L’application en France, le 25 mai prochain, du RGPD (Règlement Général sur la Protection des Données) est une petite révolution qui va modifier en profondeur l’organisation des entreprises concernant la collecte et la sécurité des données.
Un nouveau métier fait notamment son apparition : le Data Protection Officer (DPO). Les besoins sont déjà énormes.
Quel est le profil d’un DPO ?
Actuellement, dans la mesure où ce métier est totalement inédit, il n’existe que très peu de formations pour être DPO et il n’y a pas pour le moment de certifications permettant d’attester la réelle expertise des DPO.
Les dirigeants doivent donc veiller à ce que leur délégué à la protection des données remplisse 3 conditions définies par la CNIL :
– Détenir les compétences requises
Logiquement, le DPO doit avoir une expertise juridique et technique en matière de données personnelles. Ainsi, si l’entreprise souhaite nommer un de ses salariés en tant que délégué à la protection des données, elle devra veiller à ce qu’il soit suffisamment formé en ce sens.
De plus, le DPO doit avoir une bonne connaissance de la structure qui le sollicite (secteur d’activité, organisation interne, besoins en matière de protection des données…).
– Avoir les moyens de travailler
Cela suppose de laisser au délégué suffisamment de temps pour effectuer sa mission mais aussi de lui fournir tous les moyens matériels et humains nécessaires. Il devra également pouvoir accéder facilement aux informations, être associé en amont des projets impliquant des données personnelles et être disponible pour toutes les personnes concernées.
– Agir de façon indépendante
C’est un élément fondamental ! Si le DPO est choisi parmi les salariés de l’entreprise, il ne doit pas y avoir de conflit d’intérêt entre ses différentes fonctions car il va être le correspondant de l’entreprise vis-à-vis de l’autorité de contrôle. Le délégué à la protection des données doit également pouvoir interagir directement avec le plus haut niveau de direction de l’organisme. Il ne doit pas être sanctionné dans l’exercice de cette mission et surtout ne pas recevoir d’instructions. Il faut qu’il soit totalement libre.
Laurent Brault, dirigeant de MDK Solutions, souligne :
Au vu des différentes contraintes qui s’imposent aux entreprises, mais aussi pour que la désignation d’un DPO soit moins coûteuse, il n’est pas toujours pertinent de choisir votre délégué parmi vos collaborateurs. Dans la mesure où il peut “exercer ses missions sur la base d’un contrat de service”, vous pouvez avoir intérêt à faire appel, à temps partiel ou à temps plein en fonction de vos besoins, à un DPO externe à l’entreprise.
Les missions du DPO
Les missions du délégué à la protection des données sont définies par l’article 39 du RGPD. Il doit :
- “informer et conseiller le responsable du traitement ou le sous-traitant (…) sur les obligations qui leur incombent (…)”
- “contrôler le respect du RGPD (…)”
- “dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données (…)”
- “coopérer avec l’autorité de contrôle”
- “faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement. …”
Comment désigner votre DPO ?
Le délégué à la protection des données peut être désigné directement sur le site de la CNIL : désigner votre DPO
Cette démarche s’effectue en 4 étapes . Vous devez préciser sur un formulaire l’organisme concerné, puis le choix du délégué et enfin vos coordonnées publiques. Il ne vous reste plus alors qu’à valider le récapitulatif des informations pour le transmettre à la CNIL.
L’avis de Laurent Brault, le dirigeant de MDK Solutions
Le Data Protection Officer (ou “Délégué à la Protection des Données” et donc DPD en français) est un métier qui émerge via la mise en place du RGPD.
Mais il ne faut pas confondre les deux : tandis que le RGPD concerne la quasi-totalité des sociétés, de façon plus ou moins importante, l’obligation de nommer un DPO ne s’impose pas à toutes les structures.
L’article 37 du RGPD prévoit expressément trois cas dans lesquels la désignation d’un DPO est obligatoire :
- lorsque “le traitement est défini par une autorité publique ou un organisme public (…)”
- lorsque “les activités de base du responsable du traitement (…) consistent en des opérations de traitement qui (…) exigent un suivi régulier et systématique à grande échelle des personnes concernées”
- lorsque “les activités de base (…) consistent en un traitement à grande échelle de catégories particulières de données visées par l’article 9 et de données personnelles relatives à des condamnations pénales (…)”
Les dirigeants ont donc intérêt à lire attentivement cet article pour déterminer si le DPO est obligatoire ou non pour leur entreprise (il y a de fortes probabilités qu’il ne le soit pas).
En parallèle, il faut noter que si la révolution numérique vient de créer un nouveau métier, elle met aussi en lumière les mauvaises pratiques des GAFA. On peut même s’amuser à se poser la question suivante : à votre avis, Mark Zuckerberg ferait-il un bon DPO ?