Les 5 principaux obstacles sur la route du DPO

C’est acté ! Après avoir déterminé que votre entreprise se trouve dans un des cas où la désignation d’un DPO / DPD – Data Protection Officer / Délégué à la Protection des Données – est obligatoire le Comex ou le Codir a décidé d’ouvrir le poste au recrutement. La phase de sélection est terminée et vous êtes en passe d’être désigné auprès de la CNIL comme étant le DPO de votre structure.
Félicitations ! Vous vous êtes préparé, formé, mais être DPO peut vous mener sur un chemin semé d’embûches. Soutien, indépendance, moyen, communication, image du DPO : nous allons identifier les 5 principaux obstacles qui peuvent se dresser sur la route d’un futur DPO.

Une absence de soutien de la direction

La gestion de la conformité liée à la protection des données personnelles est un sujet transverse à l’entreprise ou à l’entité. Les départements juridique, informatique, commercial et métiers doivent y participer activement. Le soutien de la direction, Comex ou Codir, est indispensable à la réalisation des missions du DPO. Sa désignation ne doit pas être vue uniquement comme une contrainte légale mais comme une opportunité concurrentielle : être conforme et valoriser la protection des données est un avantage sur ses concurrents. Les plus grands comme Apple mettent aujourd’hui ce sujet au cœur de leur communication et de leur modèle. La recherche d’un sponsor au sein de la direction générale ou de l’instance équivalente est une piste pour trouver ce soutien. Ce soutien pourra se matérialiser par une organisation et une lettre de mission claire ainsi qu’un reporting et des rendez-vous réguliers. Cela permettra à tous de comprendre que le DPO est un partenaire et occupe une fonction stratégique.

Un manque d’indépendance dans la gestion de ses missions

Le positionnement hiérarchique du DPO doit être tel qu’il oeuvre directement auprès du responsable de traitement et qu’il ne reçoive aucune instruction pour l’exercice de sa mission. Ainsi, le DPO, dans le cadre de l’exercice de ses missions, ne doit pas subir de pression de la part des services opérationnels. Ce besoin d’indépendance découle de l’article 38 alinéa 3 du RGPD qui dispose que « le responsable de traitement [veille] à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions ». Dans la pratique le DPO est bien souvent positionné en fonction de la culture de l’entreprise soit au sein du service juridique, soit au sein du service informatique. Le positionnement du DPO étant très important, pour lui permettre d’exercer pleinement ses missions il convient de s’interroger sur l’organisation cible. En fonction de la taille de la structure il est plus efficient de le positionner au sein du Secrétariat Général ou de l’entité gérant la gouvernance des données ou la conformité. La même réflexion pourra être reprise concernant le DPO externe.

Des moyens non adaptés aux missions confiées

Le rôle du DPO comporte de multiples facettes allant du conseil au responsable de traitement au contrôle du respect de la réglementation en passant par la diffusion de la culture protection des données personnelles au sein de l’entreprise. Pour réaliser ses missions le DPO a besoin des moyens adaptés : budget, outillage, sa formation et celle de ses relais, etc. La fourniture de ces ressources nécessaires est prévue par l’alinéa 2 de l’article 38 du RGPD. Le responsable de traitement ou le sous-traitant doivent ainsi veiller à mettre à disposition les moyens adaptés à la taille de l’entité afin de ne pas faire obstacle à l’exercice des missions de leur DPO.

Une communication défaillante

Les données sont aujourd’hui traitées par l’ensemble des fonctions de l’entreprise. Le DPO se retrouve donc en interaction avec l’ensemble des composantes de la structure dans laquelle il agit. Il est ainsi important qu’il connaisse ou apprenne à connaitre cette structure mais ne doit pas négliger sa communication. En effet, une mauvaise communication du DPO sera un frein à l’accomplissement de ses missions. Il doit assurer sa visibilité et celle de la gouvernance en matière de protection des données personnelles en mettant en place une stratégie de communication. Sa lettre de mission est le premier outil qu’il peut utiliser pour se faire connaitre en interne comme en externe. Par la suite, il veillera à communiquer largement et régulièrement auprès des équipes. Sa compréhension de l’organisation dans laquelle il travaille lui permettra de faire passer ses messages.

L’image que le DPO donne de lui-même

Le principal obstacle que rencontre un DPO dans l’exercice de ses fonctions est souvent lui-même. Le DPO a un rôle de conseil et doit être force de proposition. C’est cette image qu’il doit renvoyer, celle d’ouverture et de facilitateur pour les métiers et non celle de celui qui dit toujours non, celle d’un « shérif ». Il est primordial de ne pas dire non au besoin des opérationnels mais de connaitre la réglementation afin de permettre la réalisation d’un nouveau projet tout en s’assurant de sa conformité en matière de protection des données. La réglementation informatique et libertés n’interdit quasiment rien. Il est le plus souvent possible de paramétrer le projet différemment afin de le rendre conforme. Pour les peu de cas où aucune adaptation du projet n’est possible pour atteindre la conformité il faudra faire preuve de pédagogie dans sa communication.

Nous venons de le voir, les obstacles qu’un DPO est susceptible de rencontrer sont surmontables. Il doit pour cela, dès sa désignation, mettre en place un plan d’action approuvé et porté par la direction de la structure dans laquelle il officie. Il faut surtout qu’il évalue chacune de ses actions afin d’apporter des corrections au besoin. En un mot, il doit mettre en place une démarche d’amélioration continue de son activité. La méthode PDCA (Plan Do Check Act) est un outil précieux qui lui permettra d’atteindre cet objectif.