DPO externalisé, le bon modèle pour vous ?
Depuis plusieurs mois, nos consultants Protection des Données accompagnent nos clients issus de secteurs d’activités variés à la mise en conformité RGPD. Sensibilisation, audits, recommandations, plan d’actions et mise en œuvre sont leurs principales missions. Découvrez les obligations légales, leur retour d’expérience et les avantages de l’externalisation de la fonction de DPO.
Depuis l’entrée en vigueur du RGPD en 2016, avec un affolement complémentaire depuis l’entrée en application du texte le 25 mai 2018, « DPO » est dans le « hall of fame » des mots-clés RGPD recherchés. Comprenez « Délégué(e) à la Protection des Données ». Oui, ça devrait faire « DPD » plutôt que « DPO » mais l’anglais est plus sexy et puis c’est la version retenue par la CNIL, alors anglicismons tous ensemble.
Coupons court à tous les débats que vous avez pu croiser çà et là sur le sujet :
- NON, toutes les entreprises ne doivent pas nommer un DPO. En fait, le nombre d’entreprises concernées par cette obligation (vous comprendrez l’intérêt du soulignement plus bas) est relativement faible : 80.000 d’après Isabelle Falque-Pierrotin, Présidente de la CNIL depuis 2011, soit environ 0,8% des plus de 10.000.000 d’entreprises que compte l’hexagone. Même si l’on compte sur le fait que la CNIL a dû inclure de la mutualisation dans son « 80.000 », nous restons très loin du « toutes les entreprises doivent nommer un DPO » que j’ai vu scandé bien trop de fois ;
- NON, nommer un DPO ne sera pas suffisant pour vous mettre en conformité. Il ne s’agit pas de choisir un épouvantail et de lui mettre une casquette bleue et rouge, mais de désigner un « chef de projet » pour mener la dance (et quelle dance !) ;
- NON, ne pas avoir l’obligation de nommer un DPO ne signifie pas que vous pouvez retourner vous la couler douce au soleil. Comme indiqué ci-dessus le DPO est le chef d’orchestre mais, avec ou sans lui, tout le monde doit jouer la même musique mais à des rythmes potentiellement différent (car on ne peut exiger la même chose d’une TPE de 10 personnes et d’une entreprise du CAC40 (encore que, sur certains points du texte…) ;
- OUI, vous pouvez choisir de désigner un DPO au-delà de toute obligation légale.
Maintenant que nous sommes au clair là-dessus, passons à notre vision du DPO externalisé et/ou mutualisé. La règle voudrait que je rappelle qui est le DPO et ce qu’il doit faire, mais je préfère vous renvoyer aux articles 38 et 39 du texte. Bonne lecture (autant vous habituer maintenant si vous devez prendre en charge le RGPD par chez vous) !
[Bonne résolution : être aimable avec les lecteurs]
Bon, alors une rapide synthèse et quelques ajouts opérationnels car, à lire le texte, on pourrait croire que le DPO n’est qu’un planqué qui donne des coups de règle à tout le monde mais sans rien faire de concret (par exemple, d’après le texte, le registre des traitements (article 30 du RGPD) n’est pas de son ressort) :
- Il forme et sensibilise tout le monde à différents niveaux : la Direction, ses « référents » (alias « relais », « bras droits », ou « petits soldats de la data » si vous pouvez vous permettre un brin d’humour avec vos collègues) ;
- Il met en place les procédures nécessaires pour travailler en conformité RGPD le plus tôt possible ;
- Il réalise des audits pour dresser un état des lieux de ce qui a été fait avant sa désignation et les procédures fraichement mises en place, indiquer combien de marches devraient être franchies pour atteindre un niveau de conformité satisfaisant au sens de la loi et proposer une priorisation d’actions ;
- Il présente tout cela à la Direction et aux responsables de services puis adapte sa copie en mêlant sens de la loi et objectifs/capacités de l’entreprise;
- Il pilote la mise en œuvre des recommandations et met la main à la patte dans beaucoup d’entre elles soit pour réaliser, soit pour assister [Conseil : faire un vrai RACI dans le plan d’actions] :
- Rédiger des mentions spécifiques RGPD ;
- Dialoguer avec les DPO des clients et sous-traitants ;
- Définir, avec les opérationnels, la durée de conservation devant être retenue ;
- Rédiger la documentation politico-juridique à destination des clients (politique de protection des données, politique de gestion des cookies, etc.) ;
- Former spécifiquement des collègues sur des points découverts pendant les audits, par exemple pour expliquer aux commerciaux comment ils doivent ou ne doivent pas prospecter, pourquoi ils peuvent utiliser Wetransfer (ou autres) dans tel contexte mais pas dans tel autre, etc. ;
- Produire des analyses pour éclairer les décisions que la Direction aura à prendre tout au long du projet (risques, gravité, vraisemblance, impacts pécuniaires, opérationnels, etc.) ;
- Etc. ;
- Plus l’entreprise est grande et structurée, moins le DPO aura à produire de choses directement, à tout le moins si les missions sont réparties entre lui et les autres services. Par exemple, si l’entreprise dispose d’un service juridique, ce dernier pourrait se charger de rédiger toutes les mentions RGPD sous couvert d’une mise au point régulière avec le DPO ;
- Il gère les sollicitations courantes : demandes de droits, avis sur les nouveaux projets, révision de mentions RGPD, etc. ;
- Il consigne tout cela dans le registre des traitements – ou plutôt dans ses registres, car il n’y en a pas qu’un – y compris lorsqu’il n’entre pas dans les seuils rendant les registres obligatoires car il est vain d’essayer de piloter la conformité sans eux ;
- En fin de cycle il établit son bilan, souffle un peu, boit un chocolat chaud puis recommence.
Alors, c’est un planqué le DPO ?!!
Enfin, nous pouvons passer au cœur de l’article et vous dire ce que nous pensons de l’externalisation.
Les 3 principaux avantages de l’externalisation
Nous vous le disions en introduction, vous pouvez désigner un DPO interne ou externe sans en avoir l’obligation légale. Mais pourquoi diable ? Rapide tour de la question, et même « double tour » [à prononcer avec l’accent anglais] puisque nous parlerons de l’intérêt de désigner un DPO et de l’intérêt – supérieur, ou pas – d’externaliser la fonction.
Pourquoi désigner un DPO ?
Que vous ayez un DPO « officiel » ou non, toutes les missions évoquées plus haut devront (le soulignement marque l’obligation, n’est-ce pas, peu important la taille ou le secteur d’activité de votre entreprise) être prises en charge par une ou plusieurs personnes. Tant qu’à faire, vous pouvez désigner un DPO auprès de la CNIL pour :
- Avoir un interlocuteur bien identifié et, partage de vécu, plus écouté (comme quoi trois lettres sur les épaulettes peuvent jouer) ;
- Profiter d’une mise en œuvre plus rapide, puisqu’il n’y a plus à se demander à chaque fois qui doit piloter quoi ;
- Développer votre image de « protecteur de la donnée » auprès de vos clients* ;
- Faire un premier pas vers une future « certification RGPD » (probable qu’avoir un DPO sera une condition sine qua non, comme pour le feu label CNIL Gouvernance).
*Petit avertissement sur ce point : lorsque vous désignez un DPO uniquement pour avoir une bonne image, DPO de façade pourrait-on dire (voire DPO factice), cela se voit. Cela se voit beaucoup même…
Pourquoi désigner un DPO en externe ?
Pour ne faire avoir l’air de vendeurs de lessive miracle, nous nous contenterons de trois points :
- Expertise : nos consultants font du RGPD tous les jours et traitent des sujets variés et techniques. Une ressource interne n’a pas la possibilité de développer autant d’expertise sauf à être à temps plein et avec des moyens pour se former chaque année, voire plusieurs fois par an. Par ailleurs en tant qu’expert plus facilement reconnu par le personnel, il est encore mieux écouté qu’un DPO interne (généralement) ;
- Flexibilité : une ressource interne à double-casquette développera nécessairement moins d’expertise et de temps pour le RGPD qu’une ressource à temps plein ou externalisée. Contrairement à un CDI, vous pouvez faire appel à un DPO externe en fonction de vos besoins. D’ailleurs externaliser au début pour internaliser progressivement à mesure que le niveau de conformité augmente peut être un modèle intéressant ;
Disponibilité : le DPO externalisé est un consultant. S’il est votre DPO, alors vous êtes son client. Si vous êtes son client, il fera son maximum pour vous satisfaire. Vous y gagnez des réponses rapides, des livrables professionnels, et aucun retard ou friction que la nature humaine intègre souvent dans les projets internes (si si, lorsque le DPO n’aime pas Philippe de la compta, ou inversement).
Toutefois attention, un DPO externalisé n’aura jamais une aussi bonne connaissance de l’entreprise et de ses activités qu’un DPO interne, ce qui est pourtant une variable importante. Pour pallier à cela choisissez un cabinet connaissant bien votre secteur d’activité.
L’externalisation, comment ça marche ?
Pour terminer, tour très rapide d’une mission de DPO externalisé SRC Solution, pour rappeler qu’avoir un DPO externalisé ne doit pas signifier « s’acheter une conformité » (point de vue client) et encore moins « acheter du vent » (point de vue vilain consultant).
Donc, si nous étions amenés à travailler ensemble, voilà les étapes que nous suivrions :
- Sommes-nous compatibles ? Vos objectifs concordent-ils avec nos compétences et capacités ? Connaissons-nous votre cœur de métier ? Oui, alors passons à l’étape 2 ;
- De combien de temps avez-vous besoin de nous ? Temps plein ? Mi-temps ? 3 jours par mois ? Nous demandons certaines informations afin de calibrer la charge au plus près. Si nous ne pouvons pas l’établir avec suffisamment de précision, nous vous proposons une charge estimative à réviser tous les trimestres par exemple ;
- Sur ce point nous vous renvoyons aux missions du DPO évoquées en début d’article, à ceci près qu’un consultant ne s’arrête jamais pour souffler 😉.