DPO externe : quelles conditions pour une prestation « idéale » ?

Par Christophe Champoussin, Administrateur de l’AFCDP, et Bruno Rasle, Délégué Général de l’AFCDP • Novembre 2019 •

Depuis le 25 mai 2018, date d’entrée en application du RGPD, de nombreux consultants indépendants et sociétés proposent des prestations de Data Protection Officer externe. Nous avons vu dans un précédent article les raisons qui peuvent mener à opter pour la formule du DPO externe plutôt que celle du DPO interne, chacune ayant ses avantages et ses inconvénients. Ce second texte se focalise sur les conditions qui doivent prévaloir à la réalisation de la prestation « idéale », à la fois pour le responsable de traitement et pour le DPO externe.

Rappelons que le Délégué à la Protection des Données externe peut être une personne morale ou une personne physique. Les lignes directrices WP243 du G29 du 5 avril 2017 (endossées depuis par le CEPD) précisent en effet que « La fonction du DPD peut aussi être exercée sur la base d’un contrat de service conclu avec une personne ou un organisme indépendant de l’organisme du responsable du traitement ou du sous-traitant. Dans ce cas, il est essentiel que chaque membre de l’organisme exerçant les fonctions de DPD remplisse l’ensemble des exigences applicables établies à la section 4 du RGPD (par exemple, il est essentiel qu’aucun des membres de l’organisme n’ait de conflit d’intérêts). Il est tout aussi important que chaque membre soit protégé par les dispositions du RGPD (par exemple, pas de résiliation abusive du contrat de service pour les activités de DPD pas plus que de licenciement abusif d’un membre de l’organisme exerçant les missions du DPD) ».

Pour aider les responsables de traitement à entrer en contact avec les prestataires, l’AFCDP propose une « Place de marché RGPD » gratuite. Et le marché est porteur, comme le confie Alessandro Fiorentino consultant RGPD qui avait tenu à décrocher le grade de Mastère Spécialisé en « Management et Protection des données personnelles » en 2013 avant de proposer son expertise à ses clients, « Pour le moment, nous n’avons toujours pas besoin d’aller chercher des missions de conseil. Les appels entrants suffisent à occuper mon équipe. Nous avons d’ailleurs décidé de ne pas nous positionner en tant que DPO externe. Nous préférons les accompagner avec notre offre de formation et notre métier d’éditeur d’outils pour les DPO. Nous mettons l’effort dans leur soutien ».

Une priorité pour le DPO externe : se mettre à l’abri des conflits d’intérêts

L’étude réalisée en 2019 par l’AFPA, à la demande du Ministère du Travail et avec la participation de l’AFCDP, indique que si 90,7 % des DPO externes ont été désignés pour moins de cinquante clients, 0,6% des prestataires sont désignés pour plus de mille responsables de traitement.

Les professionnels peuvent-ils être désignés pour des responsables de traitement qui seraient concurrents directs ? Là où le RGPD est silencieux, la Charte de déontologie du DPO indique que « Le Délégué à la protection des données s’interdit d’être le prestataire de plus d’un client ou mandant dans une même affaire s’il y a conflit ou risque sérieux de conflit entre les intérêts de ses clients ou mandants ; s’interdit de s’occuper des affaires de tous les clients ou mandants concernés lorsque surgit un conflit d’intérêts, lorsque le secret professionnel risque d’être violé ou lorsque son indépendance risque de ne plus être entière ; ne peut accepter une mission confiée par un nouveau client ou mandant si le secret des informations données par un ancien client ou mandant risque d’être violé ou lorsque la connaissance des affaires de ce dernier favoriserait le nouveau client ou mandant ; se doit d’informer le Responsable de traitement/sous-traitant ou le donneur d’ordre de tous les intérêts qui pourraient influencer son jugement ou compromettre l’équité dont il doit faire preuve. ».

Les Délégués à la protection des données externes doivent donc prendre le soin d’évaluer en toute transparence avec leurs clients s’ils peuvent être désignés pour des organismes qui peuvent se considérer comme « concurrents ». De l’autre côté de la barrière, les clients ont tout intérêt à prendre connaissance de la liste de références du consultant qu’ils envisagent de désigner DPO. Le tout, c’est d’en discuter de façon ouverte avant de statuer en connaissance de cause.

De l’intérêt de conclure un « bon » contrat

Au-delà du bon sens qui impose de contractualiser avec tout prestataire, le RGPD (cf. son article 37.6) impose la formalisation d’un document qui précise le contenu de la prestation : « Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service ».

Il semble utile, en début de contrat, de rappeler les obligations de chacune des parties. En effet, si le RGPD définit dans son article 39 les missions du DPO, il indique également la « fonction » de ce dernier dans l’article 38 qui liste les obligations du Responsable de traitement vis-à-vis de son DPO. Un contrat équilibré indiquera donc, a minima, les obligations issues de ces deux articles. Au-delà, le contrat devrait prévoir les autres missions que le client décide de confier au DPO externe, telles que le suivi des demandes des personnes concernées ou encore la réalisation des analyses d’impact sur la vie privée (AIPD). Naturellement, il faut que le contexte permette au professionnel de remplir sa mission. C’est également une exigence de la Charte de déontologie du DPO : « Le professionnel veille à ce que les contrats passés avec les donneurs d’ordres définissent précisément les conditions et moyens d’exécution de la prestation ».

Le 3 de l’article 38 du RGPD dispose que « Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ». Le niveau d’interaction entre le prestataire et l’organisme doit donc aussi figurer dans le contrat. Il est sage également que le document mentionne explicitement l’assurance Responsabilité Civile Professionnelle à laquelle le prestataire a souscrit, avec les garanties appropriées (le prestataire devra bien sûr présenter ou tenir à disposition de son client une attestation sur simple demande).

Il est sain d’aborder dans le contrat et d’y préciser des points comme l’accès du DPO aux données à caractère personnel, le mode d’interaction du DPO externe avec les personnels (peut-il, de son propre chef, lancer un audit ou interroger les collaborateurs ?), sa capacité d’interaction avec la CNIL (peut-il contacter la CNIL au sujet des traitements de son client, de sa propre initiative ?), la fin de mission, etc.

La question de la disponibilité doit être étudiée : le prestataire sera-t-il joignable en cas de contrôle sur place de la CNIL ou en cas de violation de données ? Pour Cendrine Cosquer, DPO externe en Martinique, la question est importante : « Avec mon équipe, nous nous sommes organisés afin de pouvoir répondre aux urgences à tout moment. C’est un dispositif très lourd et peut-être une barrière à l’entrée pour les consultants isolés ». Il est vrai que la fourniture par le prestataire de procédures efficaces peut permettre de pallier l’absence immédiate du consultant.

Naturellement, le contrat doit détailler de manière claire les prestations et leurs coûts ainsi que les éventuelles prestations hors contrat, et une indexation peut également être prévue, sur l’un des indices INSEE du coût du travail par exemple.  La question du modèle économique est fondamentale : facturation au réel, à la journée, ou bien au forfait ? « Après avoir démarré mon activité en mode projet (un sujet, une tâche, un nombre de jours facturés), je suis finalement passé à l’abonnement. Je demande à être désigné DPO externe pour un an, renouvelable tacitement avec une dénonciation du contrat sous trois mois. Ce mode, plus pérenne, est plus adapté à l’exercice comptable de nombre de mes clients – surtout dans le secteur public – et surtout mieux compris » indique Christophe Michoud, membre de l’AFCDP et DPO externe.

Quelle est la durée « idéale » du contrat ?

Le RGPD est totalement silencieux à ce sujet, qui, cependant, avait été l’objet d’un débat lors des travaux qui ont mené au texte définitif. On relève, dans le projet de rapport du 17 décembre 2012 de la Commission LIBE (Commission des libertés civiles, de la justice et des affaires intérieures - qui avait pour rapporteur Jan Philipp Albrecht) sur le projet de RGPD, que la Commission proposait d’imposer une durée minimale de désignation de deux ans (« Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci », tandis que le Parlement proposait de porter la durée minimale à quatre ans. On apprendra par la suite que cette proposition émanait de l’Allemagne (pays qui dispose de Datenschutzbeauftragter depuis plus de quarante ans).

L’étude de l’AFPA indique que la moitié des DPO externes ont signé des contrats d’une durée d’un an avec leurs clients (14,1 % ont signé pour deux ans, 11,7 % pour trois ans et 22,4 % pour plus de trois ans). On peut y voir une certaine prudence ou une difficulté pour certaines organisations à se projeter sur la fonction du DPO, son utilité et le choix d’organisation (externalisation ou internalisation). En effet, la mission du DPO externe peut permettre de préfigurer ce que sera la mise en place, à terme, d’un DPO interne. Cela explique probablement le nombre important de désignations pour une durée courte. Ceci est à mettre en perspective avec le fait qu’il faut souvent plusieurs années pour espérer mettre en conformité un organisme qui découvre le sujet. « Je n’accepte jamais une mission sans avoir rencontré les décideurs. Cet entretien sert surtout à orienter le plan de route : je n'ai pas la même approche selon que le dirigeant vise une certification, la conformité ou une réduction de ses risques » indique Alexandre Eloy, Membre AFCDP depuis 2011 et DPO externe.

Certains coûts cachés peuvent difficilement être facturés aux clients, comme l’indique Thierry Roby, consultant RGPD, « Tout est plus compliqué pour le DPO externe, car il n'est pas physiquement présent en permanence. Ceci appelle une action renforcée et des interactions plus fréquentes... là où beaucoup de clients s'imaginent que la conformité peut être livrée « Clé en Main ». Ainsi, il arrive que les référents métiers, désignés par le client, découvrent totalement le sujet, et qu'il nous faille les former a minima avant de pouvoir entamer réellement notre mission. ».

Mais avant de s’engager, on peut aussi se fiancer… « Je propose à mes clients de me « tester » avant de prendre la décision de me désigner auprès de la CNIL comme son Délégué à la Protection des Données externe. Il ne prend sa décision qu’après m’avoir vu réaliser la cartographie et pris connaissance de mon rapport d’audit. De cette façon, nous évitons les erreurs de casting » indique un praticien, tandis que Jean-Michel Livoswky confie utiliser la Charte de déontologie du DPO comme outil de qualification de ses clients : « Si notre interlocuteur rechigne à la signer, nous préférons concentrer nos efforts sur d’autres entreprises ». Ce même professionnel ajoute « Nous effectuons gratuitement, en leur présence et pour chaque prospect, une revue complète de conformité de leur site web, que nous présentons avant la signature. Cela donne à notre futur client une vue plus précise sur notre façon de travailler et nos méthodologies. En cas de signature, nous remettons alors le rapport écrit ».

Facteurs de succès et respect de l’indépendance du DPO externe

On peut se référer, sur ce sujet, à la Charte de déontologie du DPO, qui indique que « Le Délégué à la protection des données externe accepte sa désignation uniquement s’il dispose d’un accès facile et sans condition au Responsable de traitement ou à son représentant direct et un rattachement au plus haut niveau de la hiérarchie ; reçoit du Responsable de traitement les informations et documentations suffisantes, pertinentes et fiables pour fonder ses conseils, conclusions et recommandations ; bénéficie d’un accès facilité aux interlocuteurs, disposant des compétences et de l’autorité nécessaires, au sein de l’entreprise ». Le texte précise que le DPO externe « se doit d’exiger du donneur d’ordres les moyens et ressources adéquats et nécessaires à la bonne réalisation de la fonction ou de la mission, et de notifier clairement et sans délai tout défaut sur ce point : informations et documentations suffisantes, pertinentes et fiables pour fonder ses conseils, conclusions et recommandations ; accès facilité aux interlocuteurs privilégiés, disposant des compétences et de l’autorité nécessaires, dans les différentes composantes de l’entreprise. ». Parmi les fonctions clés avec lesquels une synergie devra être recherchée, figurent naturellement le RSSI et/ou le DSI et le Directeur juridique.

Pour Martine Ricouart-Maillet, Administratrice de l’AFCDP, c’est un sujet majeur : « Plus que pour un DPO interne, un DPO externe doit avoir l’écoute et le soutien des dirigeants pour pouvoir insuffler un rythme de mise en conformité, car, le prestataire n’étant pas présent en permanence, les opérationnels ont tendance à n’en faire qu’à leur tête et à leur cadence dès lors que l’on a le dos tourné… Savoir s’imposer sans vexer est tout un art. Il me semble dès lors que nous avons besoin de faire des points d’étape avec le responsable de traitement plus fréquemment que le DPO interne. ». Myriam Vallin, DPO externe, exige qu'il y ait un chef de projet en interne qui soit son point d'entrée au sein de l’entreprise : « Il doit disposer d'une demi-journée, voire une journée par semaine à consacrer sur le sujet ».

Comme le DPO interne, le DPO externe ne reçoit aucune instruction dans l’exercice de sa fonction et arrête seul les décisions s’y rapportant. Là encore, la Charte de déontologie du DPO est une référence : « Le client doit définir et faire connaitre les mesures garantissant l’indépendance de son Délégué à la protection des données externe. Il doit s’abstenir de toute ingérence et met le Délégué à la protection des données dans une situation qui lui permet de fait d’assurer cette indépendance ». Mais, si le DPO externe agit de manière indépendante, cette liberté ne signifie pas qu’il agit seul et sans concertation. Ainsi, s’il estime devoir prendre contact avec la CNIL (par exemple pour déposer une demande de conseil), il est sain qu’il le fasse après en avoir conféré avec son client.

Comme son homologue interne, le Délégué à la protection des données externe répond avec diligence à toutes les demandes de la CNIL et entretient des relations loyales avec la Commission et ses personnels. Il ne communique que le strict nécessaire concernant les activités du Responsable de traitement dans le cadre de ses échanges avec l’autorité de contrôle. En cas de contrôle sur place de la CNIL – et comme un DPO interne -, il collabore loyalement à la mission de la CNIL en permettant, dans le respect des dispositions légales et règlementaires relatives à la protection de la vie privée et des secrets qu’elles protègent, la consultation, immédiate ou dans les plus brefs délais, de toute pièce réclamée, en version à jour. Il facilite la copie de ces pièces par les agents de contrôle et en informe son client.

Comme les confrères internes, les DPO externes doivent savoir résister aux influences abusives et aux préjugés : « Les Délégués à la protection des données sont sensibilisés à toutes les influences que peuvent essayer d’exercer d’autres parties intéressées sur leur jugement, leur analyse et leurs conseils. Le principe d’objectivité impose aux professionnels de ne pas compromettre leurs jugements en raison de préjugés, de conflits d’intérêts ou d’autres influences abusives. » (Charte de déontologie du DPO).

Quid de l’obligation du RT d’assurer la formation de son DPO ?

Concernant les capacités du prestataire à remplir la fonction de DPO externe, la Charte de déontologie du DPO stipule que « Le professionnel …/… s’interdit de donner à ses clients potentiels toute indication erronée quant à sa capacité et aux moyens tant humains que matériels dont il dispose (capacité à assurer la mission/la prestation). Il accepte une mission seulement s’il se juge compétent pour le faire, ce qui signifie qu’il dispose des connaissances et des ressources nécessaires afin d’exercer la fonction ou la mission dans les meilleures conditions possible. Dans les cas où il identifie une carence, il en fait part à son interlocuteur pour trouver les moyens d’y remédier, notamment par un effort de formation complémentaire. ».

En clair, il n’est pas nécessaire pour un client d’exiger de son prestataire qu’il ait déjà une connaissance parfaite de son secteur d’activité et de ses métiers, si cela est acté et que le DPO externe y pallie rapidement. C’est ce que confirme Cendrine Cosquer, animatrice du groupe de travail « AFCDP Martinique » : « Lors des premiers contacts, certains clients essaient de nous tester et de mesurer notre connaissance de leur secteur d’activité et de leur métier. Il ne faut surtout pas hésiter à avouer sa méconnaissance ponctuelle et à faire part de son engagement à y pallier pour être en mesure de réaliser la mission. J’ai toujours constaté que la franchise paye et que la loyauté est récompensée. ». Un autre professionnel abonde dans ce sens : « La gestion du temps est un vrai casse-tête. Rapidement, mes bonnes intentions selon lesquelles je devais précieusement réserver du temps pour conserver ma compétence et réaliser ma veille sont parties en fumée, sous la pression des urgences clients et des imprévus. En fait, comme nombre de consultants dans tout domaine, je complète ma formation principalement au fil de mes missions. ».

À l’inverse, d’autres professionnels préfèrent se concentrer sur un secteur, comme Myriam Vallin qui accompagne une vingtaine de clients, « Ils sont tous dans le même secteur d’activité – mais sans notion de concurrence entre eux. C'est une niche dont je ne souhaite pas sortir car j'ai bien conscience que c'est ma connaissance de leur métier qui fait la différence. ».

Il est sage de prévoir la fin de mission

Il est important de prévoir la fin de mission. Un contrat avec un DPO externe doit anticiper son échéance et la transition avec un successeur, fût-il concurrent. Des mesures concrètes, notamment concernant la restitution de tout document dans un format directement utilisable, et en particulier du registre des traitements, doivent être intégrées. Si le registre est géré dans un outil logiciel, un export vers un format réutilisable doit être prévu. La Charte de déontologie du DPO précise que « En fin de mission, le Délégué à la protection des données externe s’engage à remettre à son client tous les éléments en sa possession relatifs à sa mission. En sus, l’idéal et dans la mesure du temps dont il dispose à cet effet, est qu’il s’engage à informer son éventuel successeur sur les travaux en cours - cela pouvant faire l’objet d’une facturation si non prévu dans sa prestation ». La confidentialité, qui doit impérativement figurer dans le contrat, s’étend après la mission.

Au sein du contrat, il est sain également de préciser des conditions pouvant donner lieu à une sortie anticipée (outre le cas de non-respect des clauses du contrat). Dans le cas d’un contrat de service avec une société, le remplacement d’une personne en charge est souvent une phase critique. Le nouvel interlocuteur possède-t-il bien les mêmes compétences et/ou qualifications que son prédécesseur ? Est-il « accepté » par les collaborateurs ? C’est ce que confirme Christine Chappet, membre AFCDP et ex-consultante RGPD : « Quand le DPO externe est une personne morale, le client a naturellement tendance à s'attacher au consultant qui a été désigné comme son interlocuteur principal. Quand ce consultant quitte le cabinet, les relations humaines sont à reprendre totalement avec le nouvel interlocuteur, en espérant que le courant passe toujours aussi bien entre la nouvelle tête et l'entreprise. Même si la documentation est bien tenue, c'est toujours un cap délicat à passer. Cela peut mettre en danger le contrat de prestation : cette phase, qui peut être critique, doit être menée  avec une extrême attention et bien accompagnée par le chef de mission. ».

D’autres scenarii peuvent être envisagés, comme une mise en demeure ou une sanction de la CNIL mettant en lumière des recommandations erronées du DPO… ou le refus du client de suivre les conseils de ce dernier. Dans tous les cas, il vaut mieux aborder sereinement ces sujets délicats en début de prestation, notamment pour éviter les situations dans lesquelles le responsable de traitement s’imagine que la solution réside dans un nouveau prestataire, plus conciliant : « Sans être un salarié protégé, il est difficile pour un dirigeant de se séparer de son DPO interne… alors qu’il est si simple de mettre fin à un contrat avec un DPO externe, surtout si ses conseils déplaisent » témoigne à mots couverts un professionnel.

Autant de sujets qui sont débattus entre professionnels concernés au sein du groupe de travail « DPO externes » de l’AFCDP.