Il faut sauver le soldat DPO !
Par Bruno RASLE • Expert RGPD - Formateur de DPO • 5 mai 2023 •
Le métier de DPO (Délégué à la Protection des Données) est passionnant. Il peut être également stressant, du fait d’une forte charge de travail, d’un manque de moyen, d’une insuffisance de soutien ou d’écoute, voire de tensions avec certaines directions Métier, voire même avec le responsable de traitement. Mais il est des situations où le DPO est soumis à une telle pression qu’il perd confiance en lui, abdique son indépendance, se retrouve « placardisé », isolé, poussé au départ, voire licencié. Certains d’entre eux vont jusqu’à tomber en dépression. À partir de l’étude de cas emblématiques, l’auteur tente de lister les différentes causes racines et d’identifier les enseignements qui peuvent en être tirés : que faire pour éviter d’en arriver là et comment gérer ces situations si, malgré tout, elles se produisent ?
L’étude : son origine, sa portée, ses objectifs, ses limites, la méthode suivie
Après s’être investi, alors qu’il était délégué général de l’AFCDP (Association Française des Correspondants à la protection des Données Personnelles), dans la création du code de déontologie du DPO , avoir participé à la conception de la première enquête de l’AFPA sur le métier dans laquelle il a suggéré l’insertion de questions liées au stress et fait intervenir un psychothérapeute à l’occasion de l’Université AFCDP 2020 des DPO sur le thème « Le DPO n’est ni un paillasson ni un ennemi », l’auteur a interviewé en toute confidentialité plusieurs confrères et consœurs qui ont vécu des situations traumatisantes, et dont certains ont mis plusieurs mois pour s’en remettre.
Des délégués à la protection des données internes ont accepté de se confier longuement à lui. Qu’ils en soient ici vivement remerciés. Sans qu’il soit possible d’assurer que ces témoignages fournissent une représentation exhaustive du phénomène étudié, ils permettent de lever un voile sur des situations anormales sur lesquelles règne le silence. Ce silence, couplé à la solitude du DPO, explique en partie l’épuisement intellectuel de plusieurs des professionnels interrogés. À l’issue de la plupart des interviews – souvent douloureuses pour les personnes concernées, encore traumatisées par la mauvaise expérience vécue – l’auteur a souvent entendu des réactions telles que « J’avoue que c’est encore très difficile pour moi d’en parler, mais je réalise que cela était nécessaire » ou « À l’époque, il m’était impossible d’échanger avec mon entourage, y compris familial. Cet isolement a sûrement empiré les choses ».
L’étude se limite au sort des délégués à la protection des données internes, désignés auprès de l’autorité de contrôle française – la CNIL – au titre de l’article 37 du RGPD (La situation des DPO externes est donc rarement abordée). L’auteur a posté deux appels à témoignages, sur Linkedin et au sein du réseau social privé de l’AFCDP. Un peu moins d’une trentaine de professionnels se sont rapprochés de lui et ont relaté ce qu’ils avaient vécu. L’auteur leur a ensuite communiqué la transcription de leur témoignage, pour leur permettre de l’amender ou de l’enrichir. Tout élément permettant de les identifier a été retiré de l’étude autant que possible (et le projet leur a été soumis, afin qu’ils puissent le vérifier). L’étude « Cyber stress : une grande étude sur le stress des Responsables Cyber », menée par le Cesin (Club des Experts de la Sécurité de l'Information et du Numérique) et Advens Cybersecurity et publiée en septembre 2021, a également été étudiée afin d’établir des parallèles et des différences entre la situation des RSSI et de celle des DPO. L’auteur a bénéficié d’échanges fructueux avec les pilotes de cette étude.
Le premier objectif visé était de découvrir s’il existait des cas dans lesquels des DPO internes avaient été mis en très grande difficulté. Comme l’auteur le précisait dans son appel à témoignage, il ne s’agissait pas des freins qui font le quotidien du métier (« Personne ne m'écoute », « Je n'ai aucun soutien de la direction », « Je n'ai pas de budget », « On m’évite soigneusement et on met en œuvre des traitements qui ne sont pas conformes au RGPD », « Je suis considéré comme un empêcheur de tourner en rond, voire comme un espion de la CNIL », etc.) mais bien des situations dans lesquelles le délégués à la protection des données interne a été poussé à la démission ou licencié : « Je recherche des DPO qui ont été mis au placard (et ont préféré partir) - voire qui ont été « remerciés » - ou qui ont fait l'objet d'atteintes à leur indépendance ».
Le deuxième objectif était d’essayer de prendre connaissance des causes à l’origine de ces cas. Retrouve-t-on les mêmes ? De quels ordres sont-elles ? Cette étape doit permettre – et c’est là le troisième objectif visé – de formuler des propositions pour éviter d’en arriver là (démarche pro-active) et pour gérer ces situations si, malgré tout, elles se produisent (démarche corrective).
La réflexion se focalise sur les spécificités liées à la qualité de délégués à la protection des données officiellement désigné auprès de la CNIL. Au sein des organismes, ce salarié n’est pas le seul à connaître les situations traumatisantes évoquées. En revanche, rares sont les fonctions qui présentent des caractéristiques similaires, telle que l’indépendance prévue par le RGPD (mais sans avoir toutefois le statut de salarié protégé).
À qui s’adresse cette étude ? En premier lieu, aux milliers de DPO internes désignés auprès de la CNIL par les responsables de traitement, afin qu’ils sachent détecter à temps les signes qui méritent d’être pris au sérieux et agir en conséquence. En second lieu à l’autorité de contrôle, auprès de laquelle les personnes concernées se confient trop rarement. Enfin, aux responsables de traitement. N’est-il pas désolant de voir des délégués licenciés ou poussés au départ, car leurs actions ont déplu ou bousculé quelques mauvaises habitudes, alors que ces DPO se sont pleinement investis pour réduire leur risque juridique ? On verra infra qu’en réalité, la faute en revient souvent au cadre à qui l’on a confié la « supervision » du délégué à la protection des données, qui n’a pas su assurer à ce dernier un environnement propice à un exercice serein de la fonction. Dans une proportion importante, les témoignages recueillis montrent que, si les DPO interviewés étaient enthousiastes à l’idée de rejoindre une entreprise ou un projet, ils les ont souvent fuis à cause de leur hiérarchie directe. L’auteur recommande donc aux DPO internes de communiquer la présente étude à leur N+1 et à leur responsable de traitement.
Cette étude a été initiée avant que le CEPD ne retienne, pour l’initiative conjointe européenne pour l’année 2023, la vérification des conditions d’exercice des DPO. Il est prévu, qu’à l’occasion des contrôles effectués par les Data Protection Authorities, le respect des critères listés dans les articles 37, 38 et 39 du RGPD soient vérifiés. Il est probable que cette campagne s’inspire de l’initiative menée courant 2019 par la CNPD luxembourgeoise et qui a donné lieu à plusieurs délibérations publiées en 2021. À titre d’exemple, dans sa délibération n° 30FR/2021 du 4 août 2021, l’autorité avait reproché à un responsable de traitement « l’absence de ressources suffisantes allouées au DPO au regard de la sensibilité, de la complexité et du volume de données traitées et la non-implication du DPO en amont sur les projets impliquant le traitement de données ».
Le document est ainsi structuré : dans un premier temps, les témoignages recueillis sont décrits afin d’en faire ressortir les points saillants (Partie I). En 2014, l'AFCDP avait interviewé Alex Türk, le « père » du Correspondant Informatique et Libertés, précurseur du DPO. L'ancien Président de la CNIL, revenant sur la grandeur de la fonction, ne sous-estimait pas les difficultés que rencontraient déjà à cette époque les CIL : « Bien sûr, il y a des moments de doute, de grande solitude et même d'adversité. C'est lié à la fonction. ». Les témoignages qui suivent montrent que l’adversité peut quelquefois déboucher sur des situations inacceptables.
Une tentative d’analyse des témoignages (Partie II) et de taxonomie des causes sources (Partie III) sont ensuite réalisées. Des comparaisons sont réalisées avec des fonctions qui présentent quelques similitudes avec celle de DPO. L’étude se termine par une évocation des perspectives possibles (Partie IV), dans l’hypothèse d’une poursuite des travaux dans le cadre de la principale association qui regroupe et représente les DPO en France, l’AFCDP. Cinq annexes viennent compléter ce document :
Une proposition de méthode permettant à un DPO d’évaluer son niveau de stress et d’en identifier les causes ;
Une analyse des réponses apportées au sondage réalisé en mars 2023 auprès des membres de l’AFCDP sur le sujet de l’indépendance du délégués à la protection des données ;
Une synthèse des points de contrôles sur les conditions d’exercice du DPO, sur la base de l’analyse des contrôles menés par la CNPD luxembourgeoise ;
Les trente-six questions soulevées par la CNIL dans le cadre de l’opération conjointe européenne 2023 sur les conditions d’exercice du DPO ;
Un auto-quiz permettant à un délégué de juger de son assertivité.
Formation animée par B. Rasle en relation avec cet article :