RGPD : la Cnil précise les compétences du DPO

Le règlement général sur la protection des données (RGPD) est en vigueur depuis quelques mois. Le nombre d'entreprises en conformité semblait encore faible l'automne dernier en France, selon différentes études. La Cnil, garante de la protection des données des citoyens français, avait reçu 13 000 déclarations de  (DPO) sur les 80 000 estimées nécessaires (soit 16 %). Ce DPO est pourtant considéré comme la clé de voûte de la conformité au règlement européen. Quant à ses compétences, « la liste est longue, et le nombre de profils insuffisant », estime Patricia Chemali-Noël, experte en protection des données chez Umanis.

Pour mémoire, le règlement général sur la protection des données (RGPD) est la nouvelle réglementation mise en place le 25 mai 2018 par l'Union européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l'utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, la perte de clientèle, les frais de procédure en cas de plaintes...

RGPD et DPO : quelles sont les obligations de l'entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d'un délégué à la protection des données (DPO), dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la Commission nationale de l'informatique et des libertés (Cnil) et les autres DPO, gestion des demandes d'exercice des droits, du respect des règles (accountability) et des risques encourus. Selon la Cnil, dans le cadre de la mise en application du RGPD, l'entreprise a l'obligation de :

• choisir son délégué à la protection des données en fonction de son expertise ;
• veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission ;
• veiller à ce que son délégué à la protection des données exerce ses activités sans conflit d'intérêts, en toute indépendance, qu'il puisse rendre compte de son action au plus haut niveau de l'entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l'exposition aux risques identifiés de l'entreprise (classement risques Ebios) :

• exposition basse, un minimum de deux ans d'expérience peut être suffisant ;
• exposition très haute, un minimum de cinq à quinze ans d'expérience peut s'avérer nécessaire.

Si l'on considère la pénurie actuelle de délégué à la protection des données et le caractère récent du métier, ces exigences d'expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la Cnil a publié au Journal officiel de la République française (JORF) le 11 octobre dernier un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d'autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 délégués à la protection des données déclarés à la Cnil.

Les compétences et savoir-faire que ces DPO doivent satisfaire peuvent être regroupés en trois catégories :

• Les savoirs organisationnels : le délégué à la protection des données conseille l'entreprise dans l'élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d'en surveiller la mise en œuvre.
• Les savoirs techniques et informatiques : le délégué à la protection des données doit mettre en œuvre les principes de minimisation ou d'exactitude, d'efficacité et d'intégrité des données et pouvoir exécuter les demandes de modification et d'effacement de données, ce qui impacte les systèmes et solutions de l'entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du privacy by design dans l'entreprise.
• Les savoirs juridiques : le DPO est un expert en protection juridique et réglementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l'entreprise en cas de conflit de lois. Il participe à l'élaboration des contrats avec les partenaires, peut négocier avec le délégué à la protection des données du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l'interlocuteur de la Cnil et il instruit les plaintes des personnes concernées. Avec ce référentiel de certification, l'entreprise dispose donc désormais d'éléments pour vérifier l'adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s'avère dans la pratique que la seule connaissance du texte de loi publié est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L'entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d'un DPO en place, qu'il soit déclaré à la Cnil ou pas encore, il s'agit de mesurer l'écart d'expertise à combler et de l'accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d'atteindre les objectifs fixés.

Selon l'exposition aux risques identifiés par l'entreprise, elle peut faire le choix d'une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l'organisation a une part importante de son activité gérée par des prestataires externes, elle devra les auditer régulièrement et réviser sa politique contractuelle, et le DPO sera très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d'un soutien sur des points précis, tels qu'auditer un traitement ou une conformité, mener un data protection impact assessment (DPIA) et gérer les risques, élaborer une procédure...

Le référentiel de la Cnil fixe le plancher des connaissances au suivi d'une formation de 35 h sur le RGPD, afin d'en avoir une vision synthétique. Cela pourra s'avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers. En prenant en compte l'isolement du DPO dans ses fonctions de par leur nature et du fait que la collaboration ou l'émulation avec des profils plus seniors dans l'entreprise est rarement possible, il n'est effectivement pas simple d'organiser un accompagnement dans sa montée en compétence. La Cnil encourage donc les DPO à s'organiser en groupes de travail réunis par secteurs d'activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu'à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l'externalisation

Si l'entreprise ne dispose pas encore de DPO, ou si l'écart d'expertise à combler est trop important, l'externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d'un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l'avantage d'accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l'aune des contraintes de l'entreprise. Une approche qui gagnera en efficacité si elle est envisagée dans le cadre d'un plan global de formation du DPO.