Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats, revient pour Décideurs Juridiques sur la place des DPO au sein des organisations et nous livre ses pistes pour qu'ils puissent remplir efficacement leurs missions.

Passer des textes à la pratique constitue un enjeu parfois redoutable pour les DPO, d’autant plus qu’il s’agit de missions nouvelles et de postes aux contours à définir. De plus, la lecture des postes de DPO à pourvoir montre bien l’extrême diversité des profils demandés comme des parcours attendus. Qu’il s’agisse de créer un poste ex nihilo ou de reconfigurer un profil existant, l’enjeu reste le même : concrétiser les objectifs ambitieux du RGPD et de la loi Informatique et libertés, en permettant notamment au DPO d’être associé à toutes les questions relatives à la protection des données.

Cette injonction de l’article 38 du RGPD est cependant particulièrement difficile à mettre en place concrètement, que la fonction de DPO soit internalisée ou externalisée, et suppose un positionnement inédit.

Ce positionnement ou plutôt cette recherche de positionnement n’est pas abstraite : au contraire, c’est une préoccupation quotidienne des DPO avec lesquels j’échange, DPO qui doivent trouver leur place afin de rappeler tous les enjeux liés à la protection des données sans pour autant négliger ou mal évaluer les contraintes de l’entreprise ou de l’organisation dont ils relèvent. Cette lettre du DPO part donc de leurs pratiques et de mon expérience de DPO pour évoquer quelques pistes leur permettant de trouver leur place et de remplir leurs missions. 

Un DPO associé à toutes les questions relatives à la protection des données ?

L’intitulé de l’article 38 du RGPD est large. Être associé à toutes les questions relatives à la protection des données suppose des interventions à tous les niveaux d’une structure, quelle qu’elle soit. Or, il peut être délicat d’intervenir à la fois sur des questions internes (enjeux RH, projets de sous-traitance de certaines activités, recours à de nouveaux outils en matière de vidéosurveillance) ou externes (mise en conformité de la prospection commerciale ou choix de nouveaux outils marketing), tout en trouvant à la fois le bon positionnement vis-à-vis des équipes concernées et le niveau de conseil adapté. Sans parler des ressources à dégager en termes de temps ou d’équipe…

La participation du DPO va dépendre aussi de sa connaissance technique de l’ensemble des sujets concernés et de sa capacité à faire des contre-propositions ou à proposer d’autres solutions alternatives. Bien souvent, il lui appartiendra aussi d’être en mesure d’interpréter les préconisations des autorités de contrôle et notamment de la Cnil, afin d’être force de proposition. Et participer à certains outils (analyses d’impact, choix des garanties appropriées en matière de transferts internationaux par exemple…), autant de missions qui disent toute l’hétérogénéité de ses interventions.

Cette question de la place du DPO est d’autant plus centrale lors d’interrogations sur la conformité d’un dispositif ou de contrôles suite à une plainte ou une réclamation. Le rôle que doit jouer le DPO à ce moment-là, sa place dans le processus décisionnel et la portée de ses avis sont autant de questions qui doivent être clairement posées. Et qui nécessitent d’être prises en amont, sans attendre une situation de crise ou d’urgence : c’est le cas notamment lors de violations de données et quand le DPO peut être sollicité pour établir s’il convient de les notifier ou de les communiquer aux personnes concernées.

Sensibiliser à la protection des données ?

Un des corollaires du principe de responsabilité posé par le RGPD est la nécessité de former et de sensibiliser. Aucune gouvernance effective ne peut être mise en place en matière de protection des données notamment en l’absence d’outils de sensibilisation efficaces et réguliers. De tels outils sont essentiels pour le DPO. En effet, c’est le plus souvent lors de ces formations ou de ces séquences de présentation que pourront être mesurés le niveau de sensibilisation général, le suivi des actions déjà entreprises ou l’efficacité des dispositifs mis en place.

Ces formations peuvent permettre aussi d’évoquer directement les réticences ou les contraintes liées à la conformité en matière de protection des données, afin de les gérer plus efficacement. Ces sensibilisations sont également des opportunités intéressantes pour le DPO, afin d’être identifié et visible, surtout pour disposer d’une vision globale. Je l’ai souligné lors d’une précédente Paroles de DPO, ce dernier doit jouer un rôle de négociateur et se montrer à l’écoute des enjeux en cours.

Si ces actions sont importantes, c’est encore parce qu’elles constituent des opportunités intéressantes pour tout DPO de démontrer la plus-value de ses interventions, alors que son positionnement peut rester complexe en pratique, au vu de missions hybrides et d’un conseil sur la législation ou la règlementation applicable qui apparaît contraignant ou improductif. Former, sensibiliser, expliquer constituent alors autant d’opportunités permettant de s’inscrire dans le paysage et de justifier son association systématique lorsqu’elle est nécessaire.

Ainsi et pour synthétiser, la mise en place d’actions de formation et de sensibilisation sur la protection des données (par tous moyens, vidéos, MOOC, sessions courtes, etc.) constitue une entrée en matière indispensable pour tout DPO, afin de lui permettre de s’inscrire dans la durée comme point de contact et de jouer efficacement son rôle de conseil. Et une bonne manière aussi de favoriser l’empowerment dans les organisations qu’il accompagne.

Des questions à ce sujet ? N’hésitez pas à nous contacter : www.cabinetderoulez.com

 

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.

Prochains rendez-vous

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX

Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  

Voir le site »

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2024