DPO es-tu là ?

Le Délégué à la Protection des Données ou Data Protection Officer (DPO) des PME semble être partout et nulle part à la fois…

Partout, parce que dès lors qu’il est question du Règlement Européen sur les Données Personnelles (RGPD), les organismes qui ont l’obligation d’avoir un DPO affichent fièrement un email dpo@monorganisme.com et parfois même une adresse postale dédiée pour pouvoir le joindre.

Nulle part, parce que dès lors que l’on creuse un peu la question, on découvre souvent derrière ce décor en trompe l’œil un vide sidéral : des personnes carrément injoignables (existent-elles vraiment ?), des personnes désignées mais pas autorisées à être DPO, des personnes prétendument désignées mais qui ne figurent pas sur la liste des DPO à la CNIL…

Le DPO dans les PME serait-il comme les fantômes des châteaux écossais ou comme le monstre du Loch Ness : il arrive qu’on en parle pour se faire peur, mais en fait on ne le les voit quasiment jamais…

Mais d’abord, c’est quoi un DPO ?

La première erreur serait de penser qu’il s’agit simplement d’une transposition du Correspondant Informatique et Liberté (CIL) qui serait rebaptisé « DPO » avec le RGPD.

Certes le CIL était le référent au sein d’un organisme concernant les données personnelles : il tenait en interne les registres de traitements qui dispensaient d’effectuer les déclarations à la CNIL, il était le « sachant » qui accompagnait le responsable des traitements pour assurer le respect des droits des personnes concernée au sens large sur leur données personnelles (exercice des droits, informations sur les traitements de données personnelles, sécurisation des traitements etc.)…

Mais sa nomination était facultative, et en pratique il n’y avait pas de contraintes réelles sur le choix d’une personne en particulier au sein d’un organisme : du coup, ce rôle était souvent rempli par une personne de la Direction de l’organisme (Gérant, Président…), et très souvent par le Directeur des Système d’Information (DSI/CTO) – car après tout c’était de la « Loi INFORMATIQUE et Libertés » de 1978 modifiée qu’il s’agissait, non ?

Or, le DPO est plus qu’un simple CIL : d’abord son périmètre d’action recouvre désormais l’ensemble des traitements de l’organisme concerné, ensuite sa nomination peut être rendue obligatoire dans certains cas par la règlementation, enfin il doit pouvoir exercer son métier manière indépendante, sans conflits d’intérêts ni pressions de sa hiérarchie– et avoir les qualités requises pour exercer sa fonction (nous ne rentrerons pas ici dans les détails, les plus curieux liront la Section 4 du RGPD avec ses articles 37 à 39, et les plus courageux les Guidelines du G29 du 5 avril 2017).

Par conséquent un Directeur Général ou un CTO qui étaient précédemment le CIL de leur société ne pourront donc être nommés automatiquement DPO avec le RGPD, parce qu’ils ont un impact direct sur le traitement de données personnelles au sein de leur organisme.

Quant à celui qui pense qu’une assistante de Direction pourrait faire l’affaire, il faudra prouver qu’elle a bien les qualités requises pour exercer ses fonctions sans pressions de sa hiérarchie…

Quand est-ce que l’on doit nommer obligatoirement un DPO ?

En dehors des autorités ou organismes publics pour lesquels c’est toujours obligatoire, pour faire court ont l’obligation d’avoir un DPO les organismes dont le cœur d’activité consiste à effectuer des traitements de données personnelles à « grande échelle », soit pour effectuer un suivi systématique et régulier des personnes concernées, soit pour traiter des données particulièrement sensibles (origine raciale/ethnique, opinion politiques/religieuses/syndicales, données de santé, décisions de justice etc.)

Là j’entends déjà : « ah ben alors je ne suis pas concerné, je ne suis pas Google donc je ne fais pas de traitement à grande échelle ! ».

Eh bien non, vous faites fausse route : la notion de « grande échelle » n’est pas exactement celle du langage courant, en particulier quand il s’agit de traitement de données sensibles.

Sans entrer là encore dans les détails qui risquent de perdre le lecteur, tant que des données sensibles sont manipulées de façon licite par des responsables de traitement autorisés et à titre individuel, on n’est pas dans la grande échelle : un médecin, un pharmacien ou un avocat exerçant chacun à titre individuel n’effectuent pas de traitements à grande échelle, ils n’auront donc pas obligation de nommer un DPO.

Mais lorsque ces données sensibles commencent à être partagées au sein d’un même organismes par plusieurs personnes, on peut vite entrer dans la « grande échelle » : une clinique privée devra avoir obligatoirement un DPO, de même qu’un gros cabinet médical regroupant des professionnels de santé partageant les mêmes outils/logiciels métiers et personnels…

Comment faire pour avoir un DPO quand on a moins de 50 salariés ?

La limite de 50 salariés évoquée dans la question n’est pas inscrite dans le RGPD, c’est un ordre de grandeur que j’ai pu constater en pratique, en deçà duquel il est difficile de justifier d’un poste, même à temps partiel, pour un DPO.

Et encore, sans parler de la difficulté de trouver en interne une personne ayant les qualités requises, et pouvant exercer sa mission en toute indépendance…

Le RGPD prévoit heureusement qu’il est possible d’avoir un DPO « sur la base d’un contrat de services » (Art. 37 -6), ce qui permet d’externaliser la fonction de DPO : on parle alors de « DPO externalisé ».

Cette contractualisation permet d’avoir un DPO qui cadre au plus près des besoins de l’entreprise, tout en disposant des qualités requises pour exercer sa mission (certifications, références…).

Vous n’avez donc maintenant plus d’excuses pour ne pas avoir un vrai DPO !

Written on June 25, 2020