S’il y a une obligation prioritaire que les entreprises et organismes devront remplir avant l’entrée en vigueur du RGPD le 25 mai 2018, c’est de se doter d’un délégué à la protection des données (DPD), en anglais, data protection officer (DPO). Ils devront en parallèle changer leur politique générale en matière de protection des données ; instaurer des registres au sein de leurs entreprises ou encore insérer de nouvelles mentions obligatoires dans les contrats. Le but étant, en cas de besoin, de réussir à prouver que le traitement des données des personnes de l’Union s’est fait en conformité avec le règlement.


Coût financier pour les entreprises

Le problème, c'est que tous ces aménagements au sein des entreprises et organismes auront forcément un impact dans leur trésorerie. C’est là que la solution de l'externalisation s’avèrerait être très opportune, puisque le règlement lui-même prévoit le recours à des sous-traitants. S’agissant de son profil et de son parcours, le DPD doit avoir à minima une formation de juriste. En outre, du fait de l’importance de sa mission, il aura au moins un statut de cadre moyen, voire de cadre supérieur. Or pour certaines entreprises et organismes, eu égard à leur taille et à leur activité, il n’est pas forcément nécessaire d’avoir un DPD à plein temps. Le recours à un DPD externe conférerait alors de nombreux avantages : charges patronales moindres ; possibilité de moduler le temps de travail du DPD externe en fonction des besoins de l'entreprise.


Avantages de l’externalisation du DPD

En application de l’article 37 du règlement général sur la protection des données (RGPD), les entreprises peuvent recourir à des postes de DPD externalisés ou mutualisés. D’ailleurs, de plus en plus nombreuses sont les collectivités qui envisagent cette solution. Les petites entreprises, pour des raisons évidentes de coût, seraient dans la même optique. Au-delà des avantages en termes financier, les entreprises et organismes faisant le choix d’externaliser leur DPD auront l'assurance de l’effectivité de son indépendance. De même, le risque de conflits d'intérêts est quasi inexistant lorsque le DPD n’est pas un membre du personnel.


Sanctions en cas de manquement

Il convient de rappeler que les sanctions prévues par le règlement sont assez dissuasives. En effet, l’article 83 -6 du règlement prévoit une amende d’un plafond de 20.000.000 d’euros, ou de 4% du chiffre d’affaires annuel mondial du précédent exercice, s’il s’agit d’une entreprise. Sachant que c’est le montant le plus élevé des deux qui est retenu. Les entreprises et organismes auront donc tout intérêt à créer / renforcer le poste ou l’équipe déléguée à la protection des données. En effet, avec l’entrée en vigueur du règlement, la création d’un poste de DPD, ou le recours à un sous-traitant selon le cas, sera obligatoire.


Rôle du DPD

Au niveau des collectivités territoriales, avec l’entrée en vigueur du RGPD, le Correspondant informatique et libertés (CIL) sera remplacé par le DPD. Tout comme le CIL, il doit être impérativement associé à absolument toutes les problématiques liées à la protection des données personnelles. A ce titre, il est considéré à la fois comme : le garant de la conformité du traitement des données personnelles au règlement ; le gardien de la sécurité des conditions de traitement desdites données ; et aussi l’interlocuteur principal de la Commission Nationale de l'Informatique et des Libertés (CNIL). Bref, il est là pour contrôler la bonne application du RGPD au sein de l'entreprise ou de l’organisme. C'est la raison pour laquelle le règlement a prévu de nombreuses garanties à son égard. Le DPD exerce ses fonctions en toute indépendance, y compris vis-à-vis de ses supérieurs hiérarchiques, auprès desquels il rapporte directement tout incident qui d'après lui serait en contradiction avec le règlement. De même, il est à l’abri de tout licenciement, en ce sens qu’on ne peut le relever de ses fonctions.


Sources

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Série des traités européens - n° 108. Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Sites internet :
EUR-Lex ; CNIL ; OCDE