DPO, nécessaire ou non?

Pratique
Par · 24/02/2017

Quelles sociétés doivent obligatoirement disposer d’un DPO (Digital Protection Officer) ou délégué à la protection des données, en français? Le texte du réglement ne le précise pas réellement. Il se contente de le prévoir lorsque:

“a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condam­nations pénales et à des infractions visées à l’article 10.”

Seule l’Allemagne a clarifié la situation en stipulant que toute société de plus de 10 personnes était tenue de nommer un DPO.

Une chose est sûre, toutefois, les entreprises publiques (tous types d’administrations confondus) et les entreprises ayant certaines activités spécifiques (listées dans la GDPR) doivent obligatoirement désigner un DPO. Idem si les données concernées sont considérées “à haut risque”.

Une affaire de bon sens

“Un DPO est nécessaire quand on est face à de gros volumes de données, de différents types de données, ou de gros fichiers client”, souligne Laurie-Anne Bourdain, consultante spécialisée en cyber-sécurité chez EY (Ernst & Young). “Ou encore pour les sociétés qui s’adonnent à du profiling, qui activent des processus de prise de décision à grande échelle en se basant sur les données, que ce soit ou non de manière automatique, ou dont les activités concernent la surveillance du domaine public…”

En d’autres termes, tout ce qui relève du “traitement à grande échelle de suivi régulier et systématique des personnes ou de données sensibles”, comme le formule la CNIL (Commission nationale de l’informatique et des libertés) en France.

La question du “profiling” risque de concerner bien des acteurs. Et pas uniquement les sites Internet commerciaux. La CNIL fait ainsi remarquer qu’“un média généraliste, qui accueille plusieurs dizaines de milliers de visiteurs et qui souhaite proposer des contenus différents pour chaque utilisateur en fonction de sa navigation, devra sans doute accueillir un Data Protection Officer en interne.”

Dans les autres cas, plusieurs personnes peuvent se partager les responsabilités. Autre possibilité: confier le rôle de DPO à une personne externe.

Par contre, souligne Frédéric Gelissen, consultant indépendant, il faut que la société désigne, en son sein, un responsable des données privées. “Il sera le garant de la mise en oeuvre des dispositions GDPR et fera office d’interlocuteur unique.”

Le concept d’ownership sur les données privées est un incontournable. “Et c’est là quelque chose qui fait souvent défaut dans les entreprises. Elles sont certes conscientes qu’il faut le prévoir mais personne n’a été désigné…”

Des exceptions?

Quelles sont les éventuelles exceptions à la désignation d’un DPO – notamment pour les PME ? Selon Frédéric Gelissen, “le DPO n’est pas une obligation. Les PME peuvent confier des responsabilités de protection des données à plusieurs personnes, afin de répartir la tâche, ou aller chercher un DPO externe en mode consultance périodique (certaines sociétés vont sans doute le proposer ou le proposent déjà) ou encore ont intégré la protection de données dans les processus de leur entreprise avec un ownership clair de chacun.

Je conseille toutefois de désigner une personne centrale (peut-être le propriétaire de l’entreprise ou un des directeurs ou encore un responsable qualité) qui a une vue transversale et peut répondre aux questions des clients et des autorités juridiques compétentes en cas de question ou de problème.”

Le “profil” du DPO?

Un DPO est une personne qui endosse une responsabilité précise mais elle ne doit pas forcément remplir ce rôle de manière permanente. “Le DPO a un rôle consultatif. La responsabilité finale, elle, incombe toujours au data controller qui est le représentant légal de l’entreprise” souligne Laurie-Anne Bourdain.

Ce représentant légal sera généralement le directeur, le CEO, ou, dans le cas d’une grande entreprise, le conseil d’administration.

Chose importante, le DPO doit être une personne bénéficiant d’une totale indépendance par rapport à la hiérarchie. Il faut en effet éviter toute possibilité de pression ou de parti pris dans la mesure où il lui reviendra de veiller, en toute impartialité, à ce que les mesures nécessaires sont bel et bien mises en oeuvre.

“Le DPO ne peut être sanctionné par son entreprise en raison de ses fonctions, par exemple pour avoir fait stopper un projet ou un traitement illégal.” Autrement dit, les décisions que le DPO est amené à prendre peuvent parfois aller à l’encontre des intentions commerciales, des pratiques de la société.

“Un bon DPO aura un background en IT ou en droit, voire dans les deux matières. Il démontrera également une volonté d’apprendre parce que les compétences et les connaissances [dans ce domaine spécifique] sont quelque chose qui s’acquièrent également avec le temps.”

Pour une PME, le profil pourra être quelque peu différent: “peut-être un profil technique qu’on oriente vers le droit.”

Qui, dès lors, peut assumer le rôle de DPO?

Ce ne pourra pas être le CIO, le directeur IT, en raison des risques de conflits d’intérêt auxquels il vient d’être fait allusion.

“Le CISO [Ndlr: chief information security officer, autrement le responsable de la sécurité IT] pourrait être DPO si ses responsabilités existent ne présentent pas de conflit avec le rôle de DPO. Le CISO a, lui aussi, un rôle consultatif. Dans la mesure où ce n’est pas lui qui décide des types de systèmes [de sécurité] qui seront mis en oeuvre, il n’y a pas de risque de conflit d’intérêt.”

Ce raisonnement ne vaut évidemment que pour les sociétés, sans doute d’une certaine taille, au sein de laquelle les tâches de chacun sont clairement compartimentées. Des sociétés qui ont aussi les moyens d’avoir ce genre d’équipe multidisciplinaire.

Laurie-Anne Bourdain (EY): “Le DPO ne doit pas nécessairement avoir un profil de juriste mais il doit comprendre la loi.”

Pour les plus petites sociétés, le casting sera plus restreint. Laurie-Anne Bourdain estime qu’“il faut au moins une personne qui comprenne les implications de la loi et qui sache ce qui peut être fait ou non, par exemple en matière de profiling et de marketing.”

Mais dans la mesure où une seule personne risque de devoir assumer plusieurs rôles (patron/DPO, responsable IT/DPO…), il y a un risque de “conflit d’intérêts” ou de quasi-schizophrénie. D’où la “nécessité, pour une PME, de documenter les décisions et de procéder à l’analyse de risques afin de bien baliser, dès le départ, les risques de conflit d’intérêt.”

A noter que le DPO peut aussi ne pas faire partie de l’équipe interne, une société ayant la possibilité de confier cette mission (à temps partiel) à un prestataire extérieur.

Question de compétences

Comment se former, acquérir les compétences nécessaires, reconnues comme telles?

“Il existe quelques formations. Il est également possible de suivre des conférences thématiques.

L’IAPP (International Association of Privacy Professionals) organise des formations certifiantes – mais elles s’adressent surtout aux entreprises d’une certaine taille.”

Quid de certifications? “Aucune qui soit spécifiquement dédiée à la protection de la vie privée n’existe. Pas contre, il existe des certifications orientées sécurité IT, telles que les CISSP (certified information systems security professional).”