Le Data Protection Officer (DPO) : le nouveau poste clé dans les entreprises

Depuis mai 2018, les entreprises et autres entités concernées par le RGPD doivent nommer un Data Protection Officer (DPO). En effet, celui-ci s’assurera de leur conformité au Règlement Général sur la Protection des Données. Bien évidemment, pour devenir délégué à la protection des données, il convient de répondre à certains critères. Ainsi, il faut avoir suivi une formation en la matière et éventuellement justifier d’une certification DPO.

Quoi qu’il en soit, une bonne connaissance de ce nouveau métier se révèle primordiale. Et ce, en particulier pour les sociétés qui ont l’obligation de recourir aux services d’un tel professionnel. Cet article fait alors le point sur ce que veut dire DPO et ce que cela implique réellement.

I/ DPO : définition et missions

En fait, le DPO est le délégué à la protection des données d’une structure (société, organisme public, association…). Aussi, il se positionne généralement en tant que « chef d’orchestre » de la conformité d’une organisation au RGPD. Concrètement, ses missions consistent donc à :

  • Vérifier le respect de la législation en vigueur en matière de protection des données,
  • Garantir au maximum la sécurité des données personnelles utilisées aussi bien à des fins commerciales qu’internes,
  • Informer et conseiller l’organisme qui l’a désigné et les différents services de celui-ci (ressources humaines, marketing, direction générale, etc.).

Mais, le rôle du DPO ne s’arrête pas là ! Il doit également coopérer avec la Commission nationale de l’informatique et des libertés (CNIL). De fait, il sert de point de contact entre l’entreprise et l’autorité de contrôle. Dans cette optique, il facilite l’accès aux documents et informations par la CNIL. Mais uniquement pour les documents et informations qui entrent dans le cadre de l’exercice des missions et des pouvoirs de cette dernière. De même, il ne faut pas que son obligation de confidentialité (secret professionnel) l’empêche de demander conseil à l’autorité sur n’importe quel sujet.

Bon à savoir

Pour formaliser la nomination d’un DPO, l’organisation concernée peut établir une lettre de mission. À remettre au DPO, cette lettre reprend effectivement les tâches confiées à ce dernier.

II/ Recours aux services d’un DPO : une obligation ?

Depuis l’entrée en vigueur du RGPD le 25 mai 2018, la nomination d’un DPO s’avère obligatoire pour les structures qui collectent, stockent, utilisent des données à caractère personnel. Cela, peu importe leur taille, leur secteur et leur statut juridique. L’article 37 de ce règlement énonce d’ailleurs clairement les situations qui nécessitent l’intervention de ce professionnel :

  1. Cas n° 1 : le traitement de données personnelles est réalisé par une autorité publique ou un organisme public. Cela exclut cependant les juridictions, c’est-à-dire les tribunaux et autres autorités judiciaires indépendantes.
  2. Cas n° 2 : les activités de base de l’entité concernée portent sur la mise en œuvre de traitement à grande échelle de données qui en raison de leur nature, de leur portée et/ou de leur finalité exigent un suivi régulier et systématique d’individus.
  3. Cas n° 3 : les activités de base de l’organisation concernée consistent en un traitement à grande échelle de données personnelles relatives à des condamnations pénales ou des infractions. Mais aussi les catégories particulières de données comme les données de santé ou celles inhérentes aux opinions philosophiques, religieuses, etc.

Dès lors, si une structure répond à l’un de ces trois critères, elle est dans l’obligation de désigner un DPO.

À noter que le considérant 91 du RGPD définit les opérations de traitement à grande échelle comme suit : les opérations qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé.

III/ Devenir DPO : formation, certification et salaire

A/ RGPD, DPO et CNIL

Avec la mise en application du RGPD, une entité (TPE, PME, association, administration…) doit procéder à la nomination d’un DPO. Elle est alors tenue de déclarer l’identité de ce dernier sur le site de la CNIL. En tout cas, il faut souligner qu’actuellement, il existe déjà dans certaines structures des Correspondants Informatique et Libertés (CIL). Faisant le lien entre l’autorité de contrôle (en l’occurrence la CNIL) et ces entités, les CIL peuvent parfaitement bien se voir requalifiés en DPO. Pour cela, ils doivent suivre les formations complémentaires qui leur sont indispensables pour monter en compétence.

B/ Formation DPO

Pour accéder au poste de DPO, il convient de justifier d’une expertise tant juridique que technique dans le domaine de la protection des données personnelles. En effet, conformément à l’article 37-5º du règlement européen, le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions.

Les candidats à ce poste doivent alors disposer des compétences et des qualités nécessaires pour devenir DPO. Pour ce faire, ils ont tout à fait la possibilité de suivre les formations fournies par les universités et écoles d’ingénieur. Cela doit leur permettre notamment de :

  • Acquérir une expertise en matière de protection des données et de législation,
  • Maîtriser les bonnes pratiques afin de mettre en place un processus de mise en conformité,
  • Avoir une bonne connaissance du secteur d’activité et de l’organisation de l’entité concernée (opérations de traitement, systèmes d’information…),
  • Connaître les points essentiels de contrôle,
  • Mettre en place les outils de communication et de sensibilisation en interne et en externe.

La formation DPO doit en outre permettre aux candidats d’être aptes à communiquer efficacement et à exercer ses fonctions en toute indépendance. Et ce, pour éviter le plus possible les conflits d’intérêt avec leurs autres missions, surtout s’ils n’exercent qu’à temps partiel.

C/ Certification DPO

En principe, une certification DPO n’est aucunement obligatoire pour exercer les fonctions de délégué à la protection des données. Par contre, elle se révèle particulièrement utile. Et pour cause, elle permet aux personnes physiques de démontrer qu’elles disposent des compétences et du savoir-faire pour être DPO. De plus, elle constitue un gage de confiance pour l’organisme concerné, et ses clients, fournisseurs et salariés.

Pour obtenir la certification DPO, les personnes intéressées doivent se rapprocher des organismes certificateurs agréés par la CNIL. Accrédités sur la base de la norme ISO/CEI 17024:2012, ces organismes délivrent effectivement la certification aux personnes qui :

  • Remplissent les conditions requises :
    • Expérience de 2 ans au minimum dans n’importe quel domaine (administratif, informatique, juridique…) en lien avec la protection des données personnelles ;
    • 35 heures de formation en la matière ;
  • Ont réussi à l’épreuve écrite.

La certification est valable pendant 3 ans à compter de sa délivrance.

D/ Combien gagne un délégué à la protection des données ?

Pour ce qui est de la rémunération d’un DPO, elle varie en fonction de l’entité qui l’emploie, mais également de la nature de sa relation avec celle-ci (personne interne ou externe) et de ses missions définies dans un contrat de service. Dans tous les cas, l’Association Française des Correspondants à la Protection des Données à caractère Personnel (AFCDP) en donne une approximation. Ainsi, ceux qui exercent en tant que DPO peuvent compter sur un salaire mensuel brut compris entre 2 500 et 4 000 euros.

IV/ Recourir à un DPO externe : quel intérêt ?

L’article 37.6 du RGPD fixe les modalités de désignation du DPO. Dès lors, le responsable du traitement ou le sous-traitant peut nommer une personne interne à l’entité, autrement dit un membre du personnel. Mais, le délégué peut aussi être une personne extérieure (prestataire de service). D’ailleurs, le recours à un DPO externalisé a ses avantages, en particulier pour les TPE et PME. Effectivement, ces petites structures n’auront pas à mobiliser un salarié pour ce poste. Cela, que ce soit à temps plein ou à temps partiel.

Par conséquent, un DPO externe permet à une entité de se mettre en conformité tout en limitant ses dépenses en termes de recrutement. En outre, les opérations de traitement de données personnelles ne requièrent pas forcément un temps plein. En effet, un DPO externe peut être engagé pour un volume horaire plus ou moins important suivant les situations.

L’externalisation de la fonction de DPO peut également s’expliquer par des raisons purement pragmatiques. D’une part, cette démarche montre la volonté de l’entreprise d’assurer la parfaite indépendance du DPO et d’éviter les conflits d’intérêts. D’autre part, un DPO externalisé permet de bénéficier d’un accompagnement adapté et des conseils avisés d’un professionnel aguerri.

Nouveau call-to-action

11

No Responses

Ecrire une réponse