DPO, une fonction pilier pour la protection des données personnelles

Par Samantha Mur
Le 11/05/2020
definition backgroundDPO, une fonction pilier pour la protection des données personnelles

Qui est le DPO ? Derrière l’acronyme anglais de Data Protection Officer se trouve une personne au rôle central en matière de protection des données. Garant·e de la conformité au Règlement général sur la protection des données (RGPD ou GDPR en anglais pour General Data Protection Regulation), elle·il est chargé·e de veiller à sa bonne application.

Chargé·e de la protection des données à caractère personnel et de la veille informatique au sein de son organisation, la·le DPO est un métier multifacette. Quelles sont les responsabilités de ce profil 2.0, aux compétences aussi bien juridiques qu’informatiques ?

Pour mieux le connaître, découvrez sans plus attendre sa définition, son rôle, l’exercice de ses missions et les formations disponibles pour devenir ce·tte « champion·ne des données » !

Le DPO : définition

Qu’est-ce que les DPO ?

Les DPO (Data Protection Officer) ou DPD (Délégué à la protection des données) sont des personnes nommées au sein d’une entreprise ou d’un organisme public pour assurer la conformité des traitements de données à caractère personnel avec le Règlement européen sur la protection des données, en vigueur depuis mai 2018.

La désignation de ce « super contrôleur » du traitement des données est l’une des mesures majeures figurant dans le Règlement, destinées aux organisations dont les activités touchent à la protection des données personnelles.

La fonction de DPO succède à celle de Correspondant Informatiques et Libertés (CIL), qui voit son périmètre de compétences s’élargir (notamment en matière d’évaluation des risques). Interlocuteur de la CNIL, il est impliqué dans toutes les problématiques liées à la protection des données personnelles et a pour rôle de faciliter la mise en conformité des activités de l’organisation dans ce domaine.

Qui peut être DPO ?

Selon les activités et l’organisation interne de la structure, le DPO peut être :

  • une personne membre de l’organisation qu’il conseille (collaborateur dans l’entreprise, par exemple) ;
  • une personne désignée pour le compte de plusieurs organismes : sa place est mutualisée pour différentes structures ;
  • un consultant extérieur ou un juriste.

ℹ️ Le recours à un des prestataires est une alternative intéressante, mais n’est pas indispensable si la fonction peut être occupée en interne par un collaborateur possédant les qualifications requises.

Tout dépend de la taille et de l’organisation de votre structure, de la charge de travail de vos ressources concernées, ou de votre décision de recruter directement la personne compétente.

Dans tous les cas, le DPO doit être pourvu des moyens nécessaires au bon accomplissement de sa mission, en toute indépendance.

Le DPO : obligatoire ou non ?

La désignation par le responsable de traitement et ses sous-traitants d’un délégué à la protection des données est obligatoire dans certaines conditions, précisées à l’article 37 du Règlement, lorsque :

  • le traitement est effectué par une autorité ou un organisme public ;
  • les activités de l’organisation impliquent un suivi régulier et systématique des personnes, à grande échelle ;
  • les activités de l’organisation induisent le traitement à grande échelle des données sensibles (comme celles ayant trait à la santé, à la religion, à la vie politique et syndicale d’une personne par exemple).

L’entreprise ou l’organisation doit nommer le délégué à la protection de données, mais cela ne passe pas nécessairement par une mise à l’écrit. En revanche, l’autorité de contrôle doit en être informée et pouvoir accéder facilement aux coordonnées de la personne désignée.

💡 Dans le cas où le responsable de traitement remplit tous les critères de désignation obligatoire, le sous-traitant n’a pas l’obligation de nommer un DPO, et inversement.

Quel est le rôle du DPO ?

Le DPO est la personne de référence en matière de protection des données : elle·il veille à la conformité des activités de l’organisation avec le RGPD et réceptionne toutes les demandes touchant de près ou de loin à la protection des données.

Voici ses principaux rôles au sein de l’entreprise ou de l’organisme au sein duquel elle·il a été désigné·e :

  • relayer toutes les informations en matière de traitement des données à caractère personnel auprès de l’ensemble des équipes ;
  • vérifier le respect du règlement européen, ainsi que du droit français en matière de protection des données ;
  • conseiller l’organisation dans sa démarche de mener une analyse d’impact relative à la protection des données (AIPD) et contrôler sa mise en œuvre ;
  • être le point de contact de toutes les personnes concernées (collaborateurs, clients, partenaires, etc.) en cas de question ;
  • coopérer avec une autorité de contrôle nationale, comme la CNIL.

Le DPO au quotidien

Ses fonctions peuvent être retrouvées :

  • sur la fiche de poste DPO ou la lettre de mission type mises à disposition des entreprises sur le site de l’AFCDP (Association française des données personnelles),
  • dans les guidelines publiées par le G29, le groupe des autorités de contrôle européennes.

Missions types

La·le DPO exerce des fonctions transverses dans l’entreprise, mêlant tout à la fois communication, diplomatie et gestion de projets. Ses activités s’articulent autour de trois missions principales, à savoir :

✔︎ Information et communication

  • communiquer en interne sur son rôle et son statut ;
  • effectuer une veille sur des sujets relatifs aux données personnelles (juridique, technique, sectoriel, etc.) et à la sécurité des systèmes d’information ;
  • sensibiliser les responsables de traitements, les directions et les collaborateurs ;
  • animer des formations, déclinées selon les services concernés ;
  • établir une documentation.

✔︎ Cartographie des processus

  • cartographier les traitements ;
  • évaluer les risques ;
  • établir le registre ;
  • organiser les procédures internes.

✔︎ Mise en conformité

  • coordonner les chantiers de mise en conformité des traitements existants ;
  • contrôler l’exécution ou piloter toutes les actions participant à évaluer le degré de conformité des traitements de données à caractère personnel ;
  • mener des audits pour relever d’éventuels cas de non-conformité ;
  • vérifier le respect du cadre légal et l’application de bonnes pratiques en matière de protection des données personnelles ;
  • alerter sur les risques de violation des données.

☝️ Notons que souvent, un DPO exerce ses missions à temps partiel (seuls 54,8 % sont à temps complet, mi-temps ou plus).

Boîte à outils du DPO

Des ressources et de la documentation en ligne :

Des logiciels pour aider le DPO dans ses missions :

Comment devenir Data Protection Officer ?

DPO : formation

Cette fonction clé de l’entreprise, si récente soit-elle, peut être considérée comme un métier à part entière comme l’estiment 89 % des DPO.

Les DPO peuvent être issus de différentes formations, dans les domaines technique, juridique et de gestion des risques. Ces personnes sont principalement des informaticiens (34,9 %) ou des juristes (31,1 %), avec une diversité pour les autres profils (34 %) (d’après une étude de l’AFPA pour le Ministère du Travail).

Pour pouvoir appréhender ses fonctions, la·le DPO doit avoir des connaissances spécialisées en droit de la protection des données personnelles, mais aussi une base solide en informatique.

Il va de soi que la·le DPO se doit de bien connaître l’organisation dans laquelle elle·il travaille et ses procédures en interne, en lien avec les différents services impliqués : marketing, RH, produit, juridique, métiers, etc.

Tout·e aspirant·e au poste de DPO peut se former, entre autres, grâce à :

  • un Mastère spécialisé, comme celui de l'ISEP Management et Protection des Données Personnelles, première formation longue de DPO à l’échelle européenne,
  • une certification sur la base du référentiel CNIL,
  • une formation Informatique et Libertés ou RGPD reconnue,
  • une formation métier ou sectorielle spécifique.

Le site de l’AFCPD recense de manière plus exhaustive les formations diplômantes conduisant à ce métier. Il faut savoir que le Ministère du Travail est encore à l’œuvre pour professionnaliser cette fonction.

DPO : salaire

Ce métier étant encore récent, les niveaux de rémunération sont relativement variables. Selon l’AFCDP, le salaire brut mensuel se placerait entre 2 500 et 4 000 €. Cela varie évidemment en fonction de la taille de l’entreprise, les responsabilités dont elle·il a la charge, et le degré de risque associé.

Au service de votre cybersécurité

Si la désignation d’un·e DPO est une contrainte pour certaines entreprises, elle est aussi possible volontairement, même si les critères de désignation obligatoire ne sont pas remplis. Elle s’accompagne de nombreux bénéfices :

  • Vous garantissez la sécurité juridique de vos activités, et réduisez les risques de contentieux sur les plans contractuel, juridique ou administratif.
  • Vous renforcez la sécurité informatique et prenez de meilleures décisions stratégiques, tout en consolidant vos procédures internes pour la protection des données.
  • Vous rassurez vos clients, partenaires, fournisseurs et autres parties prenantes au regard de votre traitement responsable des données.

Rappelons que le DPO est un avant tout un coordinateur en interne et un relais en externe avec l’autorité de contrôle et les personnes concernées, et n’est pas responsable de la conformité au RGPD en place et lieu du responsable de traitement ou du sous-traitant. Son rôle est avant tout stratégique.

Et vous, avez-vous choisi votre délégué·e à la protection des données ?

La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus
Comment Anonymiser - Pseudonymiser des données en open data ?
Conseil
l’année dernière
Comment Anonymiser - Pseudonymiser des données en open data ?
Conformément au RGPD, le chiffrement est devenu une obligation afin de sécuriser les données. Business Development Manager Sécurité et GDPR Champion chez Oracle France, Jérôme Chagnoux nous apporte son point de vue d'expert sur la question de l'anonymisation des données.
RGPD : comment passer à un marketing qui valorise les données ?
Livre blanc
il y a 2 ans
RGPD : comment passer à un marketing qui valorise les données ?
Mettez votre marketing digital en conformité avec le RGPD : téléchargez le guide pour assurer la protection des données personnelles, un traitement responsable et collecter des adresses emailing récoltées avec consentements en double optin : Olivier Martineau, CEO de Spread vous dit tout !
Conseil backgroundRGPD 2018 : l’essentiel à connaître  pour préparer son entreprise
Conseil
il y a 2 ans
RGPD 2018 : l’essentiel à connaître pour préparer son entreprise
Vous n’avez pas envie de parcourir tout le site de la CNIL pour comprendre le GRPD n’est-ce pas ? appvizer vous donne l’essentiel de l’information à connaître pour mettre votre entreprise en conformité, avec en bonus les meilleurs outils pour fournir les preuves à l’autorité de contrôle en 2018. Respirez !
Comment tenir un registre des traitements conforme au RGPD ?
Conseil
il y a 2 ans
Comment tenir un registre des traitements conforme au RGPD ?
Le registre des traitements de données est l’une des obligation sà respecter pour être conforme au RGPD. Alain Garnier, CEO de Jamepot, vous explique comment le tenir en l’illustrant d’un exemple de registre tenu dans la solution Captain DPO.
Audit RGPD : lier l’utile à l’agréable
Conseil
il y a 2 ans
Audit RGPD : lier l’utile à l’agréable
Que comprend un audit RGPD ? Quel comportement adopter ? Comment se passe cette démarche visant la conformité ? Alexis Quentrec, spécialiste RGPD chez Nuageo, Cabinet de Conseil Cloud Computing, vous apporte ses lumières.
Oodrive : quand le DPO s’appuie sur des Privacy Champions
Conseil
il y a 2 ans
Oodrive : quand le DPO s’appuie sur des Privacy Champions
Face au enjeux du RGPD, le DPO n'est pas forcément isolé. Olivier Iteanu, du Cabinet Iteanu Avocats, et François-Xavier Vincent, Group CISO & DPO Oodrive, ont en effet mis en place une pratique originale chez Oodrive : les Privacy Champions.
RGPD & B2B par Adeline Lemercier
Conseil
il y a 2 ans
RGPD en B2B : entre mythes et réalités
Adeline Lemercier, responsable marketing chez Plezi nous éclaire sur le RGPD en B2B : une mise au point sur quelques idées reçues, notamment sur le Privacy Shield américain s'impose. Bonus : la checklist pour être conforme en infographie !