Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ?

Qu’est-ce que le Data Protection Officer ou DPO ? [Définition & Rôles]

La signification de DPO est l’acronyme de Data Protection Officer. En français, on parle aussi, mais plus rarement, de « Délégué à la Protection des Données ». Le DPO est une nouvelle fonction, un nouveau métier créé par le règlement européen sur la protection des données : le RGPD. Le DPO est la personne en charge de la protection des données au sein d’une entreprise. Il joue un rôle de chef d’orchestre :

• En phase initiale, il accompagne l’organisation dans la mise en conformité au RGPD. Il peut jouer le rôle de chef de projet RGPD.
• Il s’assure ensuite au quotidien que l’entreprise respecte les règles et obligations issues du RGPD. Il informe, conseille et forme les personnes chargées des traitements (les « responsables des traitements »). Il assure la bonne application du règlement au sein de l’organisation afin d’éviter toute sanction financière de la part de la CNIL. Il est l’interlocuteur privilégié de la CNIL et assiste les décideurs dans leurs prises de décision ayant un impact en matière de protection des données.

Pour résumer, le DPO est l’expert qui accompagne votre entreprise dans la mise en place des procédures et des règles à même d’assurer sa conformité au RGPD à travers le temps.

Le DPO est-il obligatoire ? Si oui, dans quels cas ?

La question du DPO est abordée dans les articles 37, 38 et 39 du règlement européen sur la protection des données. Les articles 38 et 39 précisent le rôle du Data Protection Officer, et ses missions auprès ou au sein des entreprises (nous reviendrons tout à l’heure sur ce point : internalisation ou externalisation). Mais c’est l’article 37 qui précise dans quels cas la désignation d’un DPO est obligatoire.

L’article 37 définit trois cas / hypothèses où le DPO est obligatoire :

• Lorsque les traitements sont effectués par une « autorité publique » ou par un « organisme public » – à l’exception des « juridictions agissant dans l’exercice de leur fonction juridictionnelle ». Les tribunaux n’ont pas obligation de désigner un DPO. En revanche, l’Etat, les collectivités territoriales (régions, départements, intercommunalités, communes), les établissements publics administratifs, les établissements publics industriels et commerciaux sont obligés de désigner un DPO.
• Lorsque les « activités de base » exercées par le responsable de traitement ou le sous-traitant exigent un suivi régulier et systématique des personnes concernées par les traitements.
• Lorsque les « activités de base » exercées par le responsable de traitement ou le sous-traitant consistent en un traitement « à grande échelle » de données à caractère particulier – c’est-à-dire relatives à des données sensibles : données médicales, données relatives à des condamnations pénales, données ethniques/raciales…

Quelques précisions pour mieux comprendre ces trois cas mentionnés par le RGPD :

• Tous les organismes publics – et en particulier toutes les administrations – doivent obligatoirement désigner un DPO. A l’exception des tribunaux.
• Par « activités de base », il faut comprendre : les activités principales réalisées par le responsable de traitement ou le sous-traitant. C’est-à-dire des activités liées au cœur d’activité de l’entreprise. Par exemple, une société dont l’activité principale consiste à surveiller des espaces publics par vidéo-surveillance, qui doit donc réaliser des traitements sur les données collectées, doit obligatoirement désigner un Data Protection Officer. Et, de manière plus générale, toutes les sociétés dont le traitement de données personnelles constitue un élément essentiel de l’activité.
• « A grande échelle » est une notion un peu floue. Un traitement de données « à grande échelle » est un traitement qui concerne un grand nombre de personnes, beaucoup de données, des traitements opérées sur une longue durée et/ou sur une zone géographique très étendue. A l’heure actuelle, il n’existe pas de définition précise de ce qu’il faut entendre par « à grande échelle ». Aucun seuil volumétrique n’a été défini. Ce sera à la jurisprudence de clarifier cette notion.

S’il existe des zones d’incertitude (et a fortiori du fait de ces incertitudes), il est recommandé à toutes les entreprises exerçant des traitements sur des données personnelles de désigner un DPO. Le champ d’application de l’article 37 est en vérité très large. Le DPO est obligatoire pour toutes les administrations et pour toutes les entreprises faisant du traitement de données personnelles à un haut niveau. Tous les grands groupes sont visés par cette obligation de désigner un DPO, mais aussi une bonne partie des PME (en particulier les PME exerçant une activité e-commerce).

Si un nombre important d’entreprises est concernée par l’obligation de désigner un DPO, une question demeure : faut-il recruter en interne un DPO ou bien peut-on externaliser cette fonction ? Dans quels cas opter pour l’une ou l’autre de ces solutions ?

DPO interne ou DPO externe ?

L’article 37 du RGPD précise que :

« Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ».

La loi n’impose aucune contrainte sur ce sujet : vous pouvez désigner ou recruter un DPO en interne, ou bien externaliser cette fonction à un expert (cabinet de conseil, avocat…).

Pour vous aider dans votre choix, voici quelques éclairages et nos recommandations :

• Recruter un DPO représente un coût supplémentaire pour l’entreprise. Nous pensons ici particulièrement aux PME, pour lesquels le coût de recrutement d’un DPO est absolument non négligeable. Internaliser ou externaliser ? La réponse à cette question dépend pour l’essentiel de la taille de l’entreprise.
• Les grandes entreprises ont tout intérêt à recruter un DPO en interne à temps plein.
• Pour les entreprises de plus petite taille (les PME), il est généralement conseillé d’externaliser la fonction de DPO. Pour des raisons budgétaires évidentes, mais aussi parce qu’il est inutile de consacrer un temps plein (et même un mi-temps) à cette fonction. Dans le cas des PME, la solution la plus pragmatique et la plus raisonnable consiste à faire appel à un prestataire : un avocat expert, un cabinet de conseil…

Comment trouver un Data Protection Officer ou DPO ?

En vertu de l’article 37 du règlement général sur la protection des données, le Data Protection Officer « est désigné sur la base de ses qualités professionnelles et,  en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Il n’existe pas encore de diplôme de DPO. C’est un métier nouveau. Le choix du DPO doit cependant se baser sur plusieurs critères objectifs. Un DPO compétent est une personne qui dispose :

• D’une forte culture juridique, et en particulier d’une parfaite connaissance du droit relatif à la protection des données personnelles.
• De très bonnes connaissances en informatique et en droit de l’informatique – en particulier en cyber-sécurité.

Si certains DPO ont une formation d’ingénieur ou d’informaticien, la plupart des Data Protection Officer ont une formation juridique. Au-delà des compétences, le choix du DPO doit se faire également sur des critères éthiques. L’intégrité professionnelle est une qualité essentielle pour un DPO. Ce professionnel est soumis à des obligations de confidentialité et doit être extérieur à toutes situations de conflits d’intérêts.