Protection des données : le rôle du DPO mutualisé
Alors que le RGPD et la loi Informatique et Libertés exigent dans certains cas la nomination d’un DPO, certains établissements en restent à ce jour dépourvus faute de ressources humaines et de moyens financiers suffisants. Encore méconnue, la fonction de DPO mutualisé est une alternative efficiente au DPO à temps plein au sein de la structure.
Dans quels cas avoir un DPO mutualisé ? Quelle est sa mission ? Comment le nommer ?
Cas où la nomination d’un DPO est obligatoire
Comme le rappelle la CNIL :
« le DPO (est) le « chef d’orchestre » de la gestion des données personnelles dans l’organisme qui le désigne. Il est un maillon essentiel de la gouvernance de la donnée, en lien avec le RSSI (responsable de la sécurité des systèmes d’information) et la DSI (direction des systèmes d’information). » (Guide pratique RGPD – Délégués à la protection des données (cnil.fr)
La nomination d’un DPO est obligatoire pour (Article 37.6 du RGPD sur la désignation d’un délégué interne ou externe) :
- les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles),
- les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle,
- les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
Les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Premier pas vers la conformité, la nomination d’un DPO dans un établissement de santé est particulièrement pertinente en raison des risques notamment le piratage des données de santé malheureusement mis en lumière dans le cadre de la pandémie de Covid-19.
Recruter un DPO dans une structure de santé ? Autant chercher le mouton avec ces 5 pattes :
- maîtrise du droit de la protection des données de santé,
- connaissances et appétence pour les technologies de santé,
- privilégier une approche en termes de gestion des risques,
- excellentes capacités relationnelles pour entrer en relation avec les métiers et se faire entendre de la direction,
- être capable d’instruire seul sa mission en toute impartialité.
Surmonter l’absence de ressource interne
Il est très probable qu’en interne aucun membre du personnel n’ait le temps ni les compétences pour exercer ce type de mission qui, surtout, se caractérise par une indépendance vis-à-vis des directions de l’établissement. Cela signifie par exemple que le DPO ne doit pas par ailleurs être en mesure de déterminer les finalités du traitement des données, ni ses moyens, ou être un membre de l’encadrement au risque d’être en conflit d’intérêt avec la structure.
Le DPO :
- Ne doit pas recevoir d’instruction dans l’exercice de ses missions,
- Fait directement rapport aux échelons les plus élevés de la direction de l’organisme,
- Ne doit pas faire l’objet d’une sanction ou d’un licenciement du fait de l’accomplissement de ses missions.
De plus, la fonction de DPO s’exerce à temps plein ou partiel : il ne s’agit pas d’une simple tâche pouvant être exercée en satellite à une fonction principale.
Inversement, il est impossible de désigner plusieurs personnes pour exercer les fonctions de DPO ou de fractionner ce rôle entre différents services (RH, SI, juridique). La règle est qu’une seule personne soit désignée en tant que délégué à la protection des données.
Pour un salarié, cela signifie qu’il peut refuser la nomination au poste de DPO en vertu des règles générales du code du travail. Tel sera le cas si cette désignation constitue une modification substantielle du contrat de travail. Le manque de ressources en temps et l’absence de connaissances suffisantes sont des motifs légitimes pouvant amener le salarié à décliner ce type de poste.
Dans quels cas avoir un DPO mutualisé ?
La nomination d’un DPO externe sera la solution pour faire face à l’absence de ressource humaine interne et bénéficier d’un niveau d’expertise spécifique au secteur de la structure.
Le DPO mutualisé est celui qui est désigné pour plusieurs entités offre des avantages supplémentaires :
- limitation des coûts à l’échelon du groupe formé par les entités,
- alignement avec les objectifs de conformité partagés par les entités,
- cohérence des dispositifs mis en place.
La mutualisation du DPO est possible dès lors qu’il est facilement joignable à partir de chaque lieu d’établissement. Il suffit donc de mettre en place une organisation idoine.
A titre d’exemple, le DPO mutualisé peut être nommé dans :
- dans le secteur privé, pour un groupe de d’entreprises,
- un établissement public de coopération intercommunale (communauté de communes ou d’agglomération),
- un opérateur public de services numériques (syndicat mixte, agence technique départementale, centre de gestion de la fonction publique territoriale accompagnant le développement de l’e-administration sur son territoire),
- des collectivités territoriales,
- des établissements publics locaux et organismes privés chargés d’une mission de service public.
Encadrer la mission du DPO
Les missions confiées au DPO doivent être formalisées dans un document spécifique tel qu’une lettre de mission, avenant au contrat de travail, fiche de poste, contrat de prestation de service pour le DPO externe, etc.
Les modalités de travail du DPO y seront décrites :
- moyens alloués,
- interlocuteurs relais identifiés,
- fréquence des réunions avec la direction de l’organisme et les services traitant les données,
- circuit de communication.
Il est impossible de désigner un DPO pour certaines tâches uniquement : le DPO est désigné pour toutes les opérations de traitement effectuées par le responsable du traitement (point 2.1 des lignes directrices du CEPD lien vers le document ARTICLE29 – Item (europa.eu)).
Cela signifie que la désignation partielle d’un DPO pour les traitements RH n’est pas possible. L’étendue des missions du DPO justifie largement d’écarter une désignation parcellaire (Article 39.1 du RGPD sur les missions du DPO).
Bien au contraire, les particularités de la mission du DPO doivent être sérieusement considérées et notamment son association à toute question relevant de la protection des données. Depuis les réunions stratégiques où les projets sont discutés, jusqu’à la violation de données en passant par le dialogue avec le RSSI et la prise de décision sur la protection des données, le DPO doit être impliqué.
De surcroît, l’avis du DPO doit toujours sérieusement pris en considération et en cas de désaccord, la bonne pratique est de consigner les raisons pour lesquelles l’avis du DPO n’a pas été suivi. Cette pratique est bien connue des conseils d’administration.
Sur les ressources financières, le DPO doit détenir un budget propre ou disponible car il doit mener des actions de sensibilisation ou pouvoir recruter (à titre temporaire ou permanent). Il doit avoir accès par défaut à la documentation juridique engageant l’organisme avec des tiers sur les questions de traitements de données personnelles (contrats) car il doit être à même de négocier les clauses de protection des données qui y figureraient (article 38.2 du RGPD sur l’obligation de fournir des ressources au DPO).
Le DPO doit avoir accès à tous les services : ressources humaines, juridique, qualité, informatique, sécurité, car il doit recevoir toutes leurs contributions.
Comment nommer le DPO mutualisé auprès de la CNIL ?
Le DPO mutualisé est soit un DPO interne, relié à une entité par un contrat de travail, soit un DPO externe. Dans ce cas, la fonction est exercée sur la base d’un contrat de service conclu avec une personne physique (exemple : consultant, salarié d’une filiale du groupe, etc.) ou morale (exemple : cabinet d’avocats, cabinet de conseil, centre de gestion, syndicat mixte, etc.)
Chacune de ces entités doit, en tant que responsable de traitement ou sous-traitant, compléter un formulaire de désignation du délégué.
Pour les entités ayant un nombre important de désignations à réaliser, une procédure de désignation spécifique dite multiple est possible (Articles 83 et 84 du décret n° 2019-536 du 29 mai 2019 sur les modalités de désignation du DPO auprès de la CNIL et la convention de mutualisation professionnelle).