Quelles sont les missions présentes dans la fiche de poste d’un DPO ?
En tant qu’entreprise, vous êtes sensé(e) disposer de données à caractère personnel concernant vous clients et vos utilisateurs. Vous êtes ainsi normalement concerné(e) par le RGPD et devez donc justifier de la conformité de votre entité avec celui-ci. Et ce n’est pas toujours une mince affaire car il est vite possible de se sentir submergé(e) par ce règlement nécessitant le respect de plusieurs étapes clés parfois laborieuses. Et c’est là que le délégué à la protection des données intervient. Mais qui est-il ? Quelles sont ses missions et les enjeux auxquels il doit faire face ? Comment le désigner au sein de son entreprise ? Est-il interne ou externe ? Réponse dans cet article.
Qu’est-ce qu’un DPO ?
Par définition
La data protection officer, plus communément appelé DPO ou délégué à la protection des données, est une personne nommée au sein d’une entreprise en vue d’assurer le respect de la protection des informations à caractère personnel. En d’autres termes, il veille à ce que les données personnelles ne soient pas volées ou utilisées à tort et protège ainsi l’entité à laquelle il est affilié des sanctions judiciaires. Il est en ce sens le garant de la mise en conformité avec le Règlement Général sur la Protection des Données et joue donc un rôle majeur.
La responsabilité du respect RGPD
En tant qu’entreprise, vous collectez dans la majorité des cas des données personnelles. En matière de données personnelles, nombreuses sont les occasions de recueillir de précieuses informations sur votre cible : à travers un questionnaire, avec la création de dossiers client ou encore sur votre site web via le bandeau cookies. Mais après, où sont stockées ces données et quelle est l’utilisation qui en est faite ?
Entré en vigueur le 25 mai 2018 et instauré par la CNIL (Commission Nationale de l'Informatique et des Libertés), le Règlement Général sur la Protection des Données (RGPD) est centré sur le droit des utilisateurs à pouvoir contrôler l’utilisation de leurs données personnelles. Ce droit s’appuie sur 4 points concernant le traitement des données utilisateurs :
➡️ leur traitement
➡️ leur stockage
➡️ leur protection
➡️ leur diffusion.
Le RGPD s’applique à toute organisation du territoire européen qui traite des données personnelles, ainsi qu’à toute organisation or territoire européen mais dont la cible est européenne.
Obligatoire, il en va de votre devoir de professionnel de le respecter si vous ne voulez pas en subir les sanctions, et être tenu(e) comme responsable de la potentielle fuite de vos données client. Car en effet, quand vous respectez le RGPD, vous instaurez directement un périmètre de confiance et de sécurité, et cela démontre votre implication et votre sérieux vis-à-vis de la protection des données qui sont en votre possession. Indirectement, cela souligne le respect que vous portez à vos clients et utilisateurs.
Le processus de traitement du non-respect RGPD
Différentes mesures peuvent être prises par la CNIL dans le cadre d’un non-respect RGPD, à des degrés variés. En effet, à travers des plaintes utilisateurs, un contrôle en ligne ou en physique d’une autorité de la CNIL, ou suite à une violation de données, votre entreprise peut être mise en porte à faux. Les répercussions sont parfois être très importantes et peuvent impacter lourdement votre activité.
Suite à ces différents motifs de signalement, la CNIL peut désigner un “rapporteur” parmi les membres de la Commission, dans le cadre où votre dossier ne sera pas mis en demeure ou clôturé immédiatement. Ce rapporteur va être chargé de constituer et rédiger un dossier concernant votre manquement au Règlement Général sur la Protection des Données, avec un sanction établie par la formation restreinte. La formation restreinte est l’équipe de Commissaires qui déterminera votre potentielle sanction à la réception du dossier et la présentation du rapporteur.
Le délai de réponse de votre DPO ou d’un des membres de votre organisme est de un mois. Ce délai peut vous permettre de recueillir les éléments nécessaires qui plaident en votre faveur, et le DPO est dans ce cas de figure un élément primordial. Vous devrez ensuite assister à une séance de la formation restreinte dont vous aurez été informé(e) un mois auparavant par convocation. Après délibération, la formation restreinte choisira ou non de vous attribuer une sanction.
Les différentes sanctions possibles
Les risques encourus peuvent s’avérer plus ou moins élevés en fonction de la gravité du délit. Les sanctions peuvent être parfois rendues publiques, accompagnées ou non d’une amende. La CNIL peut donc pénaliser votre organisme via :
➡️ des sanctions pénales
➡️ des sanctions administrative
➡️ le versement de dommages et intérêts pour préjudices moraux.
Les sanctions qui sont rendues publiques peuvent lourdement impacter l’image de votre entreprise. De plus, les acteurs principaux de la fraude peuvent écoper de 5 ans d’emprisonnement.
Les pénalités pécuniaires peuvent également être importantes :
➡️ de 2 à 4% du chiffre d’affaires annuel
➡️ de 10 à 20 millions d’euros d’amendes.
Une note qui ne laisse pas le droit à l’erreur, et qui ne donne pas envie d’aller à l’encontre de la direction et de l’autorité de la CNIL. Ainsi, en connaissance de ces éléments, un délégué est-il ou non obligatoire pour les organismes ?
Le DPO est-il obligatoire ?
Le DPO n’est pas obligatoire dans toutes les entreprises et les organisations. Vous devez obligatoirement disposer d’un DPO dans la mesure où :
➡️ vous êtes un organisme public
➡️ vous êtes une entreprise amenée à faire un suivi régulier en matière de données
➡️ vous êtes un organisme qui traite des données sensibles, c'est -à -dire des données à caractère personnel concernant un individu.
Cependant pour le reste, il est tout de même recommandé de recourir à un DPO pour ne pas risquer de subir les sanctions en matière de violation de données personnelles.
Un DPO interne ou externe ?
Comme nous venons de le voir, la mission du DPO n’est pas une mince affaire et les différents traitements de données personnelles de votre entreprise doivent faire l’objet d’une attention particulière. L’avantage, c’est que la Commission nationale de l’informatique et des Libertés n’impose aucune contrainte concernant le choix du data protection officer.
Ainsi, si vous pensez ne pas avoir le temps de vous en charger en interne, préférez opter pour un délégué à la protection externe. En effet, cela paraît l’option la plus judicieuse si vous n’êtes pas à l’aise avec l’aspect juridique du RGPD et que vous voulez éviter tous les risques.
En revanche, si vous pensez disposer de la personne ayant les compétences requises pour exercer cette fonction en interne, cela sera tout à fait envisageable. L’avantage de disposer d’un DPO en interne est qu’il possède une certaine expérience au sein de votre organisme, notamment d’un point de vue juridique et concernant les différents traitements de vos données clients / utilisateurs. De plus, des formations existent afin d’apporter un accompagnement et des bases solides à la personne qui est désignée comme responsable des données au sein de votre organisme.
Ainsi, si vous êtes une PME, l’externalisation peut être la solution la plus sûre pour éviter tous les risques lors d’un potentiel contrôle, sauf dans les cas où une personne est déjà habilitée en interne à effectuer cette tâche et dispose du temps nécessaire.
Or, si vous êtes une grande entreprise, il est vivement conseillé d’avoir votre propre DPO en interne à temps plein pour la gestion de vos différents flux en matière de données. En effet, s'immerger dans la vaste étendue des données d’un organisme colossal peut être un périlleux exercice pour une personne extérieure.
Maintenant que nous venons de voir les enjeux liés au délégué à la protection des données et son importance au sein des organismes, nous allons maintenant nous concentrer sur l’impact de ses différentes missions dans la sécurité des datas.
Les différentes missions du DPO
Les missions du DPO sont énoncés dans l’article 38 et l’article 39 du RGPD, qui l’assigne en tant que responsable du traitement des différentes données. Cependant, il n’est pas désigné comme fautif en cas de non-respect du RGPD. Il doit simplement être en mesure de prouver que les traitements sont réalisés sur la base de l’article 24.1 du RGPD, soit en bonne et due forme.
Toujours s’informer et veiller
Sa mission principale consiste à s'informer afin d’avoir une culture informatique et juridique importante. Votre data protection officer doit en effet maîtriser les concepts de base de la protection des données afin de pouvoir établir correctement et maintenir la mise en conformité de votre organisme.
Et quand on parle de s’informer, on fait plus particulièrement référence au RGPD ainsi qu’aux actualités et contenus publiés par la Commission nationale de l’Informatique et des libertés. En d’autres termes, votre DPO doit se renseigner au niveau des changements pour les professionnels, pour les collectivités, avoir connaissance des textes de référence.
Il doit également connaître les bonnes pratiques délivrées par la CNIL et les mettre en œuvre. Avec ce rôle bien défini, le data protection officer pourrait presque s’apparenter à un métier à part entière en matière d'expérience et de responsabilité. C’est d’ailleurs pour cette raison que les grosses structures optent dans la majorité des cas pour un DPO en interne, exerçant intégralement et à plein temps le rôle de responsable des données.
Mais les tâches du data protection officer ne se limitent pas à de l’information sur le plan juridique, et nécessitent des compétences allant au-delà de la sécurité et de la mise en conformité.
Un aspect ressources humaines
Mis à part le devoir de l’information, la data protection officer doit également avoir un rôle de sensibilisation. En effet, il s’agira d’initier une réflexion globale avec les collaborateurs de son entité afin de mettre en place des procédures stables et cohérentes sur la gestion des différents flux de données. Ceci, dans le but que lui puisse ensuite suivre les étapes clés de la bonne gestion en matière de datas. Il représente donc une autorité de conseil et d’accompagnement pour les différentes équipes dont l’impact doit se faire ressentir.
Ainsi, votre délégué devra donc être impliqué dans la conception de documents de type “charte d'utilisation et de traitement des ressources informatiques”, “politique de récolte", “violation de droits utilisateurs”, "procédure de gestion de droits”, etc. Ceci, afin de limiter au maximum les erreurs de traitement et pouvoir ainsi protéger au mieux votre entreprise des risques RGPD.
Plus l’ensemble de vos collaborateurs sont informés et formés au niveau des risques et des bonnes pratiques à mettre en place, plus l’exercice de la mise en conformité sera fluide et automatique pour votre délégué. Si vous êtes directeur / directrice, le fait de désigner une personne relais pour chaque pôle métier (marketing, RH, etc) et instaurer des réunions mensuelles avec eux, permettra un gain de temps dans la collecte d’informations numériques. Ces réunions permettront également à la direction de réajuster si-besoins les procédures, et de piloter et améliorer les différentes mises en œuvre.
La coopération avec une autorité de contrôle
Le DPO ne doit pas être que en contact avec le directeur ou les personnes relais de son organisme. En effet, il doit également représenter le principal interlocuteur de l’autorité de protection de la CNIL et lui faciliter l’accès aux documents sur les différents traitements. Bien que le délégué est soumis au secret professionnel vis-à-vis du directeur de son organisme, cela ne peut interférer avec les demandes de l’autorité en cas de besoin.
Devenir DPO
Être DPO ne s’improvise pas et ce métier nécessite quelques savoirs-être et certaines qualités professionnelles. Ainsi, plusieurs pré requis sont nécessaires afin de se préparer à l'éventualité de devenir DPO. En effet, des compétences avérées et une formation sont recommandés pour que votre délégué assure correctement sa fonction. Des compétences en droit, en gouvernance d'entreprise, en diagnostic, en gestion des risques, en connaissance des métiers sont vivement désirées.
Il existe plusieurs moyens d’acquérir la certification DPO. En matière de dispositifs de formation, un large choix peut délivrer le précieux sésame. Les formations en ligne (MOOC) permettent d’acquérir les fameux pré requis fondamentaux et permettent à l’apprenant de se familiariser avec les différentes missions du délégué. Les formations en présentiel dont la durée varie permet également fournir la certification.
Des formations sont également disponibles à l'université afin d’acquérir les compétences nécessaires pour assumer le rôle du DPO. Parmi les campus, l’université de Paris 2 Panthéon-Assas en partenariat avec Apave Certification, permet d’exercer cette formation dans ses locaux. Mais il n’y a pas qu’à Paris que vous aurez la possibilité de suivre une formation similaire.
Vous avez des questions au sujet de la mise en conformité RGPD ? Contactez-nous dès maintenant afin de nous faire part de vos interrogations.