A l’entrée en vigueur du RGPD, le DPO était quelque peu considéré comme le mouton à 5 pattes, tantôt juriste, tantôt technicien, au profil quasi-introuvable et aux missions un peu floues.
Depuis la CNIL a publié une liste de 17 compétences et savoir-faire en matières organisationnelle, juridique et technique, auxquels doit correspondre un DPO pour pouvoir être reconnu et certifié en tant que tel.
Tout d’abord, la CNIL préconise de prendre en compte la durée d’expérience du DPO en matière de protection des données, pouvant aller de 2 à 15 ans. Pas facile, dans un contexte de pénurie de profils sur le marché du travail et du fait qu’il s’agit d’un métier récent, d’atteindre ce niveau d’expérience en termes de temps.
Voici la liste exhaustive des critères que doit maîtriser un bon DPO :
- Connaître et comprendre les principes liés aux traitements, finalités, conservation, confidentialité et responsabilité
- Identifier la base juridique d’un traitement
- Déterminer le contenu de l’information à communiquer aux personnes concernées
- Etablir les procédures de gestion des demandes, requêtes et réclamations des personnes dans l’exercice de leur droit
- Connaître le cadre juridique relatif à la sous-traitance
- Identifier et encadrer les transferts de données hors UE
- Elaborer les règles internes encadrant la protection des données
- Organiser et animer les audits
- Connaître le contenu du registre d’activités de traitements, du registre des catégories d’activités, de la documentation relative aux violations des données et la documentation nécessaire à la preuve de la conformité au RGPD
- Connaître les mesures de protection des données
- Participer à l’identification des mesures de sécurité adaptées selon le contexte
- Identifier les violations de données nécessitant de notifier l’autorité de contrôle ainsi qu’une communication auprès des personnes concernées
- Déterminer les cas nécessitant une analyse d’impact relative à la protection des données et vérifier sa bonne réalisation
- Dispenser des conseils en matière d’analyse d’impact (méthodologie, mesures techniques et organisationnelles, etc.)
- Assurer le rôle d’interlocuteur privilégié auprès des autorités de contrôle
- Dispenser des formations en matière de protection des données
- Assurer la traçabilité de ses propres activités grâce à des outils de suivi ou de bilan annuel
Vous pouvez retrouver l’intégralité de la délibération d’où est issue cette liste, publiée au Journal Officiel par ici.
Anne, Responsable Marketing chez Apsynet