La création d’un poste de DPO (Data Protection Officer) est rendue obligatoire par la réglementation de le RGPD. Cela concerne les organismes publics et les entreprises dont l’activité de base est alimentée par le traitement de données sensibles à grande échelle.
Les entreprises concernées par l’embauche d’un DPO
Il est d’abord nécessaire de préciser les notions de « données sensibles », d’« activité de base » et de « grande échelle » :
Les données sensibles sont notamment celles traitées par :
- Le corps médical.
- Les banques.
- Les assurances.
- Les opérateurs téléphoniques.
- Les enseignes proposant des programmes de fidélité.
L’activité de base d’une entreprise est celle qui lui permet de réaliser ses objectifs.
Le traitement à grande échelle évalue :
- Le nombre de personnes concernées.
- Le volume de données.
- La durée du traitement de ces données ou a fortiori son caractère permanent.
- L’étendue géographique.
Les CNIL européennes ont rendu une recommandation selon laquelle les entreprises concernées sont donc celles : « dont le cœur d’activité et les traitements portent sur un grand nombre de personnes ou celles qui procèdent au suivi régulier de personnes dans l’espace et le temps ».
Quelles sont ses missions ?
En coopération avec les autorités de protection des données, le DPO a pour mission principale de démontrer la conformité d’une entreprise à la réglementation imposée par le RGPD. Ses missions sont : la bonne mise en œuvre des directives, des formations, des audits effectués, ainsi que de l’étude d’impact dans le cas où elle est obligatoire.
Il est associé à tous les sujets liés à la protection des données personnelles de son entreprise, des collaborateurs de celle-ci, de ses clients et partenaires. Un DPO a un rôle de conseiller auprès de ces différentes entités.
Dans les faits, on peut considérer le DPO comme étant la passerelle entre l’entreprise et la CNIL. Il doit agir en toute indépendance, sans conflit d’intérêt.
Comment choisir son Data Protection Officer ?
Concrètement, il n’y a pas de « profil type DPO ». On constate que 40 % d’entre eux sont des juristes, 30 % ont des profils techniques et les 30 % restants sont issus de l’administration. À défaut de devoir justifier de formations et d’expériences figées, le DPO doit présenter certaines compétences et qualités :
Un DPO doit avoir une parfaite connaissance du contenu du RGPD. Il doit aussi avoir des compétences en informatique et connaître le cœur de métier de l’entreprise pour le compte de qui il agit.
Les qualités d’un DPO
Lors de ses missions quotidiennes, le DPO doit :
- S’informer sur les nouvelles obligations à mettre en œuvre.
- Piloter la mise en conformité au RGPD.
- Assister les décideurs sur les conséquences des traitements de données.
- Inventorier ces données.
- Mettre en place des actions de sensibilisation.
- Conseiller, informer les différents niveaux stratégiques et hiérarchiques de l’entreprise, du COMEX à l’ensemble des salariés.
Pour ce faire, le DPO doit faire preuve d’un certain savoir-être. Il est une personne :
- Organisée.
- Pragmatique (proche du terrain et des opérationnels).
- Communicante.
- Avec un bon relationnel.
- Pédagogue.
- Réactive.
Si aujourd’hui la réglementation du RGPD ne vous oblige pas à nommer un DPO, sachez que vous avez toujours la possibilité d’en désigner un malgré tout. En effet, avoir un DPO dans son entreprise est un gage de confiance de l’entreprise envers ses collaborateurs, ses clients et partenaires.
Dans les faits, beaucoup de personnes ce sont vues confier ce poste sans avoir jusqu’alors anticipé l’envergure du travail de mise en conformité à effectuer en amont. Les nombreux formulaires proposés par la CNIL sont certes exhaustifs, mais ont pour résultat un « éparpillement » des informations et des responsabilités de chacun. De ce constat, nous avons eu l’idée de développer un outil mutualisé et collaboratif. Cet outil centralise l’intégralité des éléments demandés par le RGPD : GoRGPD.
Anne, Responsable Marketing chez Apsynet
