Ce que le DPO n’est pas (suite)

Tout d’abord, citant le cas d’un confrère à qui son RT avait demandé de retirer un risque du PIA sous peine de ne pas signer, j’ai écrit que « si le DPO acceptait de retirer cette ligne de son analyse des risques, il commettrait une erreur […] et, en cas de contrôle de la Cnil, il lui serait reproché de n’avoir pas mentionné ce risque dans son analyse ». En toute rigueur, c’est faux : le DPO peut écrire n’importe quoi dans le PIA, au final c’est le RT qui en est responsable. Dans la pratique, il faut nuancer : la plupart du temps, même si l’analyse des risques est débattue avec le RT, dans les faits, c’est bien le DPO qui rédige le PIA – ce qui n’a rien d’anormal s’il se borne à mettre en forme avec des modèles prédéfinis ce que le RT a validé. Sauf que, dans le cas cité d’un risque que le RT refuse, si le DPO en reste là (pas de matérialisation de ce risque dans le PIA), en cas d’incident, le RT aura beau jeu d’argumenter de sa non-expertise et du défaut de conseil de son DPO. Certes, le DPO n’a qu’un rôle de conseil et d’alerte, mais en même temps c’est lui qui est supposé détenir l’expertise, et en droit français la position d’expert est très inconfortable si l’on est dans l’incapacité de prouver que l’on a bien alerté sa MOA. Il n’y a, à ma connaissance, pas de jurisprudence à propos des infractions au RGPD relevant de ce cas pas si tordu, mais personnellement je ne me risquerais pas à jouer avec les allumettes d’un PIA incomplet : en tant que DPO, je préfère être dans la situation d’un PIA complet et non signé (avec traçabilité de la présentation au RT) que de parier sur le strict rôle de conseil et d’alerte supposé protéger un DPO. Mais ce n’est qu’un avis.

À partir de là se posent deux questions : comment un DPO peut-il faire connaître aux MOA que sa présence est nécessaire sur l’analyse RGPD des traitements mis en œuvre, et comment peut-il habilement jouer avec une carotte et un bâton que la réglementation de lui accorde pas.

Sur la première question, le DPO doit bien entendu se faire connaître de tous, et ce par tous les canaux à sa disposition. Réunions de service, de pôle, comité machin, coproj bidule, lettre d’information accompagnant les bulletins de salaire, journal interne, etc. A minima, la DSI, les directions techniques, les directions de RetD, les directions des achats, les directions opérationnelles, les comités directeurs doivent être destinataires d’une communication du DPO, même rudimentaire. Cela étant, il est matériellement impossible de s’assurer qu’aucun traitement ne sera mis en œuvre sans que le DPO soit sollicité et, sur ce coup, on ne pourrait pas lui reprocher grand-chose. Une des mesures simples que le DPO peut mettre en œuvre, c’est de rendre facilement accessible dans tout l’établissement son registre des traitements (ou en tout cas une version édulcorée), de sorte que chacun puisse vérifier que son traitement figure bien dans la liste et alerter le DPO au besoin.

Sur la seconde question, il y a clairement trois types de DPO :

– celui qui tente par tous les moyens d’imposer au RT les mesures de réduction des risques issues de l’analyse des risques ; nous avons vu dans le premier article que ce positionnement est non seulement contraire à l’esprit du RGPD, mais constituerait par ailleurs un dysfonctionnement dans la chaîne de commandement : il en découlerait en effet que c’est le DPO qui dirige la boîte ;

– celui qui se retranche derrière les textes, rien que les textes et seulement les textes : « J’ai joué mon rôle de conseil et d’alerte, vous ne suivez pas mes préconisations, je le note dans mon rapport annuel et basta. ». Ce genre de positionnement constitue la version d’entrée de gamme du DPO ;

– la vision intermédiaire, que je recommande, voir ci-après.

Cette vision consiste, pour le DPO, à user autant que possible des textes, à la fois dans la lettre et dans l’esprit, pour amener subtilement les RT (et surtout les fournisseurs) à réduire les risques, sachant qu’il existe un point au-delà duquel le DPO n’a plus la main ni de moyens de négociation – en gros, dès que le coût sera trop élevé. Clairement, ce positionnement va au-delà de l’esprit du RGPD (pour lequel le DPO a essentiellement un rôle de conseil et d’observateur, pas d’acteur), mais personnellement j’ai cette vision duale du rôle de DPO, dont la seule valeur ajoutée au sein de l’entreprise ne peut pas (selon moi) se borner à de l’audit interne. On est clairement à la frontière de l’intrusif, mais une bonne méthode consiste à poser des questions (c’était la technique de Socrate, il faut juste ne pas finir comme lui) du genre : « Cher RT, comment comptez-vous réduire ce risque que vous avez vous-même estimé majeur ? » (Je n’ai encore jamais rencontré un RT qui mette la tête dans le sable devant une telle question.)

Mais le vrai challenge d’un DPO, c’est de poser les questions poil à gratter, le truc qui pique les yeux, enfin vous voyez de quoi je parle… et de rester copain avec son RT. Accessoirement, cela permet de ne plus déjeuner tout seul à la cantoche.

Ah, j’allais oublier : RSSI c’est pareil.

(1) /article/3578/ce-que-le-dpo-n-est-pas.html