Aller au contenu

Les tarifs du DPO

  • RGPD

Le rôle du DPO

Je suis DPO externe depuis le début de l’année. Beaucoup de personnes me demandent des tarifs concernant leur mise en conformité, imaginant qu’il y a une grille tarifaire concernant chaque mission (tel que défini par l’article 39), dont :

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

d) coopérer avec l’autorité de contrôle;

e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

Sachant que le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Définition d’une mission par le responsable de traitement ou le sous-traitant ou le co-traitant et le DPO

Or, je ne peux pas établir de barème dans la mesure où il faut d’abord déterminer le cadre de la mission, et cela dépend :

a) de la taille (nombre de personnes), de l’activité de la structure et des principaux acteurs ;

b) du type de données traitées (données classiques, données sensibles, données interdites), des traitements effectués, de leur durée de conservation et de leurs fondements juridiques ;

c) des processus existants, ou pas, en matière de protection des données (garantie de confidentialité, d’intégrité et de disponibilité des données) d’un point de vue structurel, organisationnel, technique et juridique : état de maturité dans la sécurité des données, existence d’une politique de sécurité des systèmes d’information, d’une politique de sécurité des données, d’une charte informatique…, sensibilisation et formation régulière du personnel aux risques (perte de confidentialité, perte d’intégrité ou perte de disponibilité des données, risque de cyber-attaques…) et diffusion des bonnes pratiques… ;

d) de la présence – ou pas – de sous-traitants, co-traitants… ;

d) de l’existence, ou pas, d’une PIA (Analyse de risques et analyse des impacts) relative aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement, lorsqu’il est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ;

e) de transferts de données à caractère personnel hors de l’Union Européenne ou auprès de multinationales,

f) de l’existence ou non de violations, et du type de violation.

Il est donc nécessaire de pouvoir connaitre l’entreprise commanditaire, son infrastructure actuelle, ses missions, ses besoins. Cela demande donc à minima un entretien téléphonique stratégique pour connaitre le contexte, les enjeux et cadrer la mission.

Stratégie de mise en conformité et de maintien de la conformité

L’engagement d’un DPO relève d’une stratégie à long terme, avec une mise en conformité, mais également un suivi régulier pour accompagner le responsable de traitement ou le sous-traitant dans le maintien de sa conformité au RGPD tant d’un point de vu structurel qu’organisationnel, technique ou juridique.

Cela signifie que l’activité du DPO commence par un audit complet de la structure avant de (liste non-exhaustive) :

a) pouvoir proposer des préconisations,

b) aider le responsable de traitement et les acteurs dans l’entreprise, ou prestataires externes, à les mettre en œuvre,

c) vérifier la bonne mise en application des préconisations par le responsable de traitement, le personnel participant aux opérations de traitement, les sous-traitants ou co-traitants éventuels,

d) vérifier la mise à jour constante :

  • des différents registres, dont le registre des traitements,
  • des diverses politiques et chartes au sein de l’entreprise,

e) vérifier que le responsable de traitement s’assure systématiquement de la conformité RGPD de ses partenaires, fournisseurs, sous-traitants… et établit des contrats contenant les clauses RGPD,

f) de vérifier que les droits de la personne concernée sont respectés

g) pouvoir collaborer avec l’autorité de contrôle (pour la France, il s’agit de la CNIL),

h) de demander une PIA et vérifier sa bonne exécution.

Pour chaque nouveau traitement envisagé, le DPO est consulté afin de s’assurer que le responsable de traitement est en mesure de démontrer qu’il respecte l’ensemble des principes relatifs au traitement des données à caractère personnel, conformément à l’article 5 du RGPD. Cela correspond à vérifier :

  • que le traitement soit licite, loyal et transparent au regard de la personne concernée,
  • que la collecte a des finalités déterminées, explicites et légitimes, que les données – lorsqu’elles peuvent l’être – sont bien minimisées, que les données sont exactes et, si nécessaire, tenues à jour, conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées,
  • que les données sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées,
  • qu’une étude d’impact a été réalisée si nécessaire (article 35 RGPD)

Pour rappel, toutes les données à caractère personnel sont concernées quel que soit leur support (papier, informatisé…).

Quels sont les critères de choix d’un DPO ?

Tout dépend des besoins :

  • si vous avez un RSSI ou un DSI dans l’entreprise, votre besoin risque davantage d’être organisationnel et juridique,
  • si, au contraire, vous avez un juriste dans l’entreprise et que vous n’avez pas d’opérationnel pour réaliser la mise en conformité technique et organisationnelle, c’est sur ce point que vous devrez mettre l’accent,
  • si vous n’avez personne, vous risquez d’avoir besoin d’un DPO qui sache gérer l’ensemble de la démarche RGPD,
  • si vous avez déjà un juriste et un RSSI ou un DSI, vous ,’aurez besoin que d’un « chef d’orchestre » qui va guider vos équipes dans leur démarche de manière cohérente dans un objectif commun qu’est la conformité.

En conclusion

Comme nous le voyons, les missions du DPO sont sur la durée. Dès lors il convient d’établir un plan sur le long terme (plusieurs années).

Chaque entreprise étant différente, ayant une activité plus ou moins à risque élevé en fonction du secteur d’activité, des traitements réalisés qui sont différents d’une entreprise à l’autre, du niveau d’automatisation de la collecte des données, des supports utilisés, des moyens techniques et organisationnels mis en place pour assurer la sécurité des données, du niveau de maturité en terme de sécurité des systèmes d’information, de politique des système d’information, et de politique de confidentialité au sein de l’entreprise, du niveau de sensibilisation et de formation des personnes ayant accès aux données de l’entreprise, des divers partenaires et leur conformité au RGPD… il est donc nécessaire de pouvoir communiquer avec le responsable de traitement pour évaluer le contexte de la demande, analyser l’existant (non-conformité, conformité partielle, conformité prouvable) d’un point de vue juridique, technique et organisationnel, et mettre en place une stratégie permettant soit de se mettre en conformité, soit de maintenir cette conformité dans le temps en fonction des évolutions.

Il est à rappeler que la directive e-privacy, datant de 2002, est en cours de révision par la Commission Européenne afin de « compléter le RGPD pour apporter de solides garanties pour la confidentialité et la protection de tous types de communications électroniques. » Il s’agit là de renforcer les garanties apportée par le RGPD auprès des personnes concernées par le traitement de données à caractère personnel. Cela va donc impliquer d’adapter les mesures mise en place au sein de chaque entreprise pour prendre en compte cette évolution de la législation.

Pour les entreprises ayant déjà un DPO, cela pourra se traduire par de nouvelles mises en conformité qui pourront faire l’objet d’un avenant au contrat actuel, car en tant que DPO nous ne pouvons pas prévoir les évolutions législatives et réglementaires alors même que nous travaillons sur le temps long. Ce qui signifie que nous devons être réactifs aux changements.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *