Pour une désignation « idéale » du DPO

Par Bruno RASLE, Expert RGPD - Formateur de DPO • 19 avril 2020 •

Le RGPD donne une place centrale au Délégué à la Protection des Données (DPD, ou DPO pour Data Protection Officer) et lui consacre une section comprenant trois articles et un considérant. Le Comité Européen de la Protection des Données (CEPD), pour sa part, lui a dédié des lignes directrices. Le DPO est l’acteur central par lequel, au sein de l’organisme qui l’a désigné, la conformité au RGPD et à la loi Informatique et Libertés a une chance d’être atteinte. Mais quelle est la démarche « idéale » à respecter pour placer d’emblée le Délégué dans la meilleure position pour remplir sa mission ?

En dehors des cas de désignation obligatoire, décrits à l’article 37.1 du RGPD, un responsable de traitement peut opter pour cette formule. Cette désignation est d’ailleurs vivement encouragée par le CEPD, car elle permet de confier à une personne identifiée le pilotage des actions à mener en matière de protection des données personnelles et de respect des droits des personnes. On rappellera qu’en cas de désignation volontaire, l’ensemble des conditions listées dans les articles 37 à 39 du RGPD et les lignes directrices WP243 s’imposent, comme en cas de désignation obligatoire.  

Mais, comme le rappelle la CNIL, le responsable de traitement doit vérifier, avant de désigner son délégué à la protection des données, que celui-ci dispose du statut, des compétences et des moyens nécessaires à l'exercice de ses missions.

Connaissances, savoir-faire, savoir-être

Concernant les compétences, le RGPD prévoit que le Délégué à la protection des données est une personne bénéficiant des qualifications requises pour exercer ses missions. Lorsque c’est une personne morale, cette condition de qualification doit être remplie par le préposé désigné par celle-ci pour assurer les missions. Ces compétences doivent porter tant sur l’informatique et les nouvelles technologies que sur la règlementation relative à la protection des données à caractère personnel. Elles doivent également avoir trait au domaine d’activité dans lequel il exerce ses fonctions. Lorsque le DPO ne dispose pas de l’ensemble des qualifications requises, il doit les acquérir avant sa désignation.

Le Délégué se doit de maintenir ses compétences et connaissances dans ses domaines respectifs et de s’efforcer de les améliorer et de les enrichir constamment par la veille juridique, technologique et sociétale et si besoin par une formation appropriée. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre. Au titre de l’article 38.2 du RGPD, le Responsable de traitement doit lui apporter son soutien dans ces efforts.

Concernant le statut, un positionnement efficace du DPO doit lui permettre de faire directement rapport au niveau le plus élevé de l’organisme, d’interpeller les directeurs Métier et d’animer si besoin un réseau de relais au sein des filiales d’un groupe ou une équipe d’experts. Le « savoir être » comprend – entre autres – une résistance certaine au stress, une capacité forte de conviction (aptitude à communiquer efficacement pour convaincre plutôt que de contraindre) et une parfaite impartialité, caractérisée par les éléments suivants : objectivité, neutralité, équité, équilibre dans les jugements, absence de préjugés, résistance aux influences abusives.

Concernant les « moyens suffisants », cela implique en particulier pour le DPO de disposer du temps suffisant pour exercer ses missions, de bénéficier de moyens adéquats – aussi bien financiers, matériels qu’humains-, de pouvoir accéder aux informations qui lui sont indispensables pour remplir ses missions, d’être associé en amont des projets impliquant des données personnelles et de pouvoir être facilement joignable par les personnes concernées.

S’agissant de l’indépendance, cela signifie que le Délégué ne peut pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction, qu’il doit pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme, qu’il ne craigne pas d’être sanctionné pour l'exercice de ses missions et qu’il ne reçoive pas d’instruction dans le cadre de l’exercice de ses missions de DPO. On rappellera qu’un positionnement hiérarchique adéquat participe également de l’indépendance du Délégué. La Charte de déontologie du DPO comporte un chapitre dédié à ce sujet crucial, qui précise notamment que le professionnel « n’a, dans son rôle de Délégué à la protection des données, aucun compte à rendre à un supérieur hiérarchique. Il dispose d’une liberté organisationnelle et décisionnelle dans le cadre de sa mission. Il agit de manière indépendante, ne reçoit aucune instruction dans l’exercice de sa fonction et arrête seul les décisions s’y rapportant. Cette liberté ne signifie pas qu’il agit seul et sans concertation. Il est libre de consulter la CNIL ou tout sachant, dans la limite du cadre de sa fonction et de l’exercice de ses missions ».

Une fois tous ces points assurés, le responsable de traitement peut désigner officiellement DPO auprès de la CNIL au moyen d’un simple téléservice. Mais ne faut-il pas prendre son temps et préparer soigneusement cette désignation ?

Pour ne pas avoir de regret

L’AFCDP a mené en novembre 2019 un sondage auprès de ses 6.000 Membres pour essayer de décrire les caractéristiques d’une désignation « idéale » d’un DPO. Les professionnels étaient d’abord invités à indiquer les mesures qui, d’après eux, semblent indispensables avant ou lors d’une désignation de DPO. Se détachent nettement les réponses « Etablissement d'une lettre de mission/d'une description de poste » (pour 82 % des répondants), « Annonce de la désignation du DPO/DPD auprès des directions métier » (79 %), « Rattachement direct au responsable de traitement ou, a minima, à un membre du Comité de direction » (70 %), « Annonce de la désignation du DPO/DPD auprès du personnel » (68 %), « Attribution d'un budget spécifique et/ou de moyens (dont le temps nécessaire pour tenir le poste) » (68 %).

Avec surprise, la nécessité d’avoir un entretien en tête à tête avec le Responsable de traitement n’est jugée indispensable que pour 43 % des répondants (constatons que 25 % des répondants avouent n’avoir tout simplement pas essayé). Pourtant, l'implication réelle et directe de la Direction dès les premiers moments de la désignation est impérative. Comme l’indique l’un des répondants, « Trop souvent les DPO sont nommés par des dirigeants seulement pour faire bonne figure devant la CNIL. Une sensibilisation des dirigeants en amont de la désignation du DPO serait un plus pour éviter le rejet de recommandations élémentaires sous le seul prétexte que « Le RGPD ne vise que les GAFA, la CNIL ne s’intéressera jamais à nous ». Le DPO aura beau faire tout son possible pour être le « chef d'orchestre » de la conformité au sein de l’entreprise, si la Direction ne le soutient pas clairement, il sera le chef d'orchestre de chaises vides ... ». Un autre membre de l’AFCDP signale que sa direction lui refuse régulièrement la moindre autorisation de dépense pour participer à des conférences dédiées aux DPO ou à des sessions de formation.

Concernant plus particulièrement la question du budget du DPO, à la question « Avez-vous essayé d'obtenir un budget spécifique ? », un quart des répondants répondent par la négative, tandis que 34 % indiquent avoir essayé, mais sans succès. L’AFCDP s’était penché sur cette importante question du budget du DPO qui a fait l’objet d’une intervention lors de la dernière « Université des DPO » qui s’est tenue le 14 janvier 2020 à la Maison de la Mutualité, à Paris. Sur le point de la formation du DPO, si 10 % des répondants estiment qu’ils avaient le niveau requis au moment de leur désignation, 51 % ont consolidé leur connaissance en complétant leur formation rapidement après leur nomination pour être plus efficaces dans leur poste et 37 % ont réalisé cet effort avant leur désignation.

Avec le recul, seuls 38 % des répondants estiment que leur désignation a été préparée comme elle devait l'être, et n’expriment aucun regret. Pour 41 % d’entre eux, leur désignation aurait pu être mieux préparée du fait de leur responsable de traitement, pour leur permettre d'être plus efficace en tant que DPO, tandis que 21 % des professionnels reconnaissent que leur désignation aurait pu être mieux préparée de leur fait.

Mais, si regret il y a, quel est-il ? Le principal est de ne pas avoir eu l’occasion d’avoir une discussion franche avec le responsable de traitement : « Lors de mon entretien d'embauche, j'aurai dû mieux questionner mon employeur sur ses véritables intentions de mise en conformité avec le RGPD. Entre les promesses du début et la réalité du terrain, l'écart a été impressionnant », « Je regrette de ne pas avoir eu d'entretien avec le responsable de traitement. Cela m’aurait permis d'estimer son réel intérêt pour le sujet et d’essayer de prévoir son comportement dès qu’il m’a fallu lui parler de non-conformité à corriger », « Avec le recul, ma désignation a répondu au simple « cochage d'une case ». Depuis, j'agis sur ma seule capacité et sans équipe, certes avec considération mais avec tout de même un peu de distance. ».
Rappelons que la Charte de déontologie du DPO requiert également la signature du responsable de traitement.

Les répondants ont ensuite regretté l’absence de budget et le manque de communication à l’occasion de leur désignation : « Une publication plus large et plus officielle de ma désignation au sein de l’entreprise m’aurait permis d’être plus efficace et aurait facilité mes premières prises de contact. Dans certains cas, on m’a pris pour un auditeur externe ou considéré comme un espion de la CNIL ! », « Le comité de direction n’avait même pas été informé de ma désignation ». D’autres disent avoir manqué de visibilité sur l'ampleur du travail, en dépit de la cartographie des traitements qui avait été réalisée avant leur désignation. Certains, enfin, se sont heurtés à des refus de formation : « Je vais prochainement suivre une formation de 35 heures afin de décrocher la certification des compétences du DPO, mais on m’a prévenu que ce serait la toute dernière formation qui me serait accordée, car je serai alors considéré comme un expert ! ».

Quels conseils donner à un futur DPO ?

Sans surprise, c’est la question « Si vous aviez un conseil à donner à une personne sur le point d'être désignée DPO/DPD interne, quel serait-il ? » qui recueille les contributions les plus éclairantes.

On retrouve, sans surprise, les points relatifs à l’importance de la relation avec le responsable de traitement (« S'assurer du soutien sans faille et de l'engagement du responsable de traitement ou, à minima, de la direction générale », « Établir une relation de confiance avec le dirigeant dont on réduit l’exposition aux risques », « S'assurer d'être rattaché directement au responsable de traitement et surtout d'avoir la latitude nécessaire à la mise en œuvre du RGPD », « Obtenir un rattachement au plus haut niveau et un budget ») et à la formation (« Il faut avoir l’honnêteté et l’humilité de reconnaitre ses carences et d’y pallier avant sa désignation »).

Le sujet de la communication revient fréquemment : « Une annonce auprès des responsables de services et de l'ensemble des personnels est impérative », « Il faut travailler avec soin le contenu de la communication interne, pour instaurer un climat de confiance et faire comprendre à tous que la marche vers la conformité est un effort commun et ne repose pas sur les seules épaules du DPO », « Faire œuvre de pédagogie, surtout pour que les directions métiers prennent conscience qu'elles ont également du travail à faire ».

Plusieurs contributions témoignent de l’isolement du Délégué à la Protection des Données : « Ne surtout pas rester seul et rejoindre au plus tôt une association. Non seulement on gagne du temps mais on y trouve du réconfort moral aux moments les plus durs », « Tisser des liens avec d'autres DPO du même secteur, pour ne pas avoir à réinventer la roue et s’inspirer de bonnes pratiques », « Prendre contact avec ses homologues et avoir un réseau interne pour obtenir des informations des pôles stratégiques », « Organiser la gouvernance et la faire connaitre ! Vous allez avoir besoin de relais et d'aide au quotidien, vous ne pourrez pas mener tous les sujets seul », « Réseauter dès le premier jour, aussi bien en externe qu’en interne, au sein de la Direction pour obtenir du soutien et parmi les responsables métiers, car ce sont eux qui mettront en place vos recommandations et qui pourront, à l'occasion, prendre votre parti ».

Ténacité : l'une des qualités requises pour être DPO

Enfin des contributions s’attachent aux qualités humaines dont doit faire preuve le DPO : « Ténacité est le maître mot ! Combien de fois ai-je dû encaisser des rebuffades ou voir mes analyses et conseils balayés d’un revers de la main… Mais, au final et avec un peu de recul, notre entreprise est sur le bon chemin. Les réflexes commencent à s’implanter et les zones de résistance ont tendance à se réduire. Ne rien lâcher et garder le cap. C’est dans la durée que l’on pourra juger de l’efficacité de mes actions en tant que DPO », « Faire preuve de patience et de diplomatie… mais en prenant soin de bien marquer la ligne jaune à ne pas franchir. Une main de fer dans un gant de velours, et toujours avec sourire et conviction », « Dès les premiers contacts, certains chercheront à vous tester, à piétiner votre indépendance. Il faut vous y préparer et y résister car cela est difficile à rattraper », « Avancer progressivement et sans craindre les compromis qui nous mettent parfois en marge d'une conformité idéale ».

C’est d’ailleurs sur la thématique prégnante du vécu des DPO, des conflits de rôles, des facteurs de stress et de la portée de l’indépendance dont bénéficie le Délégué de par les textes, que l’AFCDP prépare la constitution d’un groupe de travail dans le cadre des travaux menés par l’AFPA à la demande du Ministère du Travail sur le métier de DPO, travaux dont les premiers résultats ont été dévoilés en juin dernier.