Le Data Protection Officer (aussi nommé DPO ou Délégué à la protection des données), est LE rôle clé à pourvoir depuis quelques mois déjà au sein des organisations et entreprises européennes. Et pour cause : véritable référent pour la mise en œuvre du RGPD pour la protection des données, le DPO aura un rôle jusque-là inédit et devra porter différentes casquettes et savoir jongler avec plusieurs responsabilités (que nous évoquerons dans cet article) pour mener à bien ses missions.
Aussi, il s’avère que la nomination d’un DPO au sein des organisations et entreprises est l’un des piliers et exigences du nouveau Règlement Général de la Protection des Données, qui, vous le savez, devra être appliqué d’ici le mois de mai.
D’ailleurs, c’est un fait, une grande partie de ces entreprises est aujourd’hui en difficulté pour passer des exigences de ce texte de loi à sa mise en œuvre opérationnelle avant sa date butoir, même si, le plus important sera finalement d’avoir initié les projets RGPD et d’être en mesure de justifier leur état d’avancement en toute bonne foi aux autorités compétentes. Mais alors, face à cette nouvelle exigence et aux tâches de grande envergure qu’elle implique, comment une organisation peut-elle trouver cette créature insaisissable, le DPO parfait ?
-
DPO, quelles obligations pour les organisations et entreprises ?
Tout d’abord, il est important de savoir que l’obligation de nomination d’un DPO varie du tout au tout selon si votre entreprise ou organisation soit du secteur privé ou non. En effet, dans le secteur public, cette obligation concerne à la fois les administrations centrales, les organes déconcentrés ou encore les collectivités territoriales.
Concernant le secteur privé, les entreprises dont l’activité consiste en des traitements de données personnelles à grande échelle seront également tenues de désigner un tel délégué. Dans une économie de plus en plus tournée vers les données, cette obligation concerne ainsi de très nombreuses entreprises.
-
DPO, quelles missions ?
Comme nous l’avons vu auparavant, la grande difficulté est, au-delà du fait que sa nomination est obligatoire, de trouver une personne qualifiée pour ce poste, surtout à cause de l’aspect inédit de cette toute nouvelle fonction.
Mais quelles sont les missions d’un Data Protection Officer, quelles tâches devra-t-il appliquer au quotidien ? Pour faire simple, un DPO devra s’assurer que tous les membres du personnel sont correctement formés à la protection des données, que des audits de sécurité sont régulièrement effectués, et, une fois le processus de mise en œuvre achevé, surveiller la conformité au RGPD et aux autres lois sur la protection des données. Il se devra d’avoir, bien entendu, une connaissance approfondie de la législation.
Aussi, il est à noter que le DPO est le premier point de contact pour toutes les personnes concernées par la règlementation – tant à l’intérieur qu’à l’extérieur de l’organisation (clients comme autorités de surveillance qui supervisent les activités liées aux données).
En somme, afin de remplir ses missions, on peut dire que le DPO doit porter trois chapeaux, et devra remplir 3 responsabilités principales (nécessitant une expertise particulière) que sont : la conformité au Règlement, la mise en place d’une bonne sécurité informatique et la mise en place d’une communication efficace, aussi bien en interne qu’en externe.
Avec les temps qui courent, le DPO ne manquera donc pas de travail et sera loin de s’ennuyer, d’autant plus que son poste est amené à évoluer avec le temps, que son rôle est très étendu et que ses responsabilités sont variables.
-
Quelle place dans votre entreprise ?
Vous l’avez compris, le DPO aura donc une place centrale dans votre entreprise : véritable pilier et médiateur, il aura besoin d’une écoute en interne et du soutien de sa direction du pour initier les changements nécessaires.
D’ailleurs, l’arrivée du DPO implique des changements organisationnels : celui-ci aura un réel pouvoir de décision au sein de l’organisation dans laquelle il officiera. Jusqu’à présent, quand le CIL (Correspondant Informatique et Liberté) était présent dans une entreprise, il n’avait pas de pouvoir réel mais seulement une activité de conseil. Dorénavant, le DPO est inscrit dans la Politique de Sécurité du Système d’Information de l’entreprise ou l’organisation pour laquelle il travaille, et est donc impliqué dans toute action relative à la protection des données.
Si la place centrale du DPO au sein d’une organisation est donc, de ce fait, indéniable, il est à savoir que plusieurs solutions sont possibles quant à sa place dans votre entreprise : en effet, un DPO peut soit être directement employé et travailler au sein de votre organisation («DPO interne»), soit avoir un contrat de service («DPO externe») avec votre organisation.
Si vous êtes une petite organisation qui a encore besoin d’un DPO expérimenté, mais que le coût est un problème, le choix de se tourner vers un DPO externe et partagé peut constituer une vraie solution.
Enfin, il faut savoir que le DPO que vous nommerez peut aussi avoir d’autres tâches et missions, tant qu’il n’y a pas de conflit d’intérêts avec le rôle de DPO qu’il détient. Cela signifie qu’il/elle ne peut pas prendre de décision quant aux finalités du traitement des données personnelles, mais aussi qu’il/elle ne peut pas être le responsable principal de la sécurité de l’information, puisqu’en cas de faille ou d’attaque, il serait alors contraint d’enquêter sur son propre service.
-
Plusieurs solutions s’offrent à vous
Comme nous l’avons vu auparavant, la grande difficulté est en effet de trouver une personne qualifiée surtout à cause de l’aspect inédit du métier. Il est difficile d’attribuer ce poste aux multiples casquette puisqu’il n’existe actuellement aucune certification reconnue pour une expertise complète (même si ces certifications devraient être créées sous peu).
Pour ce qui est des formations pour être DPO, elles existent, mais elles sont rares : des labels de formations délivrés par la CNIL et des écoles comme l’ISEP ou encore Télécom EM peuvent servir à former les DPO de demain.
Si l’ampleur du chantier RGPD peut paraitre colossal, il en est de même pour les missions et responsabilités que le DPO aura ces prochains mois. Cette toute nouvelle fonction et ce nouveau salarié, aux missions comme au statut inédits, permettront à votre entreprise d’entrer dans une vraie transition RGPD, et à traiter et collecter au mieux les données personnelles de vos clients au quotidien.
