Le DPO : qui est-il, que fait-il ?

Data Protection Officer

Le DPO : qui est-il, que fait-il ?

 

La création d’un poste de DPO (Data Protection Officer) est rendue obligatoire par la réglementation de la GDPR au sein des organismes publics et des entreprises dont l’activité de base est alimentée par le traitement de données sensibles à grande échelle. Ainsi, ce sont plus de 25 000 nouveaux postes qui pourraient voir le jour en France. Explications.

 

 

Les entreprises concernées par l'embauche d'un DPO

 

 

Il est d’abord nécessaire de préciser les notions de « données sensibles », d’« activité de base » et de « grande échelle » :

 

  • Les données sensibles sont, par exemple, celles traitées par le corps médical, les banques, les assurances, les opérateurs téléphoniques ou encore les enseignes proposant des programmes de fidélité.
  • L’activité de base d’une entreprise est celle qui lui permet de réaliser ses objectifs.
  • Le traitement à grande échelle évalue le nombre de personnes concernées, le volume de données, la durée du traitement de ces données ou a fortiori son caractère permanent, ainsi que l’étendue géographique.

 

Pour mettre tout le monde d’accord, les CNIL européennes ont rendu une recommandation selon laquelle les entreprises concernées sont donc celles « dont le cœur d’activité et les traitements portent sur un grand nombre de personnes ou celles qui procèdent au suivi régulier de personnes dans l’espace et le temps ».

 

 

Les missions du DPO

 

 

En coopération avec les autorités de protection des données, le DPO a pour mission principale de démontrer la conformité d’une entreprise à la réglementation imposée par la GDPR. Pour cela, il contrôle la bonne mise en œuvre des directives, des formations, des audits effectués, ainsi que de l’étude d’impact, dans le cas où elle est obligatoire.

 

Le DPO est associé à tous les sujets liés à la protection des données personnelles de son entreprise, des collaborateurs de celle-ci, de ses clients et partenaires. Il a un rôle de conseiller auprès de ces différentes entités.

 

Dans les faits, on peut considérer le DPO comme étant la passerelle entre l’entreprise et la CNIL, c’est pourquoi il doit agir en toute indépendance, sans conflit d’intérêt.

 

 

Comment choisir son DPO ?

 

 

Concrètement, il n’y a pas de « profil type DPO » : aujourd’hui, on constate que 40 % d’entre eux sont des juristes, 30 % ont des profils techniques et les 30 % restants sont issus de l’administration. À défaut de devoir justifier de formations et d’expériences figées, le DPO doit présenter certaines compétences et qualités :

 

Tout d’abord, le DPO doit avoir une parfaite connaissance du contenu de la GDPR. Il doit aussi avoir des compétences en informatique et connaître le cœur de métier de l’entreprise pour le compte de qui il agit.

 

Lors de ses missions quotidiennes, le DPO doit :

 

  • S’informer sur les nouvelles obligations à mettre en œuvre
  • Piloter la mise en conformité à la GDPR
  • Assister les décideurs sur les conséquences des traitements de données
  • Inventorier ces données
  • Mettre en place des actions de sensibilisation
  • Conseiller, informer les différents niveaux stratégiques et hiérarchiques de l’entreprise, du COMEX à l’ensemble des salariés.

 

Pour ce faire, le DPO doit faire preuve d’un certain savoir-être. Il est une personne :

 

  • Organisée
  • Pragmatique (proche du terrain et des opérationnels)
  • Communicante
  • Avec un bon relationnel
  • Pédagogue
  • Réactive

 

Si aujourd’hui la réglementation de la GDPR ne vous oblige pas à nommer un DPO, sachez que vous avez toujours la possibilité d’en désigner un malgré tout. En effet, avoir un DPO dans son entreprise devrait, avec le temps, devenir un gage de confiance de l’entreprise envers ses collaborateurs, ses clients et partenaires.

 

 

Anne, Responsable Marketing chez Apsynet

 

 

Je laisse mon commentaire ici : 

Submit your review
1
2
3
4
5
Submit
     
Cancel

Create your own review

Average rating:  
 0 reviews

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Name*

Email

Website