DPO, RGPD

Depuis le 25 mai 2018, l’Union Européenne dispose d’une des législations les plus restrictives et protectrices au monde en ce qui concerne le traitement et la collecte des données personnelles. Le RGPD, pour Règlement Général sur la Protection des Données, impose en effet de nouvelles contraintes aux organisations traitant les données de citoyens européens. Parmi celles-ci, on retrouve le DPO pour Data Protection Officer. Un nouveau poste à la frontière entre juridique, ressources humaines, marketing et informatique. Explications.

Qu’est-ce qu’un DPO et quelles sont ses missions ?

Pour simplifier, c’est l’architecte interne des données qui sont liées à une organisation. Il doit informer et conseiller les personnes responsables des traitements, les éventuels sous-traitants, ainsi que les collaborateurs concernant les droits et les devoirs liés à la gestion des données personnelles. Qu’il s’agisse de la base de données des clients, du fichier des fournisseurs, de celui des employés ou des prospects, toutes ces données doivent répondre aux normes du RGPD.

Il a donc un rôle de conseiller, de formateur et d’expert interne pour piloter la conformité des données. Toutes les actions qui imposent une collecte ou un traitement des données doivent lui être connues. Si le DPO n’est pas forcément un salarié à temps plein – notamment dans les entreprises de taille moyenne – il peut avoir d’autres missions, mais qui ne peuvent entrer en conflit avec son rôle premier. En effet, le DPO doit être indépendant et il est soumis à une obligation de confidentialité. Toutefois, ce n’est pas lui qui va travailler directement avec les données et il n’est donc pas personnellement responsable en cas de non-conformité.

Qui doit avoir un DPO dans son organisation?

Toutes les organisations publiques et les administrations doivent avoir un DPO à partir du moment où la structure traite, gère et collecte des données personnelles. Cela concerne donc la plupart des services de l’État, ainsi que ceux des collectivités territoriales.

Du côté des entreprises, la situation est un peu différente, car cette question dépend des activités de base, comme le précise l’article 37 du RGPD. Le DPO est obligatoire à partir du moment où l’entreprise effectue des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées. La loi ne précise toutefois pas de seuils minimaux à partir desquels il serait obligatoire de recruter un DPO. En général, cela concerne tous les grands groupes, mais également de nombreuses PME et ETI, en particulier pour celles qui travaillent dans la vente en ligne.

Recruter et intégrer un DPO dans une organisation nécessite un budget spécifique pour l’entreprise. Si cela ne pose pas de problème pour les grands groupes, la situation est différente pour les ETI et les PME. Toutefois le RGPD n’impose pas l’internalisation d’un DPO. Ce dernier peut être représenté par une personne tierce comme un consultant ou un juriste dont c’est la spécialité. Externaliser son DPO évite de passer du temps à recruter la perle rare, en particulier pour les organisations qui ne maîtrisent pas toutes les subtilités du RGPD, même un an après sa mise en application. Pour les autres, c’est aussi l’occasion de faire monter en compétences un profil particulier ou un talent qui pourrait s’épanouir dans le rôle du DPO.

Comment devenir DPO ?

Parce que le métier est nouveau et très recherché, le Data Protection Officer est courtisé. Toutefois, devenir DPO ne s’improvise pas et le poste est plutôt confié à des salariés expérimentés, en reconversion, ou qui ont une expérience significative en entreprise dans les domaines de la gestion des données, du droit, du marketing ou des systèmes d’information.
Il n’existe donc pas de profil type du DPO, qui a généralement des cursus et des expériences techniques, juridiques ou administratifs.

Les qualités pour devenir DPO sont assez transversales. Quelques exemples :

  • Communication orale et écrite.
  • Aptitude à la négociation.
  • Management d’équipe pluridisciplinaire.
  • Expertise juridique.
  • Connaissances transversales de l’entreprise et de son secteur d’activité.
  • Connaissances du système d’information, de l’infrastructure réseau et des systèmes de protection des données.

Huit mois après la mise en œuvre du RGPD, il semblerait que les choses commencent à se structurer. Les premières amendes et condamnations sont prononcées et le volume de plainte a augmenté de 64% en un an selon les premiers chiffres publiés par la CNIL. Près de 25 000 organisations avaient d’ailleurs désigné un délégué à la protection des données moins de six mois après la mise en place du RGPD. Le DPO devrait donc, sans nul doute, devenir un métier très attractif en raison des obligations légales, mais également grâce à la valeur stratégique qu’il peut apporter, alors que la gestion des données personnelles est un sujet qui revient régulièrement sur le devant de la scène, dans les entreprises et les médias.

Le métier de DPO vous intéresse ? Découvrez notre MBA spécialisé Management de la cybersécurité ou contactez nous.