Le DPO, fonction clé de la protection des données personnelles 2


Data protection

Un grand nombre d’entreprises devront désigner un DPO avant le 25 mai 2018 et l’entrée en application du règlement européen sur la protection des données personnelles (RGPD). Quel est son profil ? Son rôle ? Quelques éléments d’explication.

 

Après le CDO (chief digital officer) et le CTO (chief transformation officer), un nouvel acronyme fait son apparition dans les organigrammes. Place au DPO pour data protection officer ou, en bon français, DPD, le délégué à la protection des données. Un poste qui suscite les convoitises. C’est, en effet, lui qui sera le garant de la mise en conformité avec le RGPD, le projet règlementaire le plus sensible du moment.

Le RGPD

Entrant en application le 25 mai 2018 dans les 28 États membres de l’Union Européenne, le règlement général sur la protection des données renforce sensiblement les obligations présentes dans la loi informatique et libertés.

Avec ce texte, ma « privacy » devient un véritable enjeu d’entreprise ne serait-ce qu’au regard des sanctions prévues en cas de manquement. Les amendes pourront atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial total ou 20 millions d’euros. Le montant le plus élevé des deux étant retenu par l’autorité de contrôle.

Selon l’article 37 du RGPD, les organismes publics et les entreprises privées menant des traitements de données sensibles et/ou à grande échelle sont tenus de désigner ce Data Protection Officer. Quelque 100 000 organisations seraient concernées selon la CNIL. Cela ne veut pas dire que 100 000 DPO seront recrutés. Les PME et les petites collectivités locales peuvent mutualiser un DPO. Ou externaliser cette fonction auprès d’un consultant extérieur.

Les sociétés qui disposaient déjà d’un correspondant informatique et libertés (CIL) peuvent, elles, le reconduire en DPO même si les missions et les prérogatives de ce dernier sont renforcées.

Un mouton à cinq pattes

Data protection

Les entreprises qui devront recruter seront confrontées à une pénurie sur le marché du travail tant le profil est rare. Mouton à cinq pattes, le DPO a une connaissance approfondie du droit en matière de protection des données personnelles. Tout en sachant comment, techniquement parlant, ces données sont collectées et traitées.

Sur la base d’analyses d’impacts, il émettra des recommandations puis, par des audits réguliers, s’assurera que la conformité des traitements est assurée. Quelques universités et grandes écoles proposent des cursus de formation à destination de cette population. L’Association française des correspondants à la protection des données à caractère personnel (AFCDP) les a listés sur son site.

A cette double compétence juridique et technique, s’ajoutent des qualités morales. Bon communicant, le DPO sensibilisera les directions concernées (marketing, DRH, DAF…) sur les enjeux de la protection des données personnelles. Il devra résister aux pressions internes.

A l’heure de la multiplication des projets de Big Data et d’intelligence artificielle, ses préconisations peuvent, en effet, aller à l’encontre d’intérêts « business ». Un positionnement hiérarchique au plus haut (rattachement à la direction générale) lui garantira cette indépendance.

La fonction de DPO

Elle peut être exercée à temps plein ou à temps partiel. Dans ce second cas, le délégué ne peut occuper des rôles au sein de l’organisation où il serait juge et partie comme le précise la CNIL. Une personne qui cumulerait les fonctions de DPO et en même temps de DSI, DRH ou de directeur marketing exposerait l’entreprise à un risque de conflit d’intérêts.

Pour aller plus loin, le G 29 – le groupe des « CNIL » européennes – a publié, en décembre 2016, ses lignes directrices précisant le profil et les missions du DPO. L’AFCDP a, elle, mis en ligne une lettre de poste et une fiche de mission types. L’association a également ouvert un espace emploi dédié.

Formez-vous !

Data Protection Officer (DPO), certification

Maîtriser la loi Informatique et Libertés

Share

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

2 commentaires sur “Le DPO, fonction clé de la protection des données personnelles