du-comiteeuropeen-a-la-protection-des-donnees
4 : http://www.udis.de/doc/udis-GKongehlSenat-Paris-2011.pdf
5 : www.afcdp.net/dpo-fiche-de-poste-etlettre-de-mission/
6 : www.afcdp.net/devenir-dpo-sur-deuxcontrats-en-temps-partiel/
7 : www.afcdp.net/charte-de-deontologiedu-dpo/
8 : www.afcdp.net/etude-sur-le-metier-de-dpo/
9 : www.afcdp.net/la-formation-des-dpo/
10 : www.cnil.fr/fr/certification-descompetences-du-dpo-la-cnil-adoptedeux-referentiels
11 : www.afcdp.net/place-de-marche-rgpd/
13 : www.afcdp.net/charte-dedeontologie-du-dpo/
14 : www.afcdp.net/assuranceresponsabilite-civile-professionnelle/
L’auteur
Bruno RASLE, Délégué général de l’AFCDP, Chef de projet Informatique et Libertés dans l’une des branches de la Sécurité sociale. Co-auteur de "Halte au Spam" (Eyrolles, 2003), "Correspondant Informatique et Libertés : bien plus qu’un métier" (AFCDP, 2015), "Droit à l’oubli" (Larcher, 2015), "Protection des données personnelles – Se mettre en conformité pour le 25 mai 2018" (Editions législatives, 2017) et "Protection des données personnelles – Réussir sa mise en conformité" (Editions législatives, 2019). Il forme les DPO au sein d’un Mastère spécialisé depuis 2007 et a créé un « Kit de survie technique pour DPO, avocats et juristes ».
L’AFCDP
L’Association française des correspondants à la protection des données à caractère personnel (AFCDP), créée en 2004, regroupe et représente les professionnels de la conformité à la loi Informatique et Libertés et au RGPD - débutants comme expérimentés, dont les DPD (Délégués à la protection des données, ou DPO pour Data Protection Officer). Outre la promotion du métier et la mise à disposition de ressources indispensables à un DPD, l’AFCDP assure à ses 2 500 membres un lieu d’échange, d’information et d’entraide convivial, notamment au sein d’un réseau social privé. www.afcdp.net
Cette rubrique DPO/DPD & protection des données est réalisée avec le concours de l’AFCDP.