Depuis l’entrée en vigueur du règlement général européen sur la protection des données le 25 mai 2018, certaines catégories d’entreprises doivent désigner parmi leurs collaborateurs un délégué à la protection des données (DPO). Sa mission consiste à s’assurer de la conformité des activités du groupe aux nouvelles exigences réglementaires. Face à la difficulté de dénicher le profil idéal en interne, beaucoup de sociétés se tournent vers des cabinets spécialisés de DPO.
Depuis le 25 mai 2018, une nouvelle fonction a fait son apparition au sein des entreprises : le Data Protection Officer (DPO ou délégué à la protection des données en français). L’entrée en vigueur du règlement général sur la protection des données (RGPD) a en effet obligé les sociétés dans lesquelles le traitement des données personnelles ou de données dites «sensibles» (santé, biométriques, opinions politiques, convictions religieuses, condamnations pénales, etc.) exige un suivi régulier et systématique à grande échelle à nommer un tel spécialiste, successeur officiel des correspondants informatique et libertés (CIL). Ceux-ci étaient chargés de veiller à la sécurité juridique et informatique de leur entreprise depuis la loi Informatique et liberté de 2004. Pourtant, à ce jour, nombreuses sont les entreprises qui n’ont pas procédé à cette nomination. «Alors qu’elles faisaient partie des sociétés concernées, certaines n’ont pas du tout traité le sujet par manque d’intérêt, constate Nosing Doeuk, directeur associé de Mc2i groupe. Dans leur esprit, il s’agit d’une réglementation de plus à gérer et elles n’y voient aucune opportunité. Chaque condamnation future de la Commission nationale de l’informatique et des libertés (CNIL) en matière de RGPD les aidera sans doute à prendre conscience de l’importance de cette fonction.» En effet, à ce jour, seuls 18 000 DPO, représentant 52 800 organismes privés, ont été enregistrés auprès de la CNIL.
Une difficulté à trouver le profil adéquat
Le désintérêt des entreprises ne suffit toutefois pas à expliquer ce chiffre. A la fois juriste et technicien, le DPO est en charge de toutes les actions entourant la protection des données. A ce titre, il doit disposer de connaissances spécifiques, et bénéficier des moyens matériels et organisationnels et du positionnement lui permettant d’exercer ses missions de garant de la conformité au RGPD. «Le profil du DPO reste encore à déterminer, observe Stéphanie Guerrand, consultante recrutement chez Robert Half. Certaines organisations souhaitent un juriste, d’autres une personne au profil technique/systèmes d’information. Quelques-unes ont même nommé un DPO et un DPO adjoint pour une meilleure complémentarité (un pour le juridique et l’autre pour les data). Cela dépend surtout du secteur d’activité et des enjeux de l’entreprise.» La plupart des groupes qui sont dans l’obligation de nommer un DPO disposent de ces compétences dans leurs effectifs, ils ont donc naturellement été tentés de jouer la carte de la nomination en interne. Mais si la plupart des CIL déjà présents ont été promus au rang de DPO, beaucoup de dirigeants ont éprouvé les pires difficultés à dénicher la perle rare parmi leurs collaborateurs. «Certaines directions juridiques ou des systèmes d’information, par exemple, ne veulent pas porter la fonction ou le poste de DPO, indique Nicolas Remy-Neris, avocat chez Grant Thornton Société d'Avocats. Elles n’ont parfois ni le candidat pour ce poste, ni le temps matériel à consacrer à la fonction.» D’autant que celles ayant accepté d’endosser la responsabilité de ce nouveau rôle ont souvent eu besoin d’un temps d’adaptation afin de véritablement se saisir des enjeux complexes du RGPD et mettre en place les plans d’actions exigés. «Beaucoup d’entreprises réfléchissent encore au profil du collaborateur idéal, remarque Stéphanie Guerrand. Parfois, les compétences des candidats peuvent s’avérer incomplètes au regard des exigences des entreprises.»
Par ailleurs, les sociétés ayant opté pour un recrutement externe ont également été vite confrontées à une pénurie de candidats. «De nombreux postes sont encore à pourvoir, déplore Nicolas Remy. Il s’agit d’un métier qui est aujourd’hui en phase d’observation et de construction. Les potentiels prétendants aux postes ne savent pas comment le métier va évoluer et très peu d’entre eux sont prêts à quitter leur place d’avocat ou de spécialiste de l’IT.» D’ailleurs, les enseignements universitaires ou les formations continues sur ce nouveau métier émergent à peine.
Le choix de l’externalisation
Dans ce contexte, les entreprises n’ont pas hésité à faire appel à des prestataires externes. «Le phénomène est en plein essor. Il concerne aussi bien des filiales françaises de grands groupes internationaux que des PME, souligne Frédéric Sardain, avocat associé chez Jeantet et créateur de l’offre Easy DPO au sein du cabinet.La problématique est différente selon l’entreprise, son budget consacré à ce type de mission, sa sensibilité aux risques, etc.»
Il existe aujourd’hui, selon la CNIL, environ 700 structures (des cabinets d’avocats, de conseils, etc.) exerçant les fonctions de DPO pour le compte des entreprises. «Certaines entreprises estiment qu’elles ne possèdent pas en interne les connaissances nécessaires sur les sujets de compliance et de traitement des données, explique Nosing Doeuk. D’autres pensent qu’elles n’ont pas beaucoup d’argent à investir en interne et préfèrent externaliser la fonction.»
Les prestations proposées par ces cabinets spécialisés vont de l’audit au conseil et à la cartographie de données personnelles. «Nos DPO dédiés sont tous des avocats spécialisés dans le IT, indique Frédéric Sardain. Notre offre comprend notamment le registre des données, un point mensuel avec les équipes clients, une hotline pour répondre à leurs questions et une veille.» Une offre par ailleurs réputée moins coûteuse pour l’entreprise qu’une embauche interne, selon les professionnels du secteur. «Si un chef d’entreprise – même d’une petite PME où celui-ci est souvent contraint d’exercer lui-même les fonctions de DPO – prend en compte les charges et la rémunération, tous les coûts fixes, une externalisation de la fonction DPO est souvent un soulagement pour les opérationnels, qui portent le déploiement de la conformité en s’appuyant sur un conseil externe avocat qu’ils désignent auprès de la CNIL comme DPO externalisé», observe Nicolas Remy-Neris. En choisissant cette option, l’avocat DPO externe s’engage également à ne pas assurer la défense de l’entreprise en cas de contentieux avec la CNIL afin d’éviter tout conflit d’intérêts entre le métier d’avocat et celui de DPO.
A ce jour, la CNIL s’est certes montrée très clémente car une seule sanction a été prononcée, en janvier 2019, contre la société Google pour un montant de 500 millions d’euros. Mais la donne pourrait changer après cette première année de rodage.
Un MOOC pour aider les entreprises
Le 11 mars dernier, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une formation en ligne (MOOC) gratuite et ouverte principalement aux délégués à la protection des données (DPO) intitulée «L’atelier RGPD». «Beaucoup d’entreprises ne sont pas encore au courant de ce qu’elles doivent mettre en place pour se conformer au RGPD, observe Albine Vincent, chef du service des délégués à la protection des données à la CNIL. Aussi, dans son rôle d’accompagnement, la CNIL propose grâce à ce module de découvrir ou de mieux appréhender le règlement.» Le MOOC est structuré en quatre modules d’une durée moyenne de 5 heures. Une attestation de suivi – qui n’a pas la valeur d’un diplôme – est délivrée à l’issue du MOOC à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module.
