Sorte de super correspondant Informatique & Libertés, le DPO garantit la conformité des traitements de données à caractère personnel. Une fonction qui exige de multiples compétences. Le nouveau règlement européen rend sa nomination obligatoire d’ici mai 2018.
C’est l’un des changements majeurs qu’introduit le règlement européen sur la protection des données personnelles. Avec le RGPD, qui entre en vigueur en mai 2018, les entreprises doivent nommer un DPO (Data protection officer), ou DPD (Délégué à la protection des données) en bon français. Interlocuteur de la Cnil en entreprise, c’est lui qui arrêtera la liste des traitements sensibles et s’assurera de leur conformité.
Les entreprises qui ont déjà un correspondant Informatique & Libertés (CIL) partent avec un train d’avance, ce dernier étant légitime à occuper la fonction de DPO. « Il est, en effet, logique de maintenir un CIL qui se sera investi dans sa mission », estime Bruno Rasle, délégué général de l’AFCDP, l’association française des correspondants à la protection des données à caractère personnel. « Il devra néanmoins suivre des formations complémentaires, car le périmètre du DPO est plus large en termes notamment d’évaluation des risques. »
Le DPO doit avoir des compétences à la fois techniques, juridiques et de gestion des risques. Pour Bruno Rasle, « il n’y a pas de bon profil. Un juriste à qui il manque la technique va se faire balader par les informaticiens. Inversement, un qualiticien ou à un gestionnaire des risques n’aura pas le vernis juridique requis. Dans tous les cas, la personne retenue devra compenser ses lacunes par la formation. »
Résister aux pressions internes
Fonction transverse, le DPO doit aussi avoir un certain nombre de qualités morales. « Il faut savoir argumenter, convaincre, aller contre les habitudes et résister aux pressions, poursuit Bruno Rasle. En toute indépendance, le DPO devra dira à une direction métier qu’elle ne peut effectuer un traitement de données de cette façon, même si de gros enjeux business sont derrière. »
On comprend mieux pourquoi cet oiseau rare fait l’objet d’une pénurie sur le marché de l’emploi ! Pour aider les entreprises qui s’apprêtent à recruter un DPO, l’AFCDP a mis en ligne sur son site une fiche de poste type et une lettre de mission type. Le G 29 – le groupe des « Cnil » européennes – a publié de son côté des « guidelines » qui précisent les contours fonctionnels du DPO.
La fonction peut être incarnée par un salarié, mais aussi par une personne extérieure à l’organisation comme un juriste ou un consultant. Une alternative qui peut séduire les PME qui ne souhaitent pas recruter.
Les plus grosses entreprises pourraient aussi, selon Bruno Rasle, avoir intérêt à faire appel à un prestataire dans un premier temps. « En arrivant, il va découvrir pas mal de cadavres dans le placard et donc se fâcher avec tout le monde. Des entreprises se sont, par exemple, lancées dans le Big Data en construisant dans la précipitation un Data Lake sans veiller à la conformité. Une fois le nettoyage dans les traitements terminé, le prestataire repasse le bébé à une personne en interne. »
Le DPO doit exercer sa mission en toute indépendance en étant rattaché au niveau le plus haut de la hiérarchie, comme le secrétariat général. En cas d’incident, il ne doit pas servir non plus de paratonnerre, la responsabilité juridique incombant au responsable du traitement.