MENU
K2

Le DPO, un véritable "business partner" 

Kamel Adrouche
Ouiza Taleb

Le DPO, un véritable

Le Cercle K2 n'entend donner ni approbation ni improbation aux opinions émises dans les publications (écrites et vidéos) qui restent propres à leur auteur.

Kamel Adrouche est en charge de la Politique de rémunération et performance RH de la RATP. Ouiza Taleb est Chargée de mission protection des données à la RATP.

---

Environ 25000 Délégués à la Protection des Données (DPD ou DPO)[1] ont été désignés auprès de la CNIL depuis l’entrée en vigueur du RGPD[2]. S’il n’y a pas de profil type, on rencontre essentiellement, sans surprise du fait de la spécificité de la réglementation sur la protection des données, des juristes (28 % selon une enquête AFPA de 2020 pour le Ministère du travail) ou des informaticiens (29 %). D’autres profils sont de plus en plus souvent présents sur cette fonction (qualiticiens, auditeurs et comptables notamment). 

Cette nouvelle fonction est rendue obligatoire selon le statut ou l’activité des entreprises[3]. Conseil du responsable de traitement ou du sous-traitant et des opérationnels dans la conception et la mise en œuvre des traitements, point de contact des personnes concernées et interlocuteur privilégié de la CNIL, le DPO est traditionnellement présenté comme "le chef d’orchestre de la conformité" de son organisme à la réglementation relative à la protection des données. 

 

Prérequis 

Le DPO peut être un salarié de la structure (DPO interne) ou un prestataire (DPO externe). La réglementation impose de garantir son indépendance et de lui attribuer les ressources nécessaires pour accomplir ses missions. Le choix dépendra de la situation de l’organisme et de la nature de ses activités. Un DPO externe pourra ainsi faire bénéficier de son expérience de mise en conformité d’organismes similaires et son indépendance sera sans doute moins susceptible d’être remise en cause. Le DPO interne, quant à lui, a l’avantage de connaître sa structure et favorise sa compréhension des activités de traitements mises en œuvre. Un bon relationnel avec les opérationnels facilite le recensement et la tenue à jour des traitements. À noter qu’un DPO peut être mutualisé sur plusieurs structures, la seule contrainte étant de pouvoir être facilement joignable par toutes les structures l’ayant désigné. 

Un certain nombre de connaissances et de compétences sont indispensables pour l’exercice des missions du DPO. Du fait de la spécificité de cette réglementation, il faut avant tout citer la connaissance du droit - général et spécial, national et européen - applicable en matière de protection des données et des connaissances en informatique et, en particulier, en sécurité des systèmes d’informations. En outre, une bonne connaissance de l’entreprise ou de son secteur d’activité sera un atout non négligeable. 

Toutes ces connaissances n’étant pas acquises dès sa désignation, le DPO doit les compléter, les entretenir ou les parfaire via des formations. De nombreux cursus ont émergé ces dernières années, en formation longue ou courte. Un référentiel de certification des prestataires de formations au métier de DPO vient également d’être adopté par la CNIL. En complément, le DPO pourra s’assurer d’une veille et d’échanges enrichissants avec ses pairs dans le cadre des réseaux organisés autour de la profession. 

Une certification des compétences et savoir-faire du DPO, basée sur 17 critères d’exigence relevant des domaines juridique, technique et organisationnel[4], peut-être délivrée par des organismes agréés par la CNIL (9 à ce jour)[5]. Cette certification, valable 3 ans, n’est pas obligatoire pour l’exercice de la fonction, même si elle est parfois opportune en tant que vecteur de confiance : DPO externes pour se démarquer de la concurrence ou nouveaux candidats à des postes de DPO. Par ailleurs, si elle permet à l’entreprise de s’assurer que son délégué dispose bien des compétences et savoir-faire requis par la réglementation, il ne s’agit pas d’une garantie ultime contre l’ensemble des risques auxquels l’organisme est exposé. 

 

Posture

Le niveau de protection des données personnelles a un impact direct sur la valorisation économique et sociale d’une entreprise ou d’une administration. Le RGPD est régulièrement appréhendé comme une contrainte réglementaire supplémentaire. En réalité, il constitue un avantage compétitif dès lors qu’il est maîtrisé. La mise en conformité conduit à s’interroger sur les processus de l’entreprise, à reconsidérer certaines pratiques, à reconsidérer les systèmes de gouvernance et les périmètres d’activités. Accroître la compétitivité, créer de la valeur par la data, maîtriser la qualité des données et adopter une politique de cybersécurité efficace constituent des enjeux majeurs à relever dans le monde actuel. La mise en conformité aux obligations du RGPD permet d’atteindre ces objectifs et de préserver la réputation de l’organisation. 

La fonction DPO doit être une partie prenante dans la définition de la stratégie business de l’organisation. Il doit trouver une place au plus proche de la prise de décision afin de conseiller utilement la direction et participer activement à l’atteinte des objectifs. Certaines entreprises et administrations ont bien compris cette nécessité et invitent le DPO au sein de leur Comité de direction. Le DPO se positionne ainsi comme une aide à la prise de décision et identifié comme tel par les managers sur les décisions à prendre déclinées au plus proche du terrain. Les managers sont, quant à eux, davantage impliqués dans la mise en place des outils et deviennent des ambassadeurs engagés auprès de leur équipe.

Le DPO doit se transformer en un véritable chef de projet. Le DPO ne doit pas se positionner comme un "contrôleur" ou un "gardien du temple". Son rôle doit consister à accompagner les projets de manière concrète, en soutenant les opérationnels. En pratique, les conseils et les décisions du DPO doivent faciliter la mise en place des actions RGPD. Les approches excessivement analytiques, notamment dans le processus de recensement des traitements, sont à bannir dans ce type de démarche. Les référentiels proposés par la CNIL constituent des outils simplifiés qui aident à la démarche. On peut notamment citer celui relatif à la gestion des ressources humaines, qui englobe également la gestion de la paye et les traitements les plus répandus en matière de gestion du personnel. La FAQ qui l’accompagne est également très utile pour répondre aux questions les plus fréquentes sur le sujet.

L’efficacité opérationnelle de la mise en œuvre du RGPD est conditionnée à un décloisonnement de l’organisation concernée. Le fonctionnement en silos ne répond pas aux exigences du RGPD. La connaissance "métier" par le DPO des filières qui structurent les établissements (ou "business unit"), comme les RH, la finance, les SI ou encore les achats, constitue un atout permettant de décliner des actions de mise en conformité. Il doit s’appuyer sur des profils "métier" clairement identifiés lorsqu’il élabore un diagnostic ou décide de mettre en place des actions ciblées. Il doit également s’appuyer sur d’autres experts présents au sein de l’entreprise et rechercher des synergies avec les responsables de la sécurité des systèmes d’information, de l’audit et encore de la qualité pour intégrer et articuler les aspects RGPD dans des processus existants. Il s’agit d’une étape indispensable à l’initiation et la fluidité de sa démarche. 

Les tensions entre les contraintes RGPD et le business, notamment au niveau de la temporalité des actions à mettre en œuvre, doivent être apaisées. Dans cette perspective, comprendre ce qu’attendent les managers de proximité et intégrer leurs contraintes du quotidien est essentiel. Les plans d’actions doivent être échelonnés et tenir compte des préoccupations des managers. Coordonner et mutualiser la réalisation des études d’impacts avec des échéances fixées de concert avec les opérationnels, en tenant compte des difficultés qu’ils rencontrent par exemple, constitue une démarche positive. Il appartiendra au DPO d’assister le(s) responsable(s) de traitement afin d’expliquer et de justifier à la CNIL les éventuels écarts et/ou retards de mise en conformité, le cas échéant, notamment par une gestion des priorités fondées sur une approche des risques.

Pédagogie et simplification via une communication régulière doivent guider la politique que le DPO souhaite mettre en place. De premier abord, le RGPD peut être perçu comme éminemment technique et complexe. Le DPO doit s’assurer de la dispense d’un socle de sensibilisation RGPD des collaborateurs et favoriser leur montée en compétence. Chacun doit comprendre et intégrer la valeur ajoutée du RGPD dans l’atteinte de ses objectifs. Le DPO doit mesurer et quantifier la contribution du RGPD au business (amélioration de la politique de sécurité informatique de l’organisation, réduction des coûts de traitements des informations, développement des synergies entre services, amélioration de la réputation, réduction du risque juridique, etc.). Il convient de définir et construire les indicateurs idoines avec la direction de l’entreprise afin d’objectiver les valeurs effectivement créées. Seuls des contrats d’objectifs clairs, précis et mesurables seront vecteurs d’efficacité en la matière.

Kamel Adrouche et Ouiza Taleb

---

[1] Délégué à la Protection des Données (abrégé DPD, ou DPO pour Data Protection Officer).

[2] Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est entré en vigueur le 25 mai 2018.

[3] Dans le cas des organismes publics ou bien des organismes dont l’activité de base implique soit un suivi régulier des personnes à grande échelle, soit un traitement à grande échelle de données sensibles.

[4] Ces critères tournent autour des compétences organisationnelles, techniques et juridiques.

[5] Les référentiels de certification et d’agrément sont en cours de mise à jour par la CNIL après avoir fait l’objet d’une consultation publique.

Publié le 21 avril 2021