![[Côte d'Ivoire] La rémunération du DPO. Par Désiré Allechi, Juriste.](local/cache-gd2/55/065596390f577ea912c15649824a16.jpg?1678270522)
Le cycle de vie d’une entreprise est semblable à celui des personnes physiques qui naissent, vivent et meurent. La recherche de profit est le but de toute entreprise commerciale toutefois, pour empêcher des dérives dans la recherche effrénée des bénéfices donc pour éviter des pratiques déloyales, des dispositifs juridiques sont mis en place pour encadrer l’activité desdites entreprises.
Dans le début du 20ème siècle mais surtout au 21ème siècle nous avons constaté un changement de paradigme dans le mode de fonctionnement des entreprises. En effet, sans toutefois remettre en cause l’importance de la clientèle comme élément essentiel dans tout fonds de commerce, les entreprises ayant cerné l’importance des données personnelles se sont inscrites dans une tendance de traitements abusifs des données personnelles surtout grâce à l’usage des Technologies de l’Information et de la Communication.
Les technologies ne cessent d’émerger et les problèmes qu’ils occasionneront ou du moins les problèmes que susciteront son usage démesuré seront sans précédent. En clair, convient-il de noter que le cocktail ou la symbiose entre mauvaise foi et mauvais usage de la technologie sera fatal pour la clientèle, les consommateurs encore qualifiés de personne concernée.
Les dispositifs juridiques internationaux (RGPD) comme nationaux (arrêté n°511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du correspondant à la protection des données à caractère personnel) prévoient la fonction de délégué à la protection des données pour un contrôle efficace des traitements de données à caractère personnel.
Le délégué à la protection des données personnelles (DPO) ou correspondant à la protection des données dont la dénomination varie selon la législation utilisée est un artisan sinon un acteur important dans le processus de mise en conformité même si sa désignation n’est pas obligatoire dans tous les cas de figure. Le correspondant a pour mission principale de s’assurer de la conformité des traitements effectués à la législation. Il est le garant de la conformité des traitements et est en étroite collaboration avec tout le personnel intervenant dans le traitement des données à caractère personnel.
C’est une obligation pour les membres de la structure ou de l’entreprise de donner une suite favorable à ses demandes dans le cadre de ses fonctions (strictement dans celles-ci) pour lui permettre d’établir une cartographie mais aussi d’avoir une claire vision desdits traitements afin d’établir un process adéquat lui permettant d’évacuer ou de traiter tout potentiel danger imminent ou latent pour les données à caractère personnel des clients de l’entreprise. Sans toutefois entrer dans la distinction DPO externe ou DPO interne ou même dans les considérations relatives aux conditions de sa désignation ou ses missions, nous souhaitons quelque peu traiter de la rémunération de ce dernier dans le cadre des tâches qu’il accomplit dans la conformité de l’entreprise.
Les évolutions juridiques ne sont pas faites de façon concomitante avec les réflexions ou les manières de penser dans la culture d’entreprise en Afrique. En effet, est-il important de mentionner que la désignation d’un DPO (Data Protection Officer) ou d’un Correspondant à la Protection des Données pour une entreprise comporte tout type d’avantage sauf des avantages pécuniaires. Il n’y a aucun intérêt pécuniaire immédiat dans le choix d’un correspondant d’où la réticence sinon le refus pour certaines entreprises d’en avoir. L’absence d’avantage pécuniaire dans la désignation du DPO s’explique par le fait que l’entreprise puisera dans son actif pour la rémunération et l’achat du matériel informatique pour lui permettre d’exercer sa mission sans en obtenir un bénéfice.
Ainsi le manque de profit immédiat exacerbe les responsables du traitement qui voient en ces dispositifs juridiques un moyen pour l’autorité de régulation de contrôler de façon indirecte leurs activités alors qu’en dehors de ce cas de figure, la désignation du correspondant est un vecteur de confiance et de sécurité pour la clientèle. Les responsables du traitement n’ont pas toujours le choix de désigner ou non un correspondant, sa présence étant parfois obligatoire car c’est un acteur important dans la conformité d’une entreprise qui traite certaines catégories particulières de données personnelles dont les données sensibles [1].
En tout état de cause, une fois désigné, celui-ci doit pouvoir exercer ses missions mais avant tout, il doit être rémunéré. La question de la rémunération du Correspondant est une question vraiment délicate pour les entreprises. Le constat dans nos pays africains notamment en Côte d’Ivoire est que les entreprises en dehors du secteur bancaire qui dans la majorité a compris la nécessité de protéger les données personnelles, voient d’un mauvais œil l’idée de rémunérer un correspondant. En effet, cela s’explique par l’idée selon laquelle pour elles, c’est une fonction comme les autres, laquelle fonction pourrait être assurée en interne par un employé sans une quelconque augmentation de son salaire.
En clair selon la conception des chefs d’entreprises, c’est une fonction comme les autres ou disons une tâche complémentaire qu’un employé pourrait accomplir au même titre que celles habituelles. Contrairement à cette conception erronée, la fonction de DPO est une fonction à part entière. Pour ce faire, elle nécessite les moyens financiers, matériels et humains adéquats pour sa mise en œuvre.
S’agissant de l’aspect financier c’est-à-dire de la rémunération du correspondant, il est prévu à l’alinéa 1 de l’article 12 de l’arrêté précité que : « la rémunération du correspondant à la protection des données à caractère personnel est librement négociée avec le responsable du traitement » dans un premier temps, il ressort de l’interprétation de cette disposition que la fonction de correspondant n’est pas une tâche qu’on exécute de façon ponctuelle et par voie de conséquence qui ne nécessiterait pas la détermination d’un montant à allouer au correspondant.
Sachant que la rémunération est la contrepartie d’une fonction assumée ou même en vertu d’un contrat liant deux personnes, il est évident que le législateur en parlant de rémunération avait pour intention de préciser qu’être correspondant à la protection des données signifie exercer une fonction à part entière nécessitant une rémunération précise laquelle est tributaire de la complexité de ladite fonction. En outre, faut-il ajouter que l’expression « librement négociée » signifie que le responsable de traitement ne peut en aucun cas imposer un montant au futur correspondant.
C’est donc d’un commun accord que les parties au contrat déterminent le montant de la rémunération. Toutefois, sachant la complexité de cette fonction, les conséquences ou les responsabilités qui pourraient en découler mais aussi au regard des conditions strictes prévues pour accéder à cette fonction (lesquelles conditions ont pour but d’éviter l’amateurisme dans cette fonction délicate) et pour éviter tout abus de la part du responsable de traitement qui dans une telle configuration apparaît comme un véritable employeur au sens du droit du travail, le législateur a fixé de façon implicite le seuil du montant pouvant être alloué au correspondant.
Ainsi l’alinéa 2 de l’article 12 précité prévoit que
« (…) pour les personnes physiques, cette rémunération ne peut être inférieure à la moyenne des rémunérations applicables à des employés de même profil, par le responsable de traitement ».
Au-delà de ces considérations il se pose toujours la question de savoir si un individu travaillant dans l’entreprise et remplissant les conditions pour prétendre à la fonction de correspondant devrait en cas de désignation pour l’exercice de cette fonction recevoir son salaire de base ou connaitre une augmentation considérable de son salaire. De prime abord il est nécessaire de mentionner que c’est une question à laquelle l’arrêté n’apporte pas de réponse d’où la possibilité d’envisager des réflexions personnelles car ce vide juridique pourrait être une source d’abus de la part des responsables du traitement.
En effet comme nous l’avions dit plus haut, être correspondant ou DPO c’est exercer une fonction particulière dans l’univers de la donnée personnelle et non effectuer une mission ponctuelle. De ce fait, il est nécessaire que soient alloués au correspondant les moyens adéquats pour l’atteinte des objectifs. Cela dit, la solution logique dans le cas de figure où le correspondant est choisi au sein de l’entreprise pour exercer la fonction de correspondant sans être déchargé de ses fonctions d’origine serait une augmentation significative des moyens financier (augmentation du salaire), humain et matériel pour une atteinte efficace des objectifs car au-delà du constat erroné que certains dirigeants ont, c’est une fonction qui requiert beaucoup d’attention et d’engagement dans sa mise en œuvre.
Par conséquent il convient de retenir que cette fonction n’est certes pas une fonction qui serait une source de revenus pour l’entreprise mais c’est une fonction pour laquelle il est nécessaire de prévoir un budget conséquent dans la mesure où sa négligence serait d’un effet négatif incontestable pour l’entreprise tant pour sa notoriété que pour son profit pécuniaire.
Discussions en cours :
Merci pour votre article assez intéressant. Cependant, je ne partage pas cette affirmation selon laquelle la fonction de correspondant n’est pas une source de revenus pour l’entreprise. De mon point de vue, elle constitue une source indirecte de revenus.
En effet, un correspondant permet de mettre en place les bonnes pratiques de sécurité et de confidentialité des données, protégeant ainsi les entreprises des risques, par exemple, de fuites de donnée qui peuvent avoir en mon sens de lourdes conséquences financières. Rappelons-nous du cas Yahoo, la négligence de Yahoo, lui a fait perdre 500 millions de dollars, et lui a causée un préjudice d’image difficilement quantifiable.
De plus, avoir un correspondant est un véritable avantage concurrentiel qui est aussi source financière.
Par ailleurs, le correspondant permet d’échapper aux sanctions financières prévues par nos différentes lois en matière de PDCP.
Pour ce qui est du caractère immédiat, cela est appréciable en fonction des cas.
Je trouve que l’un des réels problèmes qui pousse les entreprises à négliger cette fonction demandant des compétences précises, c’est la souplesse de nos autorités de régulation dans les contrôles et l’application des sanctions financières. Celles-ci se limitent dans la majorité des cas, aux sanctions administratives, mise en demeure ou injonction de cesser un traitement. Tant qu’il n’y aura pas de véritable contrôle et l’application des sanctions financières aux violations, les entreprises ne verront toujours pas l’intérêt d’embaucher un correspondant ou même de lui accorder des moyens pour la bonne réalisation de ses missions.
En France par exemple, nommer une personne en charge de la bonne gestion des données personnelles au sein des entreprises n’est pas issue du RGPD. La fonction existait de façon assez marginale et non-obligatoire dans les entreprises, sous la dénomination de Correspondant... Mais, avec l’entrée en vigueur du RGPD une lumière a été mise sur cette fonction par le souci des entreprises d’éviter les lourdes pertes financières apportées par ce règlement en cas de non-conformité et vu la rigueur de la CNIL qui veillent à sa mise en œuvre par des moyens dissuasifs.
Je trouve le sujet très passionnant.
Les cas sur la fuite des données aux Etats unis ont permis de reconsidérer l’importance des DPO...
Loin de souhaiter cela dans nos pays notamment en Côte d’Ivoire, je crois que c’est une nouvelle donne qui s’imposera aux entreprises mais surtout avec le travail qui est fait au niveau de l’UA et l’effort des Etats dans la mise en place d’autorités de contrôle et des lois spécifiques en matière de protection des données.
Sinon bravo pour l’article rares sont les personnes qui s’intéressent à ces questions spécifiques.
Ce qui me pousse a faire un Master en matière de Droit du numérique
Bonjour Monsieur Djemon KOUADIO,
Je vous remercie pour l’intérêt que vous accordez à la matière et pour votre avis émis sur cet article.
Je reste disponible pour d’éventuels échanges.
Bien à vous
Désiré ALLECHI
Bonjour,
Je ne peux que plussoyer...
La grille de rémunérations reste encore opaque, aux dernières données :
DPO débutant = 2200/2400 € brut par mois (annuel à 35000 - 40000€/an, pic max à 51600€),
DPO confirmé = 4000/5000 € (annuel minimum à 45000/50000€, pic max à 60 200€)
La logique veut que en raison du positionnement du métier, un minimum en début de carrière devra être fixé à 48000€/an
25 % des DPO junior se sont vus proposer un salaire situé entre 3000/3499€ par mois.
Le record salarial semble être de 700000$ (plus bonus) pour une "DPO" américaine embauchée par une entreprise qui venait de subir une fuite de données qui a mis en péril sa réputation et lui a fait perdre des parts de marché significatives.
Aux Etats-Unis d’Amérique, le salaire médian d’un professionnel serait de 130000$ contre un salaire médian de 95800$ pour leurs confrères européens (soit de 35 % supérieur).
Amicalement.
Merci pour votre contribution assez importante.
Je serai ravi d’échanger avec vous.
Désiré ALLECHI
Bonjour,
Dernières mises à jour : le salaire brut mensuel d’un DPO (toutes expériences, tant débutant que expérimenté) oscille entre 2500€ à 4000€ selon les dernières données de l’AFCDP.
Amicalement.
CF enquête AFPA : https://afcdp.net/media/documents/rgpd-metier-dpo-resultats-complets.pdf
11,5% : montant de la rénumération <25k€,
21,2% : montant de la rénumération comprise entre 25k€-35k€,
23,5% : montant de la rénumération comprise entre 35k€-45k€,
14,9% : montant de la rénumération comprise entre 45k€-55k€,
10,5% : montant de la rénumération comprise entre 55k€-65k€,
6,1% : montant de la rénumération comprise entre 65k€-75k€,
3% : montant de la rénumération comprise entre 75k€-85k€,
9,3% : montant de la rénumération >85k€.
- 1 660 réponses 8 % des DPO alors enregistrés en France sur un échantillon de :
# 1 192 DPO internes (qui exercent dans une seule entreprise ou administration),
# 224 DPO internes mutualisés (qui partagent leur temps entre plusieurs structures),
# 244 DPO externes (prestataires de services).
_ 28,6 % en provenance de l’informatique,
_ 27,9 % en provenance du juridique,
_ 74,2 % travaille à temps partiel.
Concernant les salaires, voici le récapitulatif :
Selon l’AFCDP lors de l’enquête des DPO publiée début 2021, voici les chiffres à retenir :
63 % d’entre eux ne bénéficiaient pas en 2020 d’un budget spécifique,
55 % à disposer d’une lettre de mission ou d’une fiche de poste,
75 % à temps partiel,
44 % des profils ne sont pas issus de l’informatique ou/et du juridique,
60 % sont de niveau BAC+5 ou plus,
80 % sont de niveau minimum BAC+4,
33 % ont 1 ou 2 années d’expériences en tant que DPO/DPD/CIL.
56 % des DPO sondés perçoivent une rémunération brute annuelle comprise entre 25 000 et 44 999€,
13 % d’entre eux touchent un salaire >75 000€.
Concernant les salaires :