Toute l’équipe d’Axeptio remercie François Guérard, membre de LaCarteDesDPO.fr, qui a accepté de répondre à nos questions au sujet du métier de DPO, du RGPD, et plus encore. Vous vous demandez si vous avez le profil pour devenir DPO ? Vous n’êtes toujours pas conforme au RGPD et vous ne savez pas par où commencer ? Il est grand temps pour vous de lire cet article !

Bonjour, pouvez-vous vous présenter s’il vous plait ?

François Guérard, je suis consultant, formateur et DPO externe et j’interviens actuellement beaucoup sur le sujet du RGPD.

DPO est donc une de vos casquette

Oui, j’interviens en tant que DPO au sein de certaines sociétés. Il y en a d’autres dans lesquelles j’interviens en tant que consultant et non pas en tant que DPO.

Quelle est la différence entre les deux ?

La différence est assez conséquente. Pour tout ce qui est phases opérationnelles de mise en conformité au RGPD, ils s’appuient sur un consultant externe qui apporte une vision extérieure au fonctionnement de la société. Le DPO ne peut être juge et partie au sein de la société.

Comment en êtes vous arrivé à faire les métiers de consultant et DPO ?

A la base, j’ai un parcours lié à l’informatique de gestion et au marketing. Donc deux parcours différents. Et en fait, quand on regarde le RGPD, on est à la croisée des deux. A la fois, les systèmes d’informatique de gestion de l’entreprise qui vont aller du CRM, à la gestion de la partie Ressources Humaines (paye, social, etc) … et d’un autre côté, les impacts sur le fonctionnement marketing des sociétés. J’ai donc un parcours de 25 ans sur ces deux axes métier. Le RGPD s’inscrit en plein dedans. J’ai donc acquis cette forme de légitimité dans mes interventions.

La gestion des données et le marketing sont donc au centre du RGPD ?

Complètement on est en plein dedans. Cela oblige à changer les pratiques marketing. J’accompagne les clients sur la mise en place de stratégies d’inbound marketing, de marketing digital, et autres qui sont rendus légitimes par le RGPD et les modifications qu’il apporte aux pratiques.

Avez vous été Correspondant Informatique et Libertés (CIL) ?

Non je n’ai pas fait CIL.

Dans ce cas, pourquoi avoir choisi d’être DPO ?

« L’impact du RGPD est beaucoup plus important que l’impact de la Loi Informatique et Liberté. »

Cela touche de manière beaucoup plus stricte au fonctionnement des entreprises. Et c’est passionnant d’arriver dans les entreprises et de leur conseiller de retravailler des process, trouver des solutions pragmatiques pour avancer, etc. C’est un travail intellectuellement très intéressant.

Au quotidien, ça se manifeste par des actions précises ?

Oui, nous menons des actions visant à aller vers la mise en conformité. Au vu du tsunami juridique qu’est le RGPD, on essaye de colmater les brèches au plus vite. On est depuis le 25 mai dans la mise en application du RGPD. On a donc déjà deux mois de retard et on va agir en priorité sur les points les plus urgents et qui sont propices aux risques.

Ce retard, il est alarmant ?

Oui, il est grave. Après, il est grave pour ceux qui ne font rien. Ceux qui s’inscrivent dans la démarche, qui vont nommer un DPO externe, qui vont mettre en place des mesures permettant de s’inscrire dans la démarche de mise en conformité au RGPD, même s’ils sont en retard, ils sont engagés dans l’action.

Là où c’est grave et où ça devient une erreur de gestion, c’est pour les chefs d’entreprise qui ne font rien en pensant que ça ne les concerne pas. Aujourd’hui, c’est encore la majorité.

Le RGPD, ça concerne tout le monde ?

Oui, ça concerne toutes les entreprises, les associations, les collectivités … ça concerne vraiment tout le monde.

Dans les processus de mise en conformité, quelle étape est la plus compliquée ?

Il n’y a pas une étape plus chronophage qu’une autre. Il faut faire les choses, il faut que l’entreprise accepte à un moment donné que les collaborateurs et notamment les membres des comités de pilotage dégagent un peu de temps pour mener les actions nécessaires. Par exemple, il est nécessaire d’envoyer des lettres recommandées aux sous-traitants, de mobiliser les ressources en informatique pour les mises à jour du site internet. Il faut que la personne responsable des RH fasse des avenants aux contrats de travail, que la personne qui s’occupe de l’informatique travaille avec la personne qui s’occupe de la gestion des Ressources Humaines sur un guide de procédure interne, etc. En soi, il n’y a pas une activité plus chronophage que les autres.

« Il faut juste que les responsables des traitements, […] entérinent le fait qu’il n’y a pas de magie. »

Pendant un laps de temps donné, il est nécessaire de dégager des séquences de trois heures pour que les choses puissent être faites.

En regardant les étapes préconisées par la CNIL, une d’entre elles me paraissait plus difficile que les autres : c’est l’élaboration de fiches de registres de traitement.

L’élaboration du registre de traitement, c’est normalement la deuxième étape du RGPD. Sauf qu’on est sur des étapes qui ont été définies sur des mises en conformité préalables au 25 mai. Aujourd’hui, la priorité dans les entreprises où j’interviens, ce n’est pas de faire des fiches de registre de traitements. C’est faire un bilan rapide sur les salariés, sur l’origine des contact dans les bases de données, qu’on soit sur du B2C ou du B2B. C’est regarder s’il y a des mailings qui sont prévus de partir alors qu’on n’a pas d’opt-in sur les bases.

Les fiches de registre de traitements sont remplies en tâche de fonds parce que dans l’urgence, il y a mieux à faire dans le cadre d’une mise en conformité.

La priorité dans les missions de mise en conformité, c’est de vérifier les bases de recueil de consentement ?

Oui, tout ce qui attrait à l’information du consentement. Les clients, les salariés doivent être informés de la base légale de traitement des données sont collectées, la finalité, la durée de conservation, les sous-traitants qui ont accès à ces données … c’est ça la priorité absolue.

Avez-vous connaissance des points de contrôle de la CNIL au sujet du RGPD ?

On peut savoir très facilement si une entreprise n’est pas conforme au RGPD. Il suffit de regarder si le site internet, qui est la vitrine de l’entreprise, a déjà été passé en conformité à la loi Informatique et Liberté. Aujourd’hui, dans 80% des entreprises que je sollicite, c’est la première chose que je vais voir. C’est un bon indicateur sur l’implication du chef d’entreprise. Plus de 70% des sites ne sont pas conformes à cette loi, en plus de ne pas être conformes au RGPD. Et ça, ça ne pardonne pas. C’est un très mauvais signe.

« Le site internet doit donc l’axe de travail prioritaire de toutes les entreprises. »

On a parlé de la loi informatique et liberté, du RGPD, parlons maintenant du ePrivacy. Ça va changer quoi pour les entreprises ?

Ça va renforcer une chose sur laquelle je me bats depuis le début : la systématisation de la demande du consentement, notamment pour les nouveaux clients. Parce que le règlement ePrivacy va reposer sur ce qui est déjà la base du RGPD : le recueil explicite du consentement.

Quelle est la place des autres bases de récolte de traitement telles que l’intérêt légitime, etc. ?

Ce sont des concepts très vagues et compliqués, notamment quand il faut le démontrer. Par exemple, l’intérêt légitime doit être assorti d’une d’information. Sinon, la récolte d’information est compromise et va systématiquement être erronée.

Le e-privacy va bientôt arriver. Ce nouveau règlement va-t-il, une nouvelle fois, chambouler les process des entreprises ?

Ceux, au moment du ePrivacy, qui auront déjà entrepris la démarche du RGPD auront une étape supplémentaire à franchir mais seront déjà sur de bonnes bases. Ceux qui n’auront rien fait en 2021, si tant est qu’ils n’auront pas déposé le bilan puisqu’ils se seront fait sanctionnés par la CNIL, auront du soucis à se faire.

Le fait est que, pour une entreprise, qu’importe son secteur d’activité ou encore sa cible de clientèle, être conforme au RGPD, ça devient un enjeu vital. Je demandé à mes clients, dans les première étapes, d’envoyer des courriers recommandés à tous leurs sous-traitants pour être surs qu’ils sont eux-mêmes en conformité vis-à-vis du RGPD. Il y a donc une pression du marché qui se crée.

« Les entreprises conformes au RGPD vont de plus en plus refuser de travailler avec celles qui ne le sont pas. »

Revenons sur le métier de DPO : Existe-t-il un parcours à privilégier pour le devenir ?

Il y a un certain nombres d’évidences dans le parcours d’un DPO. Déjà, un DPO, dans 90% des cas doit être un DPO externe. Au regard de la fiche de la CNIL, son interlocuteur principal est le responsable des traitements qui est souvent le dirigeant de la société. Les choses se compliquent donc s’il est contraint ou se confronte à une pression de la hiérarchie de la société. C’est d’autant plus difficile pour un DPO interne du fait qu’il existe dans les entreprises des habitudes de respect de la hiérarchie. Tout cela ajouté, même avec une lettre de mission, la hiérarchie ne s’effectuera pas forcément aux directives du DPO interne qui gardera son statut de salarié.

« En plus de ça, je pense que le DPO doit être un sénior. »

C’est à dire avoir un certain âge pour imposer le respect … bien qu’il y ait des jeunes qui puissent en imposer. Il faut également que le DPO ait suffisamment d’expérience pour avoir une très bonne connaissance du fonctionnement des entreprises.

Ça demande des connaissances juridiques ?

Oui, mais pas exclusivement. C’est à dire qu’on a un texte, le RGPD avec ses 90 articles, etc. Ensuite, il y a des bases sur les courriers recommandés ou autres, qui sont des bases juridiques. Cela ne demande pas au DPO d’être un juriste. Un juriste peut faire partie de l’équipe de travail pour valider les modèles de courriers ou autres. Mais un DPO doit savoir une plus grande polyvalence. Il doit savoir comment fonctionne une entreprise, doit connaitre les enjeux commerciaux, marketing, ceux liés aux Ressources Humaines, connaître les enjeux du fonctionnement de la vie d’une entreprise, plus que les enjeux qui sont liés strictement au texte.

Si une école des DPO existait, quelles seraient les matières enseignées ?

Une école des DPO, ça me parait compliqué. Il faut de l’expérience de terrain, acquérir des connaissances sur le mode de fonctionnement des entreprises, savoir comment fonctionne un service commercial, un service marketing, etc. Il faut aussi savoir quels sont les enjeux de ces services, en termes de sécurisation, les modes de procédures, etc. On peut enseigner tout ça.

« Je ne suis pas sûr que cela fasse un DPO à la sortie. »

De plus, aujourd’hui, il n’y a pas de formation certifiante tout simplement parce qu’il n’existe pas de certification CNIL en la matière.