Le blues du DPO

Bonjour et bienvenue à vous qui consultez ces mots.

Je m’appelle Harmonie et je travaille dans la protection des données personnelles depuis près de 9 ans maintenant.

La vie d’une déléguée à la protection des données (DPO) est loin d’être un long fleuve tranquille. Au cours de ces années, j’ai eu à traverser quelques tempêtes plus ou moins destructrices… L’étude « Il faut sauver le soldat DPO » de mai 2023 rédigée par Bruno Rasle, la mise en place d’une hotline psychologique à destination des DPO par l’AFCDP (association des correspondants à la protection des données) ainsi que des discussions avec d’autres professionnelles et profesionnels m’ont montré que je n’étais pas la seule.

Alors moi aussi j’ai décidé que j’allais partager mon expérience et mon ressenti avec cet article. Montrer l’envers du décor et ce qui peut parfois se cacher derrière un sourire… Et surtout, quelques conseils qui, bien que généraux, peuvent être utiles à garder en mémoire.

Les DPO sont relativement bien lotis !

Être DPO, c’est orchestrer une démarche de protection des données personnelles et être le point d’appui d’un organisme sur ce sujet. Nos missions sont listées noir sur blanc dans l’article 39 du Règlement Général sur la Protection des Données (RGPD). Au-delà de créer ce rôle, le RGPD a même rendu la désignation d’un DPO obligatoire pour certains organismes. Il prévoit également que nous devons avoir les ressources nécessaires à l’exercice de nos missions (art. 38 du RGPD).

Nous avons donc des textes réglementaires qui définissent nos missions, les règles que nous devons veiller à faire appliquer et des sanctions (et pas des moindres, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires). En France, il y a la CNIL (Commission Nationale de l’Informatique et des Libertés), autorité de contrôle existante depuis 1978 et qui a donc quelques années d’expérience derrière elle ! Et nous avons même bénéficié d’une forte couverture médiatique, notamment sur les premières années du RGPD.

Sur le papier, tout est donc réuni pour nous permettre de travailler dans de bonnes conditions. C’est d’ailleurs bien plus que dans beaucoup d’autres domaines. Je sais que vous me voyez venir, oui, je pense notamment à l’accessibilité numérique (petite dédicace aux collègues qui regardent les sanctions CNIL avec de grands yeux envieux).

Et pourtant…

Un rôle défini et pourtant mal perçu

Malgré un rôle bien défini, parfois, on me demande conseil sur des problématiques qui n’ont rien à voir avec les données personnelles. Souvent parce qu’il y a le mot « données » dedans ou alors parce que ça touche de près ou de loin à une notion juridique ou de cybersécurité.

Non, je ne peux pas vous aider sur votre problème de propriété intellectuelle. Oui, j’ai vu la dernière sanction en matière de droit à la concurrence, mais non ça ne fait pas forcément partie de ma veille de DPO (même s’il y a le mot Google dedans !).

Certes il y a une partie juridique aux missions du DPO. Mais sur un périmètre très précis : les données personnelles. Je ne m’aventure pas au-delà de mon terrain de jeu et croyez-moi, il y a déjà fort à faire !

Ce que j’en retiens désormais : Lorsque j’interviens, j’essaie au maximum de rappeler le périmètre de mon champ d’intervention lors des premiers échanges. De toute façon, cela ne fait jamais de mal de rappeler ce qu’est une donnée personnelle. Et lorsque la situation se présente tout de même, il n’y a rien de honteux à dire que c’est hors de mon champ de compétence.

Ça peut paraître tout bête, mais j’ai une amie DPO qui a un léger complexe d’infériorité parce qu’elle n’a pas suivi d’études de droit (47 % des DPO ne sont pas issus du domaine juridique ou informatique – étude de 2022). Et devoir expliquer qu’elle n’est pas compétente sur telle question de droit peut exacerber celui-ci… (Cette amie, c’est peut être moi… ou pas… qui sait ?! Je ne donnerai pas de nom, c’est une donnée personnelle et ça je connais plutôt bien !).

L’illusion du DPO magique

Il arrive souvent que les organismes se disent « RGPD ? C’est bon je suis conforme, j’ai un DPO, il s’en occupe ». Certes, le DPO va accompagner, guider, orchestrer. Mais le DPO ne va pas, à lui seul (et presque magiquement), procéder à la mise en conformité intégrale d’un organisme. C’est un travail d’équipe et sur le long terme. Les équipes métiers sont indispensables. Et je ne parle pas que de la direction informatique ou juridique !

Vous imaginez si le ou la chef d’orchestre devait à lui ou elle seule jouer tous les instruments tout en les coordonnant ?

Ce que j’en retiens désormais : Je veille au maximum à l’implication de toutes les équipes métier le plus en amont possible, y compris la direction. Leur montrer très concrètement ce qu’ils peuvent apporter à la démarche et ce que la démarche peut leur apporter (non, pas qu’une liste de tâches supplémentaires !). Les données personnelles, ça nous concerne toutes et tous et les bons réflexes que je peux leur donner dans le cadre professionnel pourront leur servir également dans leur vie personnelle, auprès de leurs enfants, etc. Bye bye les discours pré-formatés à la virgule près, priorité aux exemples adaptés au maximum !

Le Flash-DPO

Tout comme je ne peux pas tout faire toute seule, me faire intervenir une fois pendant quelques heures au sein d’un organisme ne va pas me permettre de le rendre miraculeusement conforme au RGPD. Si ce n’est pas une étape dans une démarche plus globale, au mieux c’est une étincelle qui va peut-être allumer l’intérêt, au pire c’est de la poudre aux yeux.

Lorsque j’étais DPO mutualisée, je devais aller chaque jour dans des collectivités territoriales différentes pour sensibiliser et faire un audit. Le tout en quelques heures, voire quelques jours pour les collectivités de taille plus importante. Après l’envoi du registre et d’un rapport, dans la très grande majorité des cas, plus rien ou presque.

J’ai bien conscience qu’il s’agit majoritairement de problématiques liées à un manque de compréhension de la logique de la démarche, d’autres priorités, de coûts, de ressources etc et non d’un dédain assumé pour la protection des données.

Mais recommencer de zéro chaque jour en ayant conscience que chaque brin d’énergie investi n’amènera pas à la moindre avancée mais plutôt à l’équivalent d’un autocollant « j’ai fait venir un DPO une fois » collé sur un dossier au fin fond d’un tiroir, ça ronge doucement l’âme.

Ce que j’en retiens désormais : Lorsqu’un organisme s’implique et prend la mesure de la démarche à mener, alors je ressens l’équivalent d’un câlin à mon âme de DPO. Et surtout je fais en sorte de le mettre en avant (pas le câlin, le fait qu’ils soient impliqués !!) et de le valoriser dans la documentation de l’organisme. Je passe assez de temps à lister ce qui ne va pas, il faut aussi en profiter pour soulever les bons points ! N’allez pas croire que cela veut dire que cet organisme va forcément pouvoir dédier plus de moyens. La prise en compte et l’implication, ça se ressent de plein de manières différentes.

Pour les autres, je fais de mon mieux pour leur expliquer les enjeux et les risques qui semblent les plus impactants selon leurs propres critères (l’image, le risque financier, le risque juridique, la continuité de l’activité,..). Et si cela ne suffit pas, et bien j’aurai fait ce qui était en mon pouvoir.

La théorie de la reine rouge

La théorie de la reine rouge est une théorie de biologie évolutive qui dit en synthèse qu’il faut courir pour rester là où l’on est. Ça marche aussi pour un DPO. Jurisprudence, actualités, nouveaux textes réglementaires européens, etc., les DPO doivent en permanence absorber de nombreuses informations et adapter leurs recommandations et accompagnements en conséquence.

Qui plus est, en matière de protection des données, les réponses sont rarement aussi simples que « Oui » ou « Non ». Il y a beaucoup de « ça dépend » et de travail d’interprétation. Donc beaucoup de doutes parfois aussi.

Ce que j’en retiens désormais : J’ai appris à dire « Je reviens vers vous après une analyse plus poussée ». Je m’appuie également sur d’autres DPO de mon carnet d’adresse (merci à vous qui vous reconnaîtrez et qui répondez toujours de bon cœur à mes « et si je te dis que je fais tel truc avec tel type de données de telle manière, t’en penses quoi ? ») ainsi que sur le réseau des DPO de l’AFCDP. Cette association peut être un véritable phare dans l’obscurité certains jours et j’en remercie ici l’équipe et tous les DPO qui la constituent.

Les ressources de la CNIL qui, même si on aimerait toujours en avoir plus, restent aussi une bouée de secours salutaire. Sans parler de la hotline à disposition des DPO où l’on vous accueille avec une voix souriante et de bons conseils pour vous aider à vous sortir de toutes les questions les plus exotiques. Merci !

Le vilain petit canard

Il arrive souvent que la case « demande d’avis au DPO » passe à la trappe, plus ou moins volontairement. Si on ne nous demande pas, nous ne risquons pas de dire non (imparable non ?)…Devenir la casse-pieds de service en résumé. Et ça peut même aller jusqu’à remettre en cause la personne en elle-même et ses compétences. J’ai en mémoire un épisode où des données personnelles avaient été transmises par erreur à d’autres organismes. Une violation de données assez simple et classique. En tant que DPO, j’ai pris connaissance de cette violation un peu par hasard. Comme souvent malheureusement… Mais surtout, lorsque j’ai lancé l’alerte auprès du responsable concerné pour procéder aux mesures nécessaires, son réflexe a été de rejeter en bloc mon analyse (je n’ai rien contre le fait de défier mes réflexions, mais à ce niveau là, c’était un peu comme dire à un professeur de maths que 2+2 ne font pas 4) et de me faire comprendre que je dramatisais et sur-réagissais.

Ce que j’en retiens désormais : L’importance de dire aux métiers que je suis là pour les aider et les protéger. S’ils ne me disent pas les choses, je ne peux pas les guider. Il n’y a pas de jugement. Mon job c’est de leur donner un maximum de clés pour qu’ils puissent avancer le plus sereinement possible. Il faut donc qu’ils se sentent un maximum à l’aise avec moi pour avoir le plus important des réflexes : demander à leur DPO. Ensemble, on trouvera toujours une solution.

Et pour la seconde partie, je me laisse moins malmener (enfin j’essaie) et j’identifie plus rapidement les comportements qui ne devraient pas avoir leur place dans une relation professionnelle (dans toute relation en fait…). Si j’enclenche une alerte, c’est qu’il y a des raisons. Je veille donc à synthétiser à l’écrit de manière factuelle et très concrète ces raisons, l’analyse et mes recommandations à la ou au responsable de l’organisme concerné. Ensuite c’est à la ou au responsable de traitement de prendre ses responsabilités et il faut accepter que celle-ci ou celui-ci ne suivra pas forcément nos recommandations.

Le désarroi de la goutte d’eau dans l’océan

Face aux grands géants du web, face à toutes les données qui ont déjà été publiées alors que l’on sait qu’internet n’oublie rien, face aux autres grands enjeux également tous prioritaires,… Est-ce que nos efforts servent réellement à quelque chose ? Est-ce que nous ne nous battons pas contre des moulins à vent ? Est-ce que ma modification sur la politique de confidentialité de ce site va réellement avoir un impact, ou sera-t-elle même lue ? L’impression d’écoper un océan à la petite cuillère, percée qui plus est.

Je crois qu’on peut dire qu’il s’agit d’un blues chronique sur ce point-là.

Ce que j’en retiens désormais : Je ne suis pas seule et ce dans plusieurs sens.

Je ne suis pas seule à porter toute la responsabilité. Le ou la responsable de traitement est le ou la responsable comme son nom l’indique. Chacun son rôle.

Je ne suis pas seule à vivre ce sentiment. J’ai discuté avec plusieurs personnes qui sont chargées d’accompagner des démarches d’amélioration, sur diverses thématiques, et ce doute est malheureusement souvent évoqué.

Et surtout, je garde en mémoire que chaque amélioration, chaque donnée protégée, chaque personne sensibilisée a un impact. Impact que l’on ne mesure pas forcément à première vue. A priori, un numéro de téléphone ou une adresse postale, ce n’est pas grand chose. Et pourtant, dans certains cas, la diffusion ou non de ces données peut mettre en danger la vie de certaines personnes. Croyez-moi, quand quelqu’un de néfaste cherche à vous retrouver ou à voler votre identité, vous ne prenez plus ces informations à la légère.

Le mot de la fin

Le métier de DPO n’est pas toujours tout rose, mais cela reste un métier que j’aime et qui me permet de m’épanouir. Être alertée en amont de certaines embûches aurait sûrement pu m’éviter quelques insomnies, mais je pense que la communauté des DPO en France avance dans le bon sens, dans le partage et la bienveillance.

Cependant, il ne faut pas hésiter à échanger avec les représentant·es d’autres métiers (sécurité, accessibilité, écoconception, qualité,…) qui peuvent vivre des expériences similaires et aider en apportant un point de vue différent et salvateur.

Et pour finir, profitez de chaque vague d’amour pour recharger les batteries (Paris Web par exemple !) et participez à votre tour à diffuser la lumière pour faire reculer le côté obscur de la Force.