Retour sur l’an I du RGPD : le cas du DPO externalisé dans les TPE/PME
L’obligation de nommer un DPO a été vécue par certaines entreprises comme une nouvelle contrainte administrative. Après presque douze mois d’application du RGPD, il est possible de dresser un premier bilan des apports réels du DPO aux entreprises, et de leur manière de fonctionner.
De manière surprenante, beaucoup de ces entreprises, en particulier chez les TPE/PME, ont cependant finalement appris à cohabiter avec leur DPO, découvrant l’intérêt qu’elles pouvaient en tirer.
Le 25 mai dernier, une nouvelle profession s’est lancée à l’assaut des entreprises : le Délégué à la Protection des Données (plus communément appelé "DPO" acronyme des mots anglais Data Protection Officer).
Si cette profession existait déjà plus ou moins (le DPO a succédé au Correspondant Informatique et Libertés), sa présence n’était pas obligatoire avant l’entrée en vigueur du RGPD le 25 mai 2018.
Contraintes et forcées, certaines sociétés ont donc dû procéder à la nomination d’un DPO, soit parce qu’elles rentraient dans les critères prévus par le règlement communautaire, soit parce que leurs partenaires grands comptes le leur ont plus ou moins imposé.
Beaucoup de ces sociétés ont fait le choix de nommer un DPO externe plutôt que d’attribuer la fonction à un salarié. Si ce choix se justifie pleinement – un salarié ne peut pas s’improviser DPO – il implique un vrai défi dès lors que le délégué n’a accès aux rouages de la société que de l’extérieur.
Douze mois après l’entrée en vigueur du RGPD, il est possible de dresser un premier bilan des relations TPE/PME- DPO.
Une vision extérieure bienvenueLe premier enseignement qui ressort des audits menés, est que peu de dirigeants connaissent vraiment la nature des données qu’ils collectent et traitent.
La vision des salariés et personnes qui travaillent quotidiennement au sein de l’entreprise, est souvent parcellaire. Le responsable informatique a ainsi rarement une vision exacte des données collectées par le marketing, le marketing ne comprend pas les impératifs des ressources humaines, et les ressources humaines oublient souvent de tenir à jour le service informatique de leurs nouvelles obligations ou des changements de salariés.
L’avantage du DPO externalisé est sa neutralité à l’égard des différents traitements effectués. En tant que personne extérieure, il est plus à même d’avoir une vision globale de l’entreprise et des flux de données qui y circulent.
Le second enseignement est que très souvent l’équipe dirigeante apprécie l’apport du DPO, qui lui permet de prendre conscience de la masse de données traitées. Certains logiciels offrent d’ailleurs d’aller scanner l’ensemble des outils utilisés au sein de l’entreprise pour localiser ceux qui collectent, traitent ou stockent des données. Ce travail est l’occasion de faire réaliser le nombre de données qui transitent par la société et le mode de fonctionnement des outils utilisés.
Un véritable audit de la sociétéLe travail du DPO censé à la base se concentrer uniquement sur une analyse du traitement des données traitées par la société, s’est – de notre point de vue – transformé en audit de l’entreprise vu à travers le prisme des données personnelles.
A bien y réfléchir, cette évolution est légitime dès lors que les entreprises tenues de procéder à la nomination d’un DPO, sont précisément celles dont l’activité est centrée autour de l’utilisation des données. L’analyse de l’entreprise à travers les données qu’elle exploite paraît ainsi parfaitement fondée. Il faut également rappeler qu’un des rôles du DPO est de procéder à la rédaction du registre des activités de traitement et du registre de sous-traitance. Il ne peut bien évidemment procéder à cette rédaction que s’il a une parfaite compréhension du métier de l’entreprise, de la raison pour laquelle elle collecte des données, et surtout de ce qu’elle en fait.
La première partie du travail du DPO – mise en place de l’audit de conformité, actualisation des documents concernés, rédaction des registres – constitue ainsi une mission bien comprise des entreprises, souvent attentives aux préconisations faites.
Un contrôle régulier parfois compliquéMais le travail du DPO externalisé ne s’arrête pas à la mise en conformité. Il est censé accompagner l’entreprise tout au long de son activité. L’entreprise est ainsi tenue de le consulter avant de mettre en œuvre tout nouveau traitement de données. Elle est également censée le tenir informé des moyens mis en œuvre pour appliquer ses recommandations et lui confirmer leur application effective.
Relativement peu d’entreprises adoptent cependant un comportement pro actif, et sollicitent spontanément le DPO externalisé. Beaucoup de sociétés voient d’ailleurs dans la nomination du DPO une simple formalité, oubliant qu’il reste leur référent en matière de conformité et qu’il a une obligation de contrôle à leur égard.
Afin de rendre effectif le travail du DPO externalisé, on ne peut que recommander la mise en place, a minima, d’un rendez-vous annuel entre l’entreprise et le délégué, pour lui permettre de faire le bilan de l’année écoulée. Ce rendez-vous est de toute façon nécessaire pour actualiser la liste des traitements effectués, s’assurer que le registre de sous-traitance est bien tenu à jour, et resensibiliser les salariés aux règles de sécurité et de confidentialité qui doivent prévaloir au sein de l’entreprise.