Si vous suivez ce blog depuis longtemps, vous savez une chose : je m’intéresse tout particulièrement à la protection des données à caractère personnel et à tout ce qui touche au domaine de la vie privée en ligne. Que cela soit via la publicité, les applications ou les projets de loi présentés et détaillés ici.
Aujourd’hui, nous allons nous intéresser à un métier en pleine création, en lien avec la loi européenne 2016/679, plus connue sous le nom de « Règlement Général sur la Protection des Données », ou RGPD (GDPR en anglais).
C’est quoi, le RGPD ?
Vous l’avez déjà vu ailleurs mais un rappel est toujours bon. Le Règlement Général sur la Protection des Données est une loi supranationale, adoptée en 2016 et qui entrera en vigueur en mai 2018. Cela signifie que la loi est déjà effective, en soi.
Ce règlement devrait, à long terme, permettre d’homogénéiser les différentes lois des pays États Membres relatives à la protection des données à caractère personnel, abrégées en DCP dans la suite de l’article.
Point important : il ne concerne pas les entreprise européennes, mais les entreprises qui travaillent avec les données des citoyens de l’union. Cela signifie donc qu’une entreprise américaine, par exemple, devra être conforme dès lors qu’elle collecte, traite, analyse ou plus globalement, travaille avec des DCP.
L’objet de cet article n’est pas de rentrer dans le détail du règlement mais de parler d’un métier qui arrive en même temps que le règlement, le Data Protection Officer, ou DPO. Entrons donc dans le vif du sujet.
Quelles sont les missions d’un DPO ?
Nous pourrions vulgariser en disant que le DPO a pour objectif de s’assurer de la conformité de l’entreprise au RGPD mais, en pratique, c’est un peu plus que ça.
Un DPO doit mettre en place un environnement de travail qui soit en phase avec le RGPD. Pour cela, il doit être en capacité d’identifier les traitements, applications, flux de données, sites internet et autres qui nécessitent l’utilisation de DCP.
Il doit également être en capacité d’expliquer des choses compliquées de façon simple. Avant d’attaquer la phase d’audit nécessaire à l’exécution de ses missions, il doit d’abord expliquer le règlement, identifier et sensibiliser les différents acteurs qui sont concernés. Les personnes du service informatique, le marketing ou encore les ressources humaines, toutes ces personnes sont différentes, elles ne parlent pas forcément le même langage… au DPO de faire en sorte que ces derniers soient capables de se comprendre pour travailler ensemble.
Une fois cette phase de sensibilisation faite, le DPO peut commencer par faire un état des lieux de ce qui existe, des bonnes et des mauvaises pratiques, ceci afin de prioriser ses missions à venir. S’il ne fait pas cette distinction, il y a fort à parier qu’il passera du temps sur des points éventuellement importants, mais pas critiques.
Le DPO, en soi, ne décide pas directement. Il forme, informe, conseille, fait l’état des lieux, conduit les audits, produit les analyses, des rapports et des constats relatifs aux façons qu’a l’entreprise de travailler avec les DCP puis il coopère avec les administrations, comme la CNIL. Il doit, à mes yeux, être rattaché aux postes de direction, voire à la direction générale de l’entreprise, dans la mesure où c’est à elle que revient la tâche de mettre les moyens nécessaires (temps, budget, outils, etc.) en place.
Une fois ces moyens alloués et mis en place, le DPO suit et accompagne la mise en oeuvre des plans d’actions, il est le point de référence des autres métiers, des compétences et des directions reliées à ces plans. Il joue, ici, autant le rôle de chef de projet que celui de facilitateur.
Le règlement impose aux entreprises de tenir un registre des traitements relatifs aux DCP (qui est le responsable de traitement, quelles données sont collectées, pour quelles finalités, combien de temps, etc.). C’est au DPO de créer et maintenir ces registres. Cela permet à l’entreprise de savoir ce qui est fait, par qui, quand, comment et pourquoi et ce à tout moment. Cela permet également, en cas de contrôle, de mettre à disposition une cartographie complète des traitements relatifs aux DCP.
D’une façon simple et résumée, voici les différentes missions du DPO.
Quelles sont les compétences requises pour être DPO ?
C’est une question qui mérite qu’on s’y attarde. Comme vous allez le voir, la réponse n’est pas si évidente que ça.
Le RGPD, en soi, ne nous donne que très peu d’informations quant aux compétences requises pour le poste, tout au plus il nous dit que le profil doit être adapté, doté d’une sensibilité à la protection des données, à la complexité des traitements et à la masse d’informations qui seront traitées. C’est une définition assez vague.
De son côté, la CNIL française est un peu plus précise :
- le profil doit avoir une composante juridique, informatique, technique, adaptée aux nouvelles technologies et doit comprendre le fonctionnement de l’entreprise.
- Il doit être neutre et impartial. Ce point est extrêmement important, il ne doit pas exister de conflits d’intérêts dans les fonctions du DPO. Un membre de la direction ne peut donc pas, en toute logique, être DPO.
- Il doit être en capacité de communiquer efficacement. On attend donc du DPO qu’il soit andragogue, pédagogue, patient et qu’il soit, d’une certaine façon, l’interface entre les différents métiers. Il doit savoir parler avec des fonctions IT comme avec des fonctions RH. Il doit comprendre les dimensions et les environnements métiers de ces fonctions. Cela nécessite, à mes yeux, une certaine forme d’intelligence et une logique particulière. Il faut penser à l’échelle de l’entreprise tout en agissant à l’échelle de l’individu, en s’invitant dans son cadre de référence.
En résumé : il faut être un peu touche à tout, comprendre la philosophie du texte, de la loi, savoir conduire des projets, être indépendant, patient, technique, pédagogique, curieux, savoir s’adapter, se remettre en question et être capable de penser en 3, 4, 5 ou 42 dimensions différentes en même temps.
J’ajoute à cela ma petite touche : pour moi, le DPO est d’abord un accompagnateur. Il doit guider l’entreprise vers la mise en application du règlement, mais cette mise en application traduit de nombreuses choses :
- il doit être capable de faire évoluer des points de vue, des façons de faire,
- il doit savoir écouter, parler et convaincre, notamment lorsqu’il fait face à sa direction,
- il doit être capable de tenir compte des problèmes rencontrés, pour s’adapter et aider ses interlocuteurs à s’adapter également,
- il doit être assertif, c’est à dire qu’il doit savoir écouter les autres sans pour autant négliger leurs avis, s’ils ces derniers diffèrent du sien,
- enfin, il doit être à jour, savoir s’informer, se former, remettre en question ses propres pratiques au fil du temps.
On ne parle pas simplement d’un règlement, à mes yeux. On parle d’une transformation des entreprises, de leurs procédures, de leurs façons de faire, on peut parler d’un profond changement pour certains et… le changement, en entreprise, c’est souvent compliqué.
A mes yeux, le DPO doit être passionné par la protection des données personnelles, on dépasse le simple cadre d’un contrat de travail, il faut, pour être DPO, avoir « la philosophie qui va bien ». Si vous vous moquez de vos propres données, si pour vous, ce n’est « qu’un métier comme un autre », alors vous échouerez.
C’est une définition plus précise que celle donnée par le règlement, non ?
Et vous, qu’en pensez-vous ? Est-ce que vous partagez cet avis ? Un peu, beaucoup, à la folie ou pas du tout ?
Enfin, si vous cherchez un DPO et que vous vous dites « mais oui, c’est exactement cela qu’il me faut, saperlipopette », j’ai deux choses à vous dire :
Très bon résumé sur ce qu’est un DPO !
J’ajoute juste une petite touche tout de même car beaucoup se disent qu’un DPO n’est pas obligatoire.
C’est totalement vrai mais la mise en oeuvre du règlement l’est pour quasiment toutes les entités morales (d’ailleurs au passage, c’est un DPO par entité et pas par groupe). Il vaut donc mieux avoir un délégué dédié à cette mise en place pour être référent sur le sujet.
Hello Pony, merci pour ton commentaire, mais je me permets une petite rectification et un ajout d’information
Le G29 a précisé, dans ses guidelines, que le DPO était obligatoire dans trois situations :
– si le responsable de traitement est un organisme public
– si les activités de ce dernier le conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle
– si les activités de base du responsable de traitement le conduisent à traiter à grande échelle des données dites particulières ou relatives à des condamnations pénales et infractions.
Dans ces trois cas là, la nomination d’un DPO est obligatoire, ce qui fait que :
– les FAI
– les banques
– les régies de transport
– les éditeurs d’application grand public avec géoloc requise
– les enseignes qui proposent des programme de fidélité
– les agences publicitaires web si elles sont à grande échelle
sont concernés par la nomination obligatoire d’un DPO. (la liste n’est pas exhaustive évidemment)
Tu as entièrement raison, j’avais un petit peu trop résumé dans mon commentaire.
Il y a des cas obligatoires en effet.
Mon propos portait surtout sur les nombreuses entreprises qui s’estiment exonérées de mise en place de DPO, voire de RGPD sous prétexte qu’ils ne sont pas dans les 3 cas de SPO obligatoire. Et j’en vois passer…
Merci pour la précision 🙂
Ah. Oui, là effectivement c’est plutôt problématique. Autant sur la mise en place du DPO, admettons (encore que la solution d’un DPO mutualisé existe, ou d’un consultant externe mais passons).
Mais le fait est relativement binaire : si, d’une façon où d’une autre, l’entreprise travaille (avec toutes les déclinaisons possibles : collecte / traite / analyse / …) avec des DCP, alors elle sera concernée.
J’espère (pour leurs clients et pour eux) qu’ils en prendront conscience rapidement 🙂
Certains découvrent seulement maintenant qu’il y a le RGPD. Combien ne sont même pas au courant ?
Pour le DPO mutualisé, je suis plus que vigilante en voyant les services proposés par des agences web plus que douteux…
Il faut vraiment espérer que les gens priviligieront des cabinets d’avocats spécialisés que des entreprises dont l’objectif est le bénéfice basé sur une compréhension plus qu’approximative du règlement.