Le RGPD/GDPR[1] qui entrera en vigueur le 26 mai 2018, prévoit la création d'un nouveau poste au sein de l'entreprise, le DPO ou Data Protection Officer. Personnage clé et stratégique, son CV s'apparente à celui d'un oiseau rare à la fois juriste, informaticien et pédagogue. D'où, la question : peut-on externaliser cette fonction ?
Le Règlement ne tranche pas la question et cite simplement que "Le délégué à la protection des données peut être un membre du personnel (..), ou exerce ses missions sur la base d'un contrat de service". Quant à la CPVP[2], elle rappelle avec insistance que la fonction peut être externalisée.
Mission et profil du Data Protection Officer
Le DPO est une personne de confiance, qui rapporte directement au chef d'entreprise et qui jouit d'une indépendance totale dans sa mission ainsi que d'une protection particulière contre le licenciement (article 38 du RGPD).
Il est chargé entre autres de :
- Informer et conseiller le chef d'entreprise (le "Responsable du Traitement")
- Contrôler la bonne application du RGPD
- Est le contact entre l'entreprise et l'Autorité de Contrôle (la CPVP en Belgique, la CNIL en France, CNPD au Luxembourg, etc.)
- Est le point de contact avec les "Personnes concernées" (les individus dont l'entreprise collecte les données)
- Est consulté pour toute décision qui concerne des données privées (Cfr "Privacy By Default")
- Est alerté et consulté lorsque qu'une fuite de donnée est constatée
- Réalise les Analyses d'Impact (DPIA), détermine les actions correctrices et en vérifie l'exécution
Comme on le voit, il s'agit d'un poste à haute responsabilité qui demande des compétences larges dans des matières qui sont habituellement en opposition dans les entreprises :
- Compétences juridiques avec une connaissance parfaite du RGPD
- Excellentes connaissances en informatique
- Maîtrise des questions de Cybersécurité
- Compréhension des enjeux commerciaux et marketing
- Sens de la communication et faisant preuve de diplomatie
Obligation d'avoir un DPO, une affaire de bon sens
Voilà bien un point qui n'est pas clair aujourd'hui (juin 2017) tant le Règlement et les lignes de conduite du G29[3] sont sujets à interprétations. Ce dont on est sûr c'est qu'il sera obligatoire pour toutes les institutions publiques et dans le privé lorsqu'on a affaire à des traitements qui "exigent un suivi régulier ou systématique à grande échelle" ou lorsque le traitement concerne des données sensibles (données médicales, orientations politiques, sexuelles, etc.) ou des individus plus fragiles (enfants, salariés, etc.).
Quant à l'interprétation de "suivi régulier" et (traitement) "à grande échelle", en l'absence de clarification, autant dire qu'il sera prudent de désigner d'office un DPO dès qu'un doute subsiste. À noter d'ailleurs que le règlement encourage les entreprises à désigner un DPO sur base volontaire. Je laisse aux juristes le soin d'interpréter le RGPD et je me contenterai de donner un avis basé sur le bon sens. Dès lors si votre entreprise :
- Traite des données sensibles (données médicales par exemple);
- Ou procède à des profilages (recoupement de données pour en établir de nouvelles, comme définir une catégorie socio-professionnelle en fonction du quartier habité par exemple);
- Ou traite des volumes importants (par exemple plusieurs milliers d'individus ou une majorité d'individus dans un groupe défini ou un relevé important de données par individus);
- Ou exploite ces données régulièrement (une newsletter par mois, un système de collecte permanent et efficient, des relances régulières via call center, etc.)
- Ou traite des données qui concernent personnes "fragiles" (par exemple des enfants, des personnes âgées, des salariés, etc.)
- Ou échanges des données avec des organisation hors Union Européenne
- Et sachant que cette liste n'est certainement pas exhaustive,
Alors il me semble que le bon sens et la bonne gestion impose effectivement la nomination d'un DPO…
Coût d'un DPO
On l'a vu le profil exigé n'est pas des plus facile à trouver…
Le salaire d'un DPO interne sera probablement du même ordre de grandeur que celui d'un cadre moyen ou supérieur.
Mais en avez-vous besoin à plein temps ?
Probablement pas. Cependant il sera difficile de moduler son salaire et d'arbitrer sa disponibilité entre une activité probablement valorisante une tâche habituelle qui l'est moins.
Il est évident que si vous externalisez le DPO le coût restera sous contrôle. La disponibilité du DPO pourra être modulée en fonction de la charge (de quelques heures par mois à ponctuellement un plein temps en cas de nouveau développement par exemple).
Quant à la tarification, il s'agira de faire jouer la concurrence et de négocier !
Contraintes
Le DPO bénéficie de certaines dispositions inscrites dans le règlement :
- Il est indépendant et ne reçoit pas d'instructions dans le cadre de sa mission
- Il ne peut pas être relevé de ses fonctions (il est donc protégé contre le licenciement)
- Il rapporte directement au chef d'entreprise
- Il est soumis au secret professionnel (sauf via à vis de l'autorité de contrôle)
- Il ne peut être en conflit d'intérêts.
Ce dernier point sensible mérite un développement particulier
Conflit d'intérêts
Imaginez que votre directeur marketing demande à votre service informatique de mettre au point un système de profilage élaboré permettant au service commercial de disposer de listes nominatives reprenant les prospects captifs d'un nouveau produit…
Votre DPO découvre une de ces listes imprimées accompagnées d'une clé USB à la machine à café. Il devra émettre immédiatement un avis négatif auprès du CEO : il n'a pas été consulté préalablement, il n'a donc pas pu évaluer le risque ni la licéité du traitement et par ailleurs l'entreprise n'a pas appliqué le principe pourtant obligatoire du "Privacy By Design".
Il se fait que votre DPO est aussi responsable du service achat et quelques jours plus tard, le directeur Marketing refuse toute une livraison de brochures sous prétexte qu'elles sont mal imprimées.
Vous-même, Chef d'entreprise, la trouvez amère parce que selon votre directeur commercial, cette opération devait vous amener à atteindre les objectifs de vente du trimestre. Ce DPO est vraiment un emmerdeur !
Votre DPO, mis sous pression, adoucit son rapport et finalement demande à tout le monde "de faire mieux la prochaine fois".
Un mois plus tard, un bon millier de Clients reçoivent un phishing à l'effigie de votre entreprise, une des clés USB a été volée, les données n'étaient pas chiffrées.
Je vous laisse imaginer les conséquences...
Un DPO "à temps partiel" sera à l'évidence toujours sous pression et il ne pourra d'ailleurs que difficilement cumuler le poste de DPO avec une fonction à responsabilité dans la vente, le marketing ou l'informatique (et d'autres ?) sans être en conflit d'intérêts de manière chronique
C'est sans doute le risque de conflit d'intérêts l'argument principal qui doit vous guider vers une externalisation de la fonction de DPO.
Conclusions
Il semble évident que l'externalisation aura de nombreux avantages pour la majorité des PME. C'est sans doute moins vrai dans les grandes entreprises ou le DPO sera employé à sa tâche à plein temps, voire gérera une équipe entièrement dédiée à cette mission.
| DPO INTERNE | DPO EXTERNE | |
| AVANTAGES |
|
|
| INCONVÉNIENTS |
|
|
[1] RGPD / GDPR est le nouveau Règlement (européen) Général pour la Protection des Données.
[2] La Commission de la Protection de la Vie Privée (CPVP) est l'autorité de contrôle "Vie Privée" en Belgique
[3] Le G29 ou Groupe de Travail Article 29 est composé des autorités de contrôle des 28 états membres et du contrôleur européen de la protection des données. Il s’emploie à publier des lignes directrices afin de fournir une interprétation du Règlement.
Commentaires récents