La création d’un poste de DPO (Data Protection Officer) est rendue obligatoire par la réglementation de le RGPD au sein des organismes publics et des entreprises dont l’activité de base est alimentée par le traitement de données sensibles à grande échelle. Ainsi, ce sont plus de 25 000 nouveaux postes qui pourraient voir le jour en France. Explications.

 

Les entreprises concernées par l’embauche d’un DPO

Il est d’abord nécessaire de préciser les notions de « données sensibles », d’« activité de base » et de « grande échelle » :

  • Les données sensibles sont, par exemple, celles traitées par le corps médical, les banques, les assurances, les opérateurs téléphoniques ou encore les enseignes proposant des programmes de fidélité.
  • L’activité de base d’une entreprise est celle qui lui permet de réaliser ses objectifs.
  • Le traitement à grande échelle évalue le nombre de personnes concernées, le volume de données, la durée du traitement de ces données ou a fortiori son caractère permanent, ainsi que l’étendue géographique.

 

 

Pour mettre tout le monde d’accord, les CNIL européennes ont rendu une recommandation selon laquelle les entreprises concernées sont donc celles « dont le cœur d’activité et les traitements portent sur un grand nombre de personnes ou celles qui procèdent au suivi régulier de personnes dans l’espace et le temps ».

 

Les missions du DPO

En coopération avec les autorités de protection des données, le DPO a pour mission principale de démontrer la conformité d’une entreprise à la réglementation imposée par le RGPD. Pour cela, il contrôle la bonne mise en œuvre des directives, des formations, des audits effectués, ainsi que de l’étude d’impact, dans le cas où elle est obligatoire.

Le DPO est associé à tous les sujets liés à la protection des données personnelles de son entreprise, des collaborateurs de celle-ci, de ses clients et partenaires. Il a un rôle de conseiller auprès de ces différentes entités.

Dans les faits, on peut considérer le DPO comme étant la passerelle entre l’entreprise et la CNIL, c’est pourquoi il doit agir en toute indépendance, sans conflit d’intérêt.

 

Comment choisir son DPO ?

Concrètement, il n’y a pas de « profil type DPO » : aujourd’hui, on constate que 40 % d’entre eux sont des juristes, 30 % ont des profils techniques et les 30 % restants sont issus de l’administration. À défaut de devoir justifier de formations et d’expériences figées, le DPO doit présenter certaines compétences et qualités :

Tout d’abord, le DPO doit avoir une parfaite connaissance du contenu du RGPD. Il doit aussi avoir des compétences en informatique et connaître le cœur de métier de l’entreprise pour le compte de qui il agit.

Lors de ses missions quotidiennes, le DPO doit :

  • S’informer sur les nouvelles obligations à mettre en œuvre
  • Piloter la mise en conformité au RGPD
  • Assister les décideurs sur les conséquences des traitements de données
  • Inventorier ces données
  • Mettre en place des actions de sensibilisation
  • Conseiller, informer les différents niveaux stratégiques et hiérarchiques de l’entreprise, du COMEX à l’ensemble des salariés.

Pour ce faire, le DPO doit faire preuve d’un certain savoir-être. Il est une personne :

  • Organisée
  • Pragmatique (proche du terrain et des opérationnels)
  • Communicante
  • Avec un bon relationnel
  • Pédagogue
  • Réactive

Si aujourd’hui la réglementation du RGPD ne vous oblige pas à nommer un DPO, sachez que vous avez toujours la possibilité d’en désigner un malgré tout. En effet, avoir un DPO dans son entreprise devrait, avec le temps, devenir un gage de confiance de l’entreprise envers ses collaborateurs, ses clients et partenaires.

Dans les faits, beaucoup de personnes ce sont vues confier ce poste sans avoir jusqu’alors anticipé l’envergure du travail de mise en conformité à effectuer en amont. Les nombreux formulaires proposés par la CNIL sont certes exhaustifs, mais ont pour résultat un « éparpillement » des informations et des responsabilités de chacun. De ce constat, nous avons eu l’idée de développer un outil mutualisé, qui se veut collaboratif et qui a pour vocation de centraliser l’intégralité des éléments demandés par le RGPD dans une seule et même solution : GoRGPD.

 

Anne, Responsable Marketing chez Apsynet

 

Categories: RGPD