Au secours, je ne sais pas quoi faire de mon DPO !

En général, il faut toujours commencer par les textes, rien que les textes. La lecture des articles 38 et 39 du RGPD ne laisse aucune place au doute : le DPO a un rôle de conseil, d’alerte et de contrôle interne. Ce n’est donc pas un « faiseur » ou un exécutant, c’est un contrôleur, autant qu’un commissaire aux comptes (CAC) pour la partie financière. L’article 38-3 est on ne peut plus clair : le DPO ne reçoit aucune instruction dans l’exercice de sa mission, il appartient très clairement au responsable de traitement de veiller à ce que le DPO ait les moyens d’effectuer sa mission et qu’il soit associé en amont à la mise en place des traitements. L’article 39 en fait très explicitement un délégué de la Cnil interne à l’établissement – changement déjà amorcé avec l’apparition de la fonction CIL il y a déjà quelques années.

Pour illustrer ses prérogatives – et surtout l’esprit de la fonction –, qu’il me soit permis de narrer une petite anecdote. Il y a quelques mois, une amie (chef d’entreprise dans le privé de son état) me disait en plaisantant que si j’étais son DPO, elle me demanderait de venir lui faire un rapport tous les six mois sur les traitements, la conformité de son entreprise, etc. Toujours sur le ton de la plaisanterie, je lui ai fait remarquer qu’elle n’avait visiblement pas compris le sens du RGPD ni de la fonction de DPO, et que si un beau jour j’avais la chance d’être le sien, c’est elle qui, à titre de responsable de traitement, viendrait m’exposer tous les six mois l’état de conformité de l’entreprise et, compte tenu de ma fonction de contrôle interne, je mentionnerais dans mon rapport annuel l’état d’avancement de la mise en conformité au RGPD et lui donnerais mon quitus – ou pas. C’est le CAC qui contrôle les flux financiers et le chef d’entreprise qui répond à ses demandes, pas l’inverse. C’est le CAC qui dira si les comptes sont conformes ou pas. C’est au big boss de faire en sorte que le CAC ait accès à toutes les informations dont il a besoin pour assurer sa mission de contrôle. Même chose pour le DPO. Il ne faut donc pas inverser les rôles. Cela étant, le DPO a bien mieux à faire que d’enfiler le costume de l’empêcheur de traiter des données personnelles en rond ou de l’enquiquineur journalier, et une fois que son rôle est compris il peut – et doit – être d’une grande utilité à sa direction générale.

Il faut voir le DPO comme étant dédié au processus très particulier qu’est la conformité au RGPD. Un DPO doit fournir :

– un indicateur sur les projets SI pour lesquels il a été sollicité, et les autres ; cet indicateur est facile à mettre en place si la DSI dispose d’un outil de gestion de portefeuille de projets, même rudimentaire ;
– une analyse de l’écart entre l’existant et le résultat à atteindre, avec des propositions pour réduire cet écart, incluant une demande d’intervention auprès du DSI si nécessaire ; par principe, je pense qu’il faut envisager des moyens financiers uniquement quand tous les autres leviers ont été utilisés ;
– un état général des traitements recensés, avec une estimation à la louche de ceux qui doivent encore l’être ;
– un état sur la mise en conformité des traitements sensibles, la fréquence de révision, etc.
Autrement dit, il faut voir le DPO comme un qualiticien interne.

Il est normal que certaines directions générales soient inquiètes devant le risque juridique, financier – et surtout en termes d’image – d’une non-conformité au regard d’une réglementation qui n’est pas simple à appréhender. Le DPO doit donc se mettre cinq minutes dans la peau de son DG et se dire : « Si j’étais à sa place, de quoi aurais-je besoin pour visualiser de façon macro l’exposition au risque RGPD de la structure et avoir les idées claires sur les plans d’actions en cours ? » Un DPO doit remonter régulièrement une information synthétique : le niveau général de conformité, le delta et l’analyse de ce delta, des propositions de réduction de ce delta avec un plan d’actions chiffré et séquencé, etc. Si ce type d’échange n’est pas compris, c’est soit que le RGPD et la fonction de DPO ne sont pas correctement maîtrisés par une DG, soit que le DPO les a mal explicités.

Après, même si stricto sensu ce n’est pas à un DPO de réaliser une appréciation des risques (c’est à la MOA), ni de remplir un dossier PIA/EIVP, ni même de tenir à jour le registre des traitements, il ne faut pas être jusqu’au-boutiste : à titre personnel, je pense qu’il n’est pas raisonnable de demander à une MOA, a fortiori médicale, de passer ne serait-ce qu’une minute à faire de la paperasse RGPD. Je n’ai pas besoin d’un chef de service médical ou du responsable d’une direction pour remplir un fichier Excel, j’ai besoin d’eux pour répondre aux questions qu’ils sont les seuls à maîtriser, à savoir le niveau de risque encouru par les personnes dont on traite les données dans le cadre de leurs processus métiers. Le reste, je m’en charge.