Beaucoup d’offres de formation vous proposent de faire de vous un DPO en trois jours. Est-ce possible et souhaitable ?
Reprenons tout d’abord les missions du DPO : Conseil du Responsable de Traitement (l‘entreprise donc), formation et information des collaborateurs, tenue du registre des traitements, réalisation des études d’impact et point de contact avec la CNIL et les individus.
Ces missions impliquent connaître l’entreprise et ses processus et la Loi.
S’agissant de l’entreprise et ses processus , on pensera immédiatement à un collaborateur cadre qui a une vision d’ensemble de la société. Pour autant, la CNIL exclue spécifiquement pour le poste les fonctions de directeur d’exploitation, le directeur des ressources humaines, directeur marketing, DSI... (Guidelines on DPO 13/EN/WP243).
Logique, le DPO ne doit pas être en situation de conflit d’intérêt et donc d’être dans la position de mise en œuvre du traitement (ou de le décider) et de le contrôler dans ses fonctions de DPO. Pour les mêmes raisons, il ne doit rendre compte hiérarchiquement qu’au responsable de traitement, à la direction.
Pour ce qui est de la Loi, Il conviendra de maîtriser le RGPD dans ses aspects légaux mais aussi techniques ; en matière de ressources humaines par exemple, mieux savoir qu’un traitement de surveillance d’activité des salariés doit faire l’objet d’une information préalable au traitement auprès du CSE ; en cas contraire, toute sanction d’un salarié prise sur la base dudit traitement pourrait être utilement contestée en justice ... De même, la durée de conservation des données devra être appréciée à l’aune des délais de prescription. Encore faut-il savoir qu’en matière de décennale, le fournisseur peut être appelé dans les 5 ans de la mise en responsabilité de l’entrepreneur actionné en responsabilité décennale avant de fixer la durée de conservation des données clients, qui pourraient manquer dans le cadre d’un litige en cas contraire...
De vrais enjeux donc, qui n’apparaissent pas à la portée d’une formation de trois jours et d’une mission annexe à une fonction principale au sein de l’entreprise.
En pratique, il apparaît souvent plus pertinent de faire appel à un DPO externalisé : Mieux formé, il maîtrise la Loi et dispose de l’expérience pour la mise en place des processus, évitant ainsi le tâtonnement dans ses missions de conseil et de recommandation de dirigeant. C’est aussi un choix plus économique, l’entreprise n’ayant pas à investir dans la formation de son DPO et rémunérera une prestation de quelques jours par an.
