Quel est le rôle du DPO "Data Protection Officer" ?

Les données sont présentes en masse dans les entreprises. Ce qui suppose des risques en matière de sécurité, mais aussi en matière de légalité. Pour aider les entreprises, un nouveau métier a le vent en poupe dans le secteur du numérique : le Data Protection Officer (DPO).

Sa mission est la suivante : s'assurer que son employeur ou son client respecte la législation lorsqu'il utilise les données à des fins commerciales (mailing par exemple), mais aussi à des fins internes (logiciels RH).

DPO : un rôle obligatoire

Le 26 avril 2016, le Parlement européen a publié un règlement sur les données personnelles. Connu sous le terme de Règlement général sur la protection des données (RGPD), il rend obligatoire le métier du data protection officer dans toutes les entreprises et administrations qui sont amenées à traiter à grande échelle des données sensibles. 

Dès le 25 mai 2018, la désignation d’un Data Protection Officer sera obligatoire dans certains cas :

• Pour les organismes du secteur public quelque soit la nature des traitements des données ;
• Pour les entreprises dont l’activité entraîne le traitement de données à grande échelle (profilage par exemple) ;
• Pour les sociétés qui traitent, toujours à grande échelle, des données personnelles dites “sensibles” (santé par exemple).

Il est fortement recommandé aux entreprises qui sont dans les cas cités ci-dessus d’entamer dès maintenant la désignation de leur DPO. Les organismes ayant déjà recours à un CIL gagneront un temps non négligeable à ce niveau.

Le rôle du DPO

Le DPO possède deux missions principales : conseiller les entreprises pour leur mise en conformité (cartographie des traitements, documentation, etc.) et sensibiliser sur les nouvelles obligations du GDPR (vérification de la bonne exécution des PIA).

Afin de pouvoir exercer son rôle efficacement, l’entreprise est tenue de mettre à sa disposition les moyens d’action dont il a besoin, à savoir :

• Être impliqué dans toutes les questions relatives à la protection des données ;
• Fournir les ressources nécessaires : budget, équipe, formation ;
• Lui permettre d’agir de manière indépendante par son positionnement dans l’organisme notamment ;
• Lui donner accès aux données et aux traitements pour faciliter la transmission à la CNIL par exemple.

Cependant, le Data Protection Officer n’est en aucun cas personnellement responsable en cas de non-conformité de son entreprise avec le RGPD. En effet, celle-ci incombe directement au responsable de traitement ou au sous-traitant.

Le recrutement du DPO

L'option du recrutement interne est à la fois la plus simple, mais la plus sensible, car il est nécessaire d'éviter le conflit d'intérêts. La DSI (Direction des systèmes d'information) apparaît, par sa connaissance des traitements et des possibilités de protection des données, bien placée. 

Mais la Direction juridique est également pertinente par sa compétence dans la lecture des subtilités du Règlement. La Direction marketing ou même la Direction générale disposent, pour leur part, d'une vision parfois plus précise sur les besoins de l'entreprise ou de la collectivité et des traitements qui sont nécessaires pour connaître ses clients ou ses administrés.

Le recrutement externe peut être un choix plus aisé par l'absence, a priori, de conflit d'intérêts entre les obligations du RGPD et les souhaits d'une direction. Mais, là encore, un écueil apparaît, il existe d'ores et déjà plusieurs milliers de postes à fournir et le profil est extrêmement rare, donc coûteux. 

Recrutement interne ou recrutement externe, le rôle du DPO reste le même. Toutefois, le choix de ce recrutement dépendra notamment de la taille de votre entreprise et des moyens mis en place. Soulignons qu’un DPO en interne sera certainement plus réactif.