O P T - O N

Pour un numérique responsable ...

Délégué à la protection des données – DPO

Tout savoir sur le

Délégué à la protection des données – DPO

C'est quoi le métier de délégué à la protection des données, le DPO ?? Vous allez tout savoir sur ce nouveau métier passionnant issu du RGPD !

mise-en-conformité-RGPD-par-consultant-dpo-externe-certifie-afnor

Avant de commencer, réglons un sujet qui ne fait plus débat : on dit DPO, et pas DPD ! Ce n’est pas nous qui le disons, c’est la CNIL elle-même.

Ceci étant dit, allons-y 🙂

I - Le DPO : Chef d'orchestre de la conformité

Le Règlement Général sur la Protection des Données (RGPD) a placé le Délégué à la Protection des Données (DPO) au cœur des enjeux liés à la protection de la vie privée. Le DPO est un expert chargé de veiller à ce qu’une organisation traite les données personnelles de manière conforme à la loi.

Le Délégué à la Protection des Données – DPO est souvent qualifié de « chef d’orchestre » car il assume un rôle central dans la protection des données personnelles.

Voici en quoi il assure cette fonction :

    • Expertise et connaissance

    le DPO possède une expertise approfondie du RGPD et des lois nationales en matière de protection des données. Ainsi, il est capable d’interpréter les réglementations complexes et de les transposer au contexte spécifique de l’organisation.

      • Conseil et accompagnement.

      Il conseille la direction et les différents services de l’organisation sur toutes les questions liées à la protection des données. Il les aide à mettre en place des mesures techniques et organisationnelles pour assurer la conformité.

        • Sensibilisation.

        Le délégué à la protection des données joue un rôle essentiel dans la sensibilisation des collaborateurs aux enjeux de la protection des données. Il organise des formations et des campagnes de communication pour promouvoir une culture de la protection des données.

          • Contrôle et suivi.

          Il met en place des mécanismes de contrôle pour vérifier que les traitements de données sont conformes au RGPD. Il effectue des audits RGPD et suit l’évolution de la législation.

            • Gestion des incidents.

            En cas de violation de données, le DPO est le premier interlocuteur. Il coordonne la gestion de l’incident, informe l’autorité (la CNIL) et recommande les mesures nécessaires pour limiter les conséquences.

            • Relation avec les autorités de contrôle.

            Le DPO est l’interlocuteur privilégié des autorités de contrôle. Il répond à leurs demandes et les accompagne dans leurs contrôles.

             

            En outre, le DPO permet également de :

              • Protéger les droits des individus.

              Il s’assure que les droits des personnes concernées sont respectés (droit d’accès, de rectification, d’effacement, etc.).

                • Minimiser les risques.

                Il identifie et évalue les risques liés au traitement des données et met en place des mesures pour les maîtriser.

                  En résumé, le DPO est un véritable protecteur des données personnelles au sein de l’organisation. Il est l’assurance que les informations sensibles sont traitées de manière sécurisée et conforme à la réglementation.

                  En outre, il apporte une plus-value non négligeable : l’acculturation à la protection de l’information en général. Grâce à lui, une organisation est mieux équipée pour protéger l’ensemble de son patrimoine informationnel.

                  II - Quelles compétences doit avoir un délégué à la protection des données DPO ?

                  Un DPO doit posséder un ensemble de compétences variées pour mener à bien ses missions. Ces compétences peuvent être regroupées en plusieurs catégories.

                  Compétences techniques

                  • Compréhension des traitements de données.

                  Le DPO doit comprendre les différents types de traitements de données (collecte, stockage, utilisation, etc.) et les technologies associées.

                  • Connaissance des outils de gestion des données.

                  Il est important de maîtriser les outils et les logiciels utilisés pour gérer les données personnelles (CRM, ERP, etc.).

                  • Notions de sécurité informatique.

                  Le DPO doit avoir des connaissances en matière de sécurité informatique pour identifier les vulnérabilités et mettre en place des mesures de protection adaptées.

                  Compétences juridiques

                  • Maîtrise du RGPD et lois nationales.

                  Le délégué à la protection des données – DPO doit avoir une connaissance approfondie du Règlement Général sur la Protection des Données (RGPD) ainsi que des lois nationales en vigueur en matière de protection des données.

                  • Connaissance des autres réglementations.

                  Il est important de connaître les autres réglementations qui peuvent s’appliquer, telles que la directive e-Privacy ou les lois sectorielles (Code de Santé Publique, Code du Tourisme, etc.).

                  • Capacités d’interprétation.

                  Le DPO doit être capable d’interpréter les textes de loi et de les appliquer à des situations concrètes.

                  Compétences relationnelles et de communication

                  • Capacités de communication.

                  Le DPO doit être capable de communiquer efficacement avec des publics variés (direction, collaborateurs, autorités de contrôle, personnes concernées, etc.).

                  • Sens de la pédagogie.

                  Il doit pouvoir expliquer des concepts juridiques complexes de manière simple et accessible.

                  • Aptitudes à la négociation.

                  Le délégué à la protection des données DPO doit être capable de négocier avec les différents acteurs de l’entreprise, afin de trouver des solutions équilibrées.

                  Autres compétences

                  • Sens de l’organisation.

                  Le DPO doit être capable de gérer de nombreux projets en parallèle et de respecter les délais.

                  • Esprit d’analyse.

                  Il doit être capable d’analyser les risques liés au traitement des données et de proposer des solutions adaptées.

                  • Adaptabilité.

                  Le cadre réglementaire de la protection des données est en constante évolution. Le délégué à la protection des données doit être capable de s’adapter rapidement aux nouveaux enjeux.

                  • Disponibilité.

                  Le délégué à la protection des données doit être facilement joignable, dans le but de répondre rapidement aux besoins des collaborateurs de l’organisation. En outre, les délais imposés quant aux demandes des citoyens, ou aux violations de données représentent un enjeu important.

                   

                  En résumé, le délégué à al protection des données DPO est un profil polyvalent qui allie des compétences juridiques, techniques et relationnelles. Il est le garant de la mise en conformité RGPD de l’organisation. En tant pilote, ou chef d’orchestre, il joue un rôle essentiel dans la protection de la vie privée des individus.

                  Quelles sont les missions délégué à la protection des données DPO ?

                  Conseil et Sensibilisation

                  Le rôle du DPO est crucial :

                  1. il conseille l’organisation sur la conformité au RGPD,
                  2. effectue des audits sous différentes formes,
                  3. gère les incidents de sécurité liés aux données,
                  4. et il sert d’interlocuteur privilégié avec les autorités de contrôle comme la CNIL.

                  En bref, il est le premier élément de la protection de vos données au sein de l’organisation.

                  Le Délégué à la Protection des Données (DPO) joue un rôle central dans la mise en conformité d’une organisation avec le RGPD. Ses missions sont multiples et couvrent l’ensemble du cycle de vie des données personnelles.

                  Voici une décomposition détaillée des missions pouvant lui être confiées :

                  • Informer et conseiller l’organisation :

                  Le DPO doit informer et conseiller l’ensemble des acteurs de l’entreprise (direction, employés, sous-traitants) sur les obligations légales, ainsi que sur les évolutions technologiques, en matière de traitement de données. Grâce à sa simple présence, le DPO participe au respect de Privacy-by-design.

                  • Sensibiliser aux bonnes pratiques :

                  Il met en place des actions de sensibilisation, ainsi que des formations, pour promouvoir une culture de la protection des données au sein de l’entreprise. Les formations doivent être coconstruites avec le service RH afin d’être intégrées au plan de formation annuel.

                  Mise en œuvre et suivi de la conformité

                  • Élaboration des politiques et procédures :

                  Le DPO contribue à l’élaboration et à la mise à jour des politiques et procédures de l’entreprise en matière de protection des données.

                  • Réalisation d’analyses d’impact :

                  Il pilote ou fait réaliser des analyses d’impact sur la protection des données (PIA) pour évaluer les risques liés aux traitements de données. Cette mission de chef de projet, doit être réalisée avec les responsables opérationnels des traitements.

                  • Suivi des traitements de données :

                  Il met en place des mécanismes de suivi pour vérifier que les traitements de données sont conformes à la réglementation et aux politiques internes de l’entreprise.

                  Gestion des incidents

                  • Notification des violations :

                  Le délégué doit être informé des violations de données, afin de notifier l’autorité compétente (CNIL) dans les délais impartis.

                   

                  • Gestion de crise :

                  Il coordonne la gestion de crise en cas de violation de données, mais aussi recommande des mesures nécessaires pour limiter les conséquences.

                  Collaboration avec les autorités de contrôle

                  • Interlocuteur privilégié :

                  Le DPO est le point de contact privilégié de l’entreprise avec l’autorité de contrôle.

                   

                  • Coopération :

                  Il coopère avec les autorités de contrôle dans le cadre de leurs missions, telles que les contrôles sur site ou à distance. À ce titre, il doit organiser la gestion des contrôles éventuels, dans le but de faciliter les missions de la CNIL, en tenant compte de son absence physique du site.

                  Autres missions du DPO

                  • Gestion des demandes des personnes concernées :

                  Le délégué à la protection des données doit piloter les réponses aux demandes des personnes concernées (accès, rectification, effacement, etc.) dans les délais impartis.

                   

                  • Collaboration avec les sous-traitants :

                  II s’assure que les sous-traitants respectent les obligations légales en matière de protection des données.

                     

                    En résumé, les missions du DPO confirment sa position de véritable chef d’orchestre. Il est responsable du suivi de la mise en conformité. En revanche, il n’est pas responsable légalement des non-conformités.

                    III - Comment devenir DPO ?

                    Bien qu’il n’y ait pas de diplôme spécifique requis, le DPO doit posséder des connaissances solides en droit, en informatique et en gestion des risques. Il s’agit d’un véritable « mouton à cinq pattes ». De plus en plus, les organisations recherchent des profils certifiés par la CNIL, attestant d’une expertise approfondie en matière de protection des données.

                    La durée d’une formation pour devenir DPO peut varier considérablement.

                    Il n’existe pas de durée standard imposée par la réglementation. La durée de la formation dépendra de plusieurs facteurs :

                    • Le niveau d’expertise initial du candidat.

                    Une personne ayant déjà des connaissances en droit et en informatique aura besoin d’une formation moins longue qu’une personne débutante.

                    • La profondeur des sujets abordés.

                    Certaines formations se concentrent sur les fondamentaux du RGPD, tandis que d’autres abordent des sujets plus spécifiques (par exemple, la protection des données dans le secteur de la santé).

                    • Le format de la formation.

                    Les formations peuvent être dispensées en présentiel, en ligne ou sous forme de blended learning (mixe des deux). Les formations en ligne sont généralement plus flexibles en termes de durée.

                    • Les certifications visées.

                    Certaines certifications exigent un nombre minimum d’heures de formation.

                      En général, on peut s’attendre à ce qu’une formation complète pour devenir DPO dure entre 35 et 100 heures.

                      Pourquoi une telle variation ?

                      Trente-cinq heures, c’est le minimum requis pour prétendre à la certification AFNOR (par exemple). Ces formations sont souvent intensives et axées sur les connaissances essentielles du RGPD.

                      Les formations plus longues permettent d’approfondir les connaissances, de traiter des cas pratiques et d’acquérir une expertise plus spécialisée.

                          Il est important de noter que la durée d’une formation n’est pas le seul critère à prendre en compte lors du choix d’une formation. Il est également essentiel de vérifier :

                          Le contenu de la formation : est-il adapté à vos besoins et à vos objectifs ?

                          Les méthodes pédagogiques : les méthodes utilisées favorisent-elles l’apprentissage et la mémorisation ?

                          Les formateurs : les formateurs sont-ils des experts reconnus dans le domaine de la protection des données ?

                          La certification en elle-même : la formation débouche-t-elle sur une certification reconnue par la CNIL ?

                           

                            En conclusion, la durée d’une formation DPO est variable et dépend de nombreux facteurs. Il est recommandé de comparer les différentes offres de formation disponibles et de choisir celle qui correspond le mieux à votre profil et à vos objectifs.

                            IV - Pourquoi devenir DPO ?

                            Le métier de DPO est en plein essor. Il offre la possibilité de travailler au cœur des enjeux numériques, de contribuer à la protection des droits fondamentaux et de développer une expertise reconnue.

                            Le Délégué à la protection des données DPO est un acteur clé dans le paysage numérique actuel. Son rôle est essentiel pour garantir la confiance des utilisateurs et le respect de la réglementation.

                            Le métier de délégué à la protection des données, bien qu’exigeant, présente de nombreux aspects passionnants. Voici quelques raisons pour lesquelles ce métier peut être particulièrement stimulant :

                              • Être à l’avant-garde de l’innovation.

                              Le domaine de la protection des données est en constante évolution, avec de nouvelles technologies et de nouveaux enjeux qui émergent régulièrement. Les DPO sont ainsi amenés à se former en continu et à explorer de nouveaux horizons.

                              • Contribuer à un monde numérique plus sûr.

                              Le DPO joue un rôle essentiel dans la protection des données personnelles, un enjeu sociétal majeur. En assurant la conformité au RGPD, il contribue à un monde numérique plus sûr et plus respectueux de la vie privée.

                              • Avoir un impact significatif.

                              Les avis formulés par un DPO ont un impact direct sur la manière dont les données sont traitées au sein de l’entreprise. Il peut ainsi contribuer à améliorer les processus internes et à renforcer la confiance des clients, mais aussi des collaborateurs.

                              • Développer des compétences variées.

                              Le métier de délégué requiert un ensemble de compétences variées, allant du juridique au technique, en passant par la communication. C’est une opportunité de développer un profil polyvalent et de se perfectionner dans différents domaines.

                              • Travailler au cœur de l’entreprise.

                              Le DPO est un interlocuteur privilégié de la direction et des différents services de l’organisation. Il a une vision globale de l’organisation et peut contribuer à la prise de décisions stratégiques.

                              Par ailleurs, c’est un métier passionnant pour ceux qui souhaitent contribuer à un monde numérique plus responsable et qui aiment relever des défis.

                              Toutefois, leur mission, bien que noble, est souvent confrontée à plusieurs défis.

                              V - Les principales difficultés rencontrées par les DPO

                              Depuis 2018, nombre de DPO internes, comme des DPO externalisés, ont pu exprimer leur plaisir à faire ce métier. Mais force est de constater, au regard des études et sondages réalisés, que les DPO rencontrent plusieurs difficultés à exercer leurs missions.

                              Voici une liste non exhaustive de difficultés exprimées par les DPO internes et externes.

                              Le manque de ressources

                              • Un effectif limité :

                              Les DPO sont souvent seuls ou en petit nombre au sein de l’organisation, ce qui peut rendre difficile la gestion d’une charge de travail importante.

                               

                              • Un budget restreint :

                              Les budgets alloués à la protection des données sont parfois limités, ce qui peut contraindre les DPO dans leurs actions.

                              La complexité du RGPD

                              • La réglementation en constante évolution :

                              Le cadre réglementaire évolue rapidement, ce qui oblige les délégués à la protection des données à se tenir constamment informés des nouveautés. Considérons, par exemple, les textes européens pour encadrer les services et marchés digitaux (DGA, DMA, DSA)

                               

                              • Les interprétations divergentes :

                              Les interprétations du RGPD peuvent varier d’un secteur à l’autre et d’un pays à l’autre, ce qui complexifie la mise en œuvre.

                              La résistance au changement

                              • La culture d’entreprise :

                              Il peut être difficile de faire adopter une culture de la protection des données au sein d’une organisation qui n’y est pas habituée. Pire encore dans une structure dont la raison d’être repose sur l’exploitation des données (marketing, vente en ligne, etc).

                               

                              • Les priorités concurrentielles :

                              La protection des données personnelles peut être perçue comme un frein à l’activité, ce qui peut générer des résistances.

                              La technicité des traitements de données

                              • L’évolution technologique rapide :

                              Les technologies évoluent rapidement, ce qui rend complexe la mise en œuvre de mesures de sécurité adaptées. C’est notamment le cas dans les usages du Cloud ou de l’Intelligence Artificielle.

                               

                              • La complexité des traitements :

                              Les traitements de données peuvent être très complexes, notamment dans les grandes entreprises, ce qui nécessite une expertise technique approfondie.

                              La coordination entre les différents services

                              La collaboration inter-services peut présenter un frein dans la mise en conformité RGPD. Le DPO doit collaborer avec de nombreux services (informatique, juridique, marketing, etc.), ce qui nécessite de bonnes compétences en communication et en coordination.

                              La responsabilité et la pression

                                La pression des résultats, ou le risque de perdre sa mission, peuvent peser sur le DPO au quotidien, de telle manière que le DPO doit trouver un équilibre entre la protection des données et les objectifs économiques de l’entreprise. Sans cet équilibre, des DPO internes se sont retrouvés isolés au sein même de leur organisation.

                                  Le privacy washing

                                  Citons enfin un autre frein aux missions du DPO. Certaines organisations se sont dotées d’un DPO, du fait de leur obligation, afin d’éviter les sanctions.

                                  Mais dans certains cas, le manque de ressources, que nous citions plus avant, est le résultat d’une mauvaise volonté des directions. Certains délégués sont, pour ainsi dire, isolés volontairement.

                                  Délégué à la protection des données DPO en action

                                  Pourquoi faire appel à un délégué à la protection des données DPO externalisé ?

                                  L’externalisation de la fonction de délégué à la protection des données est une pratique de plus en plus courante, et ce, pour plusieurs raisons.

                                  Un vision experte immédiatement disponible

                                  Faire appel à un DPO externe, permet à une organisation d’obtenir des conseils très rapidement. En effet, un DPO issu des employés devra être formé, puis monter en compétence. Dans ce cas, c’est toute la mise en conformité RGPD qui est impactée.

                                  De plus, la plupart des DPO externes sont certifiés. De toute évidence, le niveau d’expertise d’un DPO certifié est sans pareil.

                                  Disposer d’un DPO externe certifié est en quelque sorte le meilleur Label RGPD que vous pouvez espérer. Conformément aux règles de l’art, une organisation ne doit pas sélectionner un DPO externalisé non certifié, quelle que soit la formation ou le diplôme. Bien entendu, il va de soi que l’expertise du DPO est conditionnée par son expérience du terrain.

                                  Expériences multiples et variées

                                  Chez un DPO externalisé, l’expérience est plus importante que les diplômes obtenus. Les formations théoriques ne peuvent pas proposer tous les cas pratiques issus des besoins spécifiques du terrain. C’est pourquoi, opter pour un DPO externalisé, c’est la garantie de bénéficier d’un consultant, avec une expérience riche et variée.

                                  De prime abord, nous pourrions imaginer qu’il est préférable de choisir un DPO externe selon sa spécialité. Par exemple, DPO spécialisé en santé, DPO externalisé spécialiste du tourisme, etc. Malheureusement, cette erreur est encore fréquente. En vérité, il est recommandé d’opter pour DPO bénéficiant d’une réelle expérience. Par expérience, nous ne parlons pas celle qui permet de répondre aux mêmes questions régulièrement. Nous entendons par « expérience du DPO externe », la capacité à se confronter à de nouvelles questions, à sortir de sa zone de confort, afin de relever un challenge et apporter la meilleure réponse à son client.

                                  Ne vous y trompez pas, la spécialisation d’un DPO externe, n’est que la garantie d’une standardisation du conseil pour une plus grande rentabilité du cabinet de DPO. Les conseils sont ainsi les mêmes pour tous, sans personnalisation.

                                  Absence de conflit d'intérêt

                                  Externaliser la fonction de délégué à la protection des données DPO permet en outre de s’acquitter d’une de l’obligation de neutralité du DPO. En effet, la personne physique, ou morale, désignée auprès de la CNIL, doit être détachée du tout potentiel conflit d’intérêt. Cela veut dire qu’elle ne doit pas être influencée dans les avis qu’elle rend aux directions.

                                  Ceci étant, un DPO interne est susceptible d’être influencé par ses ambitions en termes d’évolution, ce qui pourrait l’amener à pencher du côté de l’intérêt de l’organisation, au détriment de la conformité ou des droits et libertés.

                                  De manière générale, le DPO interne ne peut pas être un membre de la direction, ou toute personne qui détermine des finalités de traitements, mais aussi des moyens. Cela signifie, qu’un employé qui participerait à un choix d’investissement lié à un traitement de données, ne doit pas être la même personne chargée d’émettre un avis sur l’investissement au regard du RGPD.

                                   

                                  Qu'est-ce que les conflits d'intérêt du DPO externe ?

                                  Mais attention, externaliser le DPO ne veut pas dire neutralité assurée dans tous les cas. En effet, il y a des DPO externes qui peuvent présenter des conflits d’intérêt importants. C’est notamment le cas des entreprises de distribution de logiciels, ou des fournisseurs de cybersécurité. En théorie par exemple, un infogéreur ne peut pas proposer de solution de DPO, sauf à proposer deux relations contractuelles distinctes, dans le but de garantir la neutralité du DPO.

                                  Attention, c’est aussi le cas des avocats. Comme le recommande la CNIL, un avocat désigné DPO, « ne peut pas représenter cet organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données personnelles. » Cette position de la CNIL est bonne à savoir. Compte tenu du fait que beaucoup de responsables imaginent, en faisant le choix d’un avocat comme DPO, parer à toute éventualité, et maîtriser leur budget. Un avocat DPO doit donc préciser cette situation dans le contrat qu’il propose.

                                  Flexibilité et maîtrise budgetaire

                                  Un DPO externe peut adapter ses prestations en fonction des besoins spécifiques de l’organisation, de sa taille et de son secteur d’activité. De plus, il peut renforcer ses interventions lors de projets particuliers (lancement d’un nouveau produit, fusion, etc.) ou en cas de crise.

                                  Bien entendu, cette flexibilité doit être précisée avant la désignation du DPO externe. En effet, certains DPO externe en franchises annoncent des tarifs compétitifs de prime abord, mais présentent des coûts RGPD cachés.

                                  Chez Opt-on nous y mettons un point d’honneur, nos tarifs conformité RGPD sont transparents dès le début : tout est compris si vous le souhaitez.

                                  Coût de la mise en conformité RGPD avec un DPO externe

                                  Cette question est compliquée. Depuis 2018, de multiples articles ont voulu donner des repaires, mais force est de constater que les montants étaient largement exagérés. En effet, les revues juridiques, les avocats ont annoncé que le coût de la mise en conformité serait en moyenne de 25 000 € par an ! Vous avez bien lu 🙂

                                  Alors qu’il est évident que cette moyenne est plus rédhibitoire que réellement pertinente. Le montant va dépendre de nombreux critères :

                                  • Que faut-il faire ?

                                  Un audit ponctuel ou un accompagnement annuel ne représentent pas le même équivalent jour/homme.

                                  • Dans quel secteur ?

                                  Le domaine de l’édition de logiciel en santé est autrement complexe que le commerce en ligne par exemple.

                                  • Combien de personnes à rencontrer ?

                                  Le DPO est avant tout un enquêteur, surtout au début de sa mission. Le nombre de ses interlocuteurs va influencer le temps nécessaire à leur expliquer les concepts de bases, à la formation.

                                   

                                  En résumé, le rôle du délégué à la protection des données DPO est exigeant et requiert une grande polyvalence. Pour surmonter ces défis, les DPO doivent bénéficier d’un soutien fort de la direction, d’une formation continue et d’outils adaptés.

                                  En conclusion, nous ne pouvons que recommander aux DPO internes d’intégrer des réseaux de professionnels de la protection des données. Ces réseaux permettent de rompre l’isolement, ou d’éviter qu’il apparaisse.

                                  Aller au contenu principal