Enjeux RGPD : externaliser son DPD ou non ?
Le Délégué à la Protection des données (DPD ci-après) est un personnage clé et stratégique de la mise en conformité d’une entreprise au Règlement Général sur la Protection des Données (RGPD ci-après). C’est une perle rare, car il doit à la fois être juriste de haut vol, crack en informatique et pédagogue aguerri. En effet l’article 37§5 du RGPD dispose que « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protections des données, et de sa capacité à accomplir les missions visées à l’article 39. »
En effet, à la lumière de cet article 39, le DPD est le chef d’orchestre de cette mise en conformité, et est notamment chargé de :
Conseiller et informer le chef d’entreprise sur toutes questions liées à la protection des données.
Superviser la bonne application des principes du RGPD.
Assurer la relation de l’entreprise avec la CNIL.
Assurer la relation entre l’entreprise et les personnes concernées (les vrais propriétaires des données collectées par l’entreprise).
Donner son point de vue sur toutes les décisions concernant les données privées.
Conseiller lorsqu’une fuite de données survient.
Conseiller sur les Analyses d’impact, concevoir avec les RSSI (responsables de la sécurité des systèmes d’information) des mesures correctives et en piloter l’exécution.
Bref, un profil que peu d’organisations possèdent et qui nous amène à nous interroger : est-il possible d’externaliser cette fonction, et si oui cela est-il souhaitable ?
Le RGPD répond à la première question en affirmant simplement que le DPD peut être un membre du personnel ou un prestataire externe. La question, en revanche, de savoir si cela est souhaitable reste sans réponse dans le document mais cela ne signifie pas qu’il n’existe aucune piste à explorer.
Examinons d’abord les contraintes, inscrites dans le règlement, d’un DPD :
Il est indépendant et ne reçoit pas d'instructions dans le cadre de sa mission.
Il ne peut pas être relevé de ses fonctions (il est donc plus ou moins à l’abri du licenciement sauf faute lourde).
Il rapporte directement au chef d'entreprise.
Il est soumis au secret professionnel (sauf via à vis de l'autorité de contrôle).
Il ne peut être en conflit d'intérêts, et ce dernier point, plutôt sensible, mérite d’être développé .
En effet, selon le RGPD et la CNIL, un DPD doit réunir certaines qualités parmi lesquelles l'absence de conflit d'intérêts avec les autres missions qu'il exerce au sein de l'organisme lorsque cette fonction est exercée à temps partiel. Le DPD ne peut donc pas occuper un poste qui le conduirait à déterminer les objectifs et les moyens d’un fichier. Ainsi par exemple les fonctions suivantes pourraient donner lieu à un conflit d'intérêts (la liste n’est pas exhaustive et est bien sûr toujours à apprécier au cas par cas) : Secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, responsable du département marketing, responsable commercial, responsable des ressources humaines ou responsable du service informatique…
Il semblerait donc que l’externalisation du DPD soit la voie à suivre, surtout au vu des autres avantages énumérés ci-dessous :
Tout d’abord il s’agit de respecter l’obligation stricte du respect du RGPD, inscrite dans la loi : qu’une entreprise ait décidé de ne pas avoir de DPD ou qu’elle soit trop petite pour en avoir un, n’est pas une dérogation aux dispositions du RGPD : « Dura lex sed lex ».
Cette conformité obligatoire a un impact sur tous les pôles d’une entreprise : logiciels et bases de données conformes, sites web conformes, RH et comptabilité, vidéoprotection, SAV et logistique, formulaires papiers, prospection commerciale, etc… Documents légaux, mentions légales, paramétrages des outils informatiques ou simplement leur remplacement, au final il s’agit d’un nombre d’actions potentiellement élevé pour répondre aux normes du RGPD et qui demande un travail méthodique à plein temps.
Il s’agit aussi de se protéger afin de respecter l’article 37§5 : le DPD doit obligatoirement être un professionnel expérimenté aussi bien en informatique, qu’en droit mais aussi dans les pratiques commerciales et marketing dans le domaine d’activité de l’organisme. Ainsi externaliser cette fonction vers une entité qui peut vous fournir ce genre d’expertise semble être utile voire rassurant.
Il est constaté aussi que, souvent, les pratiques web marketing et mobile marketing ne cadrent pas avec les exigences légales du RGPD. Si un DPD salarié a peu d’expérience dans ces domaines, ces axes de conformité peuvent être ignorés ou survolés par simple méconnaissance ou manque d’expérience. Or, en cas de contrôle par la CNIL, les cookies-traqueurs des campagnes de profiling et remarketing par exemple, sont quasi-systématiquement examinés. C’est donc pourquoi il est préférable d’avoir eu recours à un DPD externalisé qui a travaillé de manière exhaustive sur tous les axes de conformité comme par exemple, l’anonymisation des données « web-analytics » et de géolocalisation, le bandeau de cookies fonctionnel, le consentement opt-in , le réglage de la conservation des données dans Google Analytics etc… En outre, le DPD externalisé veillera sur les bonnes pratiques RGPD à respecter par les commerciaux. Cet axe de la prospection commerciale conforme RGPD est majeur en cas de logiciel , de transfert de données hors EU, de lead generation, d’achat de données à un tiers ou d’emailing sauvage.
La réduction des dépenses est aussi un facteur dans le choix d’externaliser le DPD : outre le fait que le salaire d’un employé du niveau requis est passablement coûteux à l’organisme qui l’emploie, il faut aussi prendre en compte le coût de la formation initiale, et de la formation continue (légalement obligatoire) des DPD salariés.
Par nature, le prestataire externalisant les services de DPD travaille sur des dizaines de projets de conformité RGPD, et qui a donc plus de retour d’expériences qu’un DPD salarié. C’est donc une opportunité à prendre en compte pour les entreprises qui ont du retard à rattraper dans leur conformité aux normes RGPD. De plus sans être un salarié protégé au sens du droit du travail, destituer un DPD de ses fonctions risque d’être particulièrement ardu, alors qu’avec une externalisation des services de DPD, une simple dénonciation du contrat suffira.
Dernier point, le responsable du traitement reste pleinement responsable: le DPD n’engage jamais sa responsabilité si l’organisme dans lequel il exerce ses missions s’avère ne pas être en conformité, alors que la responsabilité du DPD externalisé peut être engagé contractuellement.