Aujourd’hui, nous vous proposons de partir à la découverte d’un rôle très nouveau mais ô combien important dans les entreprises de toutes tailles : celui de DPO, ou Data Protection Officer. Pour ce faire, nous avons interviewé Corinne Plourde, qui porte cette casquette au sein de l’école LePont !
En quoi consiste le rôle de DPO ?
La signification du métier de Data Protection Officer
Corinne Plourde (CP) : Il a été défini dans le cadre du RGPD (le Règlement général sur la protection des données), qui a été mis en application en mai 2018. Dans ce règlement, deux articles précisent les fonctions et les missions du DPO. (articles 38 et 39).
On ne parle pas ici de métier mais bien de rôle, de fonction. En effet, le texte du RGPD n’oblige pas une entreprise à embaucher un DPO. L’obligation se fait sur la gouvernance de la conformité au RGPD et nommer ou désigner un DPO (officiellement ou pas) est une bonne pratique. Par contre, très souvent, des entreprises désignent un DPO au sein de leurs équipes, pour être en conformité avec le RGPD, mais sans comprendre les tenants et les aboutissants de ses missions !
Le DPO est le chef d’orchestre de la conformité vis-à-vis du RGPD. L’une de ses missions est simple : s’assurer que tous les projets menés au sein de l’entreprise respectent les principes du RGPD. Et ce, à partir du moment où ces projets impliquent des données à caractère personnel.
Zoom sur les principes du RGPD
CP : Le RGPD vise à protéger les données à caractère personnel des personnes concernées afin qu’elles ne soient pas utilisées à mauvais escient, à l’échelle européenne. C’est une forme de protection, un bouclier pour garantir nos droits et commencer à contraindre les entreprises basées hors d’Europe à nos règles. Le but est aussi d’éviter qu’elles fassent ce qu’elles veulent (je pense notamment aux GAFAM ou à certaines entreprises chinoises, qui ont longtemps exploité nos données impunément). Aujourd’hui, toute entreprise ayant pour cible des européens doit se mettre en conformité au RGPD.
Les GAFAM ont toutes été sanctionnées par la CNIL (Commission nationale de l’informatique et des libertés) depuis 2018. L’enjeu du RGPD est également financier et les montants en jeu se comptent en millions d’euros.
Le règlement se fonde sur divers principes qui garantissent le respect des données de chaque individu, et notamment :
- la transparence vis-à-vis des données collectées et de leur usage ;
- le recueil systématique du consentement des personnes concernées par des traitements marketing et de prospection. Il faut, par exemple, que les internautes soient conscients et d’accord pour que l’on récolte et que l’on utilise leurs données personnelles ;
- la mise en place de délais de conservation des données ;
- l’exactitude des données récoltées ;
- le respect de l’exercice des droits des personnes concernées (s’ils souhaitent par exemple accéder, rectifier ou supprimer les données les concernant) ;
- la sécurisation des données récoltées.
Par ailleurs, le RGPD met l’accent sur ce que l’on appelle le privacy by design, ou “respect de la vie privée dès la conception”. Ce principe garantit que chaque projet mis en place dans l’entreprise, chaque produit et chaque action impliquant la collecte de données personnelles est pensé pour respecter au maximum la vie privée des personnes concernées.
À quoi ressemble le quotidien d’un DPO ?
CP : Le DPO n’a pas vraiment un quotidien fixe – au contraire, sa journée ressemble plutôt à un véritable patchwork, en fonction des enjeux de son entreprise et des projets du moment ! Comme le RGPD implique cette notion de privacy by design dans tous les projets entrepris qui collectent des données personnelles, le DPO se retrouve assez vite impliqué dans des sujets variés et à collaborer avec diverses équipes dans l’entreprise.
Cependant, il existe tout de même plusieurs “phases” dans l’évolution de son rôle. La première, c’est celle de la mise en conformité de son organisation. Autrement dit, s’assurer que tous les traitements existants soient rendus conformes au RGPD. Cette phase peut prendre jusqu’à trois ans selon la taille de l’organisation. Elle consiste à cartographier les données dans l’entreprise, parler à chaque métier, savoir ce qu’ils font des data, puis qualifier ces dernières.
Ensuite, le DPO entre dans une phase de pilotage. Il se doit de s’assurer que chaque nouveau projet respecte les processus, les critères de sécurité et les principes de privacy by design.
Durant la phase de pilotage, le DPO forme des référents RGPD. Ces derniers sont des profils qui comprennent les implications du RGPD de manière plus pointue qu’une simple sensibilisation. Ils deviennent à terme de véritables relais dans l’entreprise. En effet, maintenir la conformité de tous les projets et de tous les processus serait impossible pour une seule personne ! Le DPO a donc besoin de ces référents, qui vont faire remonter les informations liées à tous les nouveaux projets et aider à les piloter de manière efficiente.
Le métier de DPO vous intéresse ? Participez à notre prochain webinar !
Découvrez tout ce qu’il faut savoir pour devenir Data Protection Officer : rôle, missions, salaires et formation.
Quelles sont les compétences requises pour devenir DPO ?
Le mouton à cinq pattes
CP : En termes d’expertise, je le décris généralement comme un mouton à cinq pattes, car on lui demande des compétences très variées.
Un Data Protection Officer doit en effet avoir :
- des connaissances certaines en juridique, surtout en ce qui concerne le RGPD et la loi Informatique et Libertés s’il est nommé en France ;
- des connaissances techniques en informatique. En effet, il doit superviser la sécurité des données. Si le DPO ne comprend pas ce qu’est un firewall, un serveur… Il va certainement peiner à contrôler tout ça ! On ne lui demande bien sûr pas d’être un expert, mais de posséder de solides bases en informatique ;
- la capacité de sensibiliser et former ses collaborateurs sur le RGPD. Il endosse donc ponctuellement la casquette d’un formateur et doit faire preuve de pédagogie ;
- un bon sens de la communication. Le DPO doit communiquer avec sa direction de manière directe et l’influencer, car il n’a pas de pouvoir de décision mais se doit de suggérer, de conseiller. Il doit donc être force de proposition, apporter des conseils, produire des rapports annuels à sa direction pour la guider vers la conformité ;
- des compétences en gestion de projet. Le DPO est un véritable chef de projet, qui mène tous ses sujets à bras le corps !
Vous l’aurez compris, par sa polyvalence, le DPO est un profil très difficile à trouver en entreprise !
Gare au conflit d’intérêt
Si vous souhaitez prétendre au rôle de DPO, attention au conflit d’intérêt potentiel ! En effet, si vous êtes déjà en poste dans votre entreprise et que vous êtes nommé, cela peut poser des problèmes vis-à-vis de vos obligations respectives sur chaque rôle. Par exemple, impossible d’être Directrice des Achats ou Directeur Financier et DPO à la fois. Cette situation entraînerait en effet un conflit d’intérêt défendu par la loi car en tant que DPO, vous garantissez l’intégrité des données mais en tant que DAF ou DA, vous êtes amené à les récolter et les exploiter…
Par ailleurs, prenez garde aux potentiels problèmes hiérarchiques. En effet, le DPO n’est habilité à communiquer qu’avec la Direction de son entreprise. Cependant, si c’est votre N+1 qui répond à la Direction en direct, vous risquez de le “court-circuiter” de par vos obligations de DPO. Une situation qui peut vite devenir inconfortable…
Y a-t-il une formation pour devenir DPO ?
CP : Il existe plusieurs certifications officielles pour devenir DPO. La CNIL a adopté un référentiel pour identifier les compétences et les savoir-faire du délégué à la protection des données. Elle a également établi une liste des organismes agréés qui peuvent décerner une certification des compétences du DPO.
Il n’y a pas d’obligation légale à passer une certification. On peut tout à fait être DPO en entreprise sans certification, mais cette dernière est un atout de taille pour booster l’employabilité et pour réellement comprendre tout ce qu’implique ce rôle complexe ! Il est également essentiel de maîtriser les cinq “pattes” du mouton que j’ai décrit auparavant – que ce soit en s’y formant, ou par l’expérience !
Vous souhaitez vous former au rôle de Data Protection Officer ?
Découvrez notre formation “Data Protection Officer et référents RGPD” ! Ce programme, composé de 4 blocs de compétences répartis sur 5 jours, vous préparera à la CERTIFICATION DPO agréée CNIL d’APAVE Certification. Il vous permettra de vous confronter à des problématiques d’un quotidien professionnel et à devenir rapidement autonome !
Formez-vous à la protection des données :
Ceci devrait vous intéresser
Connect
Pour recevoir nos derniers articles sur la Data et l'Intelligence Artificielle, abonnez vous à Connect, l’email qui fait du bien à vos données.