Expert du droit > DPO - Data Protection Officer
Le guide complet sur le Data Protection Officer ou DPO
Le Data Protection Officer ou Délégué à la Protection des Données vous accompagne dans la gestion des données personnelles utilisées par votre entreprise. Son rôle consiste à accompagner les entreprises dans leurs projets de mise en conformité avec le règlement RGPD et à garantir que les traitements sont conformes aux exigences réglementaires.
En effet, depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD, ou GDPR en anglais), les entreprises doivent être plus vigilantes que jamais sur la manière dont elles traitent les données personnelles de leurs prospects, utilisateurs et clients. Une entreprise qui ne respecte pas les nouvelles obligations associées à ce règlement encourt des sanctions de la part de CNIL. Ces sanctions peuvent être très lourdes, d’où l’importance de trouver le bon DPO pour votre entreprise.
Le DPO vous accompagne dans la mise en place d’une gouvernance des données conforme au règlement afin d’éviter les sanctions de la CNIL. Pour certaines entreprises, la désignation d’un DPO est une obligation légale. Mais même en l’absence d’obligation juridique, faire appel aux services d’un DPO permet de s’assurer en permanence de la légalité des traitements réalisés sur les données personnelles stockées.
Sommaire :
Quel est le rôle du Data Protection Officer / Délégué à la Protection des Données (DPO) ?
La fonction de DPO est récente puisqu’elle est apparue avec le règlement européen sur la protection des données personnelles (RGPD), entré en vigueur le 25 mai 2018. Ce règlement oblige les entreprises à être très au clair sur les données qu’elles conservent et sur la manière dont elles les utilisent. Le RGPD rend la désignation d’un DPO obligatoire pour certaines entreprises.
Le DPO est souvent comparé à un « chef d’orchestre » de la gouvernance des données. Son rôle est de s’assurer que les traitements réalisés par l’entreprise dans (ou pour) laquelle il travaille sont conformes aux obligations et aux règles contenues dans le RGPD. Il est le garant de la conformité au RGPD.
Le saviez-vous ? Le RGPD a une conception très large de la notion de « traitement des données ». Le traitement des données, au sens du RGPD, désigne tout à la fois la collecte, l’accès, le stockage, la manipulation, la modification et la destruction des données personnelles.
Plus précisément, le rôle du DPO consiste à informer, conseiller et former les responsables du traitement (les personnes qui, au sein de l’entreprise, manipulent les données) autour des enjeux du RGPD. Il est chargé de diffuser les bonnes pratiques au sein de l’entreprise.
Pour une entreprise, recourir à un DPO permet de garantir la légalité des traitements réalisés sur les données personnelles que ce soit au niveau de leur collecte (recueil des consentements) ou de leur utilisation à des fins marketing et commerciales. Dans l’exercice de sa fonction, le DPO est amené à collaborer avec tous les départements de l’entreprise : la direction générale, le marketing, les RH…
Concrètement, au quotidien, les missions du DPO consistent à alerter la direction générale et les collaborateurs de l’entreprise en cas de non-respect des dispositions du RGPD, à produire des rapports réguliers sur la gouvernance des données de l’entreprise, à réaliser une veille continue sur les innovations technologiques et leur implication juridique, à conseiller les personnes faisant des traitements sur les bonnes pratiques à mettre en place. Au sein de l’entreprise, il est l’interlocuteur et le référent de toutes les personnes en prise avec le traitement des données personnelles.
Le saviez-vous ? La fonction de DPO est prévue dans les articles 37 à 39 du RGPD. Elle est amenée à remplacer la fonction de correspondant informatique et libertés (CIL) qui existait jusqu’alors.
La désignation d’un Data Protection Officer est-elle obligatoire ?
La désignation d’un Data Protection Officer est obligatoire dans certains cas, facultative dans d’autres. C’est l’article 37 du RGPD qui précise les cas où la désignation est une obligation.
Nommer un DPO est obligatoire :
- S’agissant des administrations. Tous les organismes publics ou les organisations ayant une autorité publique réalisant des traitements de données personnelles ont pour obligation de désigner un DPO. L’Etat, les collectivités territoriales et les établissements publics sont concernés. Seules les juridictions administratives et judiciaires sont exemptées de cette obligation.
- S’agissant des entreprises. La désignation d’un DPO est obligatoire pour les entreprises lorsque :
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Concrètement, l’ensemble des grandes entreprises mais aussi un grand nombre de PME sont dans l’obligation de faire appel aux services d’un Data Protection Officer (en particulier les PME dans le e-commerce). Leur nombre est estimé par la CNIL à 80 000 .
Mais ce n’est pas parce que la désignation d’un DPO n’est pas obligatoire qu’elle n’est pas recommandée pour autant. La législation s’étant considérablement complexifiée avec l’entrée en vigueur du RGPD, il est devenu très complexe de maintenir une bonne gouvernance des données pour la plupart des entreprises. Les risques sont importants en matière de sécurité et de légalité. Les sanctions de la CNIL en cas de non-conformité sont particulièrement lourdes :
- 2% à 4% du chiffre d’affaires mondial.
- Ou : 10 à 20 millions d’euros.
Il est donc conseillé de désigner un Délégué à la Protection des Données ou de faire appel aux services d’un DPO externalisé même en l’absence d’obligation juridique.
Comment choisir le DPO de son entreprise ?
L’article 37 du RGPD dispose que
le DPO « peut être un membre du personnel du responsable du traitement ou
du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ».
Deux possibilités s’offrent donc
à l’entreprise :
- Désigner un DPO en interne / recruter un DPO.
- Faire appel à un prestataire extérieur.
Il n’est donc pas obligatoire de recruter à temps plein un Délégué à la Protection des Données. Pour l’entreprise – en particulier s’agissant des PME – faire appel à un prestataire externe permet de réduire les coûts du DPO.
Bon à savoir : Si les grands groupes privilégient l’internalisation de la fonction de DPO, celle-ci peut-être externalisée pour les petites et moyennes organisations.
Quelle est la formation d’un DPO ?
L’article 37 précise que le DPO « est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».
Le rôle du DPO est polyvalent. Il doit associer une forte culture juridique et des connaissances poussées en informatique et cyber-sécurité. Il est amené à travailler autant avec la DSI qu’avec les fonctions juridiques de l’entreprise. Il existe différents profils de Data Protection Officers : certains sont ingénieurs / informaticiens de formation, d’autres ont un profil plus juridique.
A noter que la CNIL propose une formation en ligne gratuite à destination des DPO. Il existe aussi des possibilités de certification, la CNIL ayant labellisé un certain nombre d’organismes à cette fin. L’acquisition de cette certification n’est pas obligatoire pour exercer la profession de Data Protection Officer mais c’est sans aucun doute un gage de sérieux et de crédibilité.
Quel est le coût d’un Data Protection Officer ou DPO ?
Deux cas doivent être distingués :
- Vous envisagez d’internaliser la fonction de DPO. Dans ce cas, sachez que le salaire d’un DPO junior s’élève à 40 000 euros brut par an en moyenne. Mais attention, les disparités sont très importantes d’une entreprise à l’autre. A titre d’exemple, le salaire du DPO d’une multinationale peut atteindre les 150 000 – 200 000 euros par an.
- Vous envisagez d’externaliser la fonction de DPO. Les tarifs des Délégué à la Protection des Données ne sont pas réglementés. Les DPO exercent en libéral et fixent leurs tarifs librement. Deux modèles tarifaires sont pratiqués par ces professionnels : le forfait ou la régie. Si vous souhaitez externaliser la fonction de DPO sur le long terme, le DPO vous proposera une régie. Dans ce cas, le coût d’un DPO s’élève entre 10 000 et 15 000 euros par an.