Changer de DPO, une décision qui doit être prise … avec discernement
Petit test rapide pour dirigeant de PME :
24 mois après l’entrée en vigueur du RGPD, quel bilan dressez-vous des mesures mises en œuvre par votre DPO ? Avez-vous une idée précise des points traités ? Des points encore à traiter ? De l’état d’avancement des projets ? La prise en compte du RGPD dans votre organisation vous semble-t-elle satisfaisante ?
Si la réponse est négative, vous imaginez peut-être changer votre DPO. Nous recevons régulièrement depuis quelques semaines des consultations d’entreprises qui souhaitent changer leur DPO actuel au profit d’un DPO externe.
Cette décision est importante et doit être étudiée sans précipitation. Plusieurs facteurs peuvent être corrigés au sein de votre organisation et des actions menées auprès des « musiciens » de l’entreprise avant d’imaginer changer leur « Chef d’orchestre ».
Conduite du changement ou changement de conduite ?
En plein processus de conduite du changement, la démission de votre DPO peut être une mauvaise solution. Elle risque de déstabiliser les équipes en place et brouiller le message.
Vous aurez éventuellement eu le sentiment que rien n’avançait, et pourtant ! En fonction des réticences internes identifiées, le DPO aura passé plus ou moins de temps à écouter les collaborateurs et mener plusieurs ateliers de réflexion. Cette étape est fondamentale, même dans une PME, pour permettre à vos salariés de franchir les différents seuils d’acceptation du projet, étape par étape. Votre DPO actuel aura donc nécessairement eu besoin de plusieurs mois pour mettre en place une organisation, créer une dynamique et initier quelques procédures. Il aura eu besoin de temps également pour comprendre les résistances et le temps d’intégration des collaborateurs (variable selon les personnes et la culture d’entreprise). La démarche de mise en conformité RGPD va bousculer les habitudes des collaborateurs, qui doivent finir par accepter de modifier leur pratique quotidienne. La « courbe du deuil » est un processus naturel par lequel passe un collaborateur qui fait face à un changement soudain dans son quotidien professionnel. Si le DPO est remplacé prématurément, les collaborateurs seront désorientés et le projet pourrait s’en trouver définitivement compromis. La conformité de l’établissement s’en trouvera retardée, avec tous les risques que cela peut engendrer en termes de sanction CNIL d’une part, et d’opportunités business d’autre part.
La solution peut alors venir d’un changement de conduite de l’équipe dirigeante. Si votre DPO est en échec, il est possible qu’il ne soit pas assez audible dans l’entreprise et plusieurs questions peuvent se poser. Votre DPO est-il bien intégré ? Avez-vous diffusé officiellement sa lettre de mission ? Dispose-t-il du temps suffisant pour mener à bien ses nouvelles missions en plus de son métier habituel ? Dispose-t-il des qualités relationnelles nécessaires pour être compris de l’ensemble des collaborateurs ? La direction générale et les services supports se rendent-ils assez disponibles pour l’aider, particulièrement le service juridique et la DSI ?
La formation du DPO
Votre DPO va devoir s’exprimer sur l’identification et la gestion des risques liées à la protection des données, puis évaluer les mesures juridiques, organisationnelles et sécurité des SI. Votre DPO a-t’il été suffisamment formé sur ces 3 dimensions ? Est-il assez agile avec le sujet pour rassurer les collaborateurs ?
A défaut, un temps spécifique est-il prévu dans son planning, pour qu’il puisse monter en compétence, ou à minima mener une veille adaptée ?
La gestion de projets
Les projets liées à la démarche RGPD demandent parfois un suivi sur plusieurs semaines, voire plusieurs mois, jusqu’à obtenir un niveau acceptable de conformité. Il est donc nécessaire de coordonner les emplois du temps des deux missions du DPO au sein de l’entreprise, pour que les échéances soient respectées.
Se pose alors la question du tableau de pilotage : le groupe projet a-t-il défini des indicateurs clé à surveiller et le DPO est-il convié régulièrement en comité de direction pour les partager ? Le DPO n’est pas forcément habitué à travailler en mode projet et rencontre peut-être des difficultés à piloter les différents intervenants.
Être DPO interne, en plus de sa mission habituelle, est incontestablement une fonction difficile. Le DPO peut s’en trouver démotivé, surchargé et pour finir demander à démissionner de lui-même de sa nouvelle charge.
Si tous ces éléments sont en place et que vous n’obtenez toujours pas satisfaction, alors il peut être envisagé sereinement de changer de DPO.
Choisir un DPO externe de transition
Le DPO externe que vous choisirez devra posséder, en plus de solides connaissances en RGPD, une expérience du management de transition. Il aura à faire preuve de pédagogie et d’empathie pour reprendre un projet en difficulté, dans un contexte réglementaire compliqué. Il devra, avec bienveillance et fermeté, faire avancer la situation à rythme soutenu. Cela demande une bonne expérience du monde de l’entreprise et une capacité d’adaptation à tous les secteurs d’activité.
Un bon compromis peut également consister à demander à ce DPO externe de venir en accompagnement du DPO en place, sous forme de transmission de compétence pour la résolution des points durs (méthodologie de la gestion de projet, de la conduite du changement, …), ou d’assistance sur certains dossiers complexes.
Dirigeant de PME, quelques soit votre problématique, DPO Value est à votre disposition pour partager son expérience avec vous, en toute discrétion, et vous aide à trouver la meilleure solution à votre besoin.
DPO Value, pour une conformité en toute sécurité !
Contactez DPO Value, un échange téléphonique permettra de poser un premier diagnostic afin de lancer, par la suite, des actions de remédiation !
Contactez-nous au 09 82 55 49 35, par email : contact@dpo-value.fr ou via notre formulaire de contact
