DPO, une fonction pilier pour la protection des données personnelles

Qui est le DPO ? Derrière l’acronyme anglais de Data Protection Officer se trouve une personne au rôle central en matière de protection des données. Garant·e de la conformité au Règlement général sur la protection des données (RGPD ou GDPR en anglais pour General Data Protection Regulation), elle·il est chargé·e de veiller à sa bonne application.

Chargé·e de la protection des données à caractère personnel et de la veille informatique au sein de son organisation, la·le DPO est un métier multifacette. Quelles sont les responsabilités de ce profil 2.0, aux compétences aussi bien juridiques qu’informatiques ?

Pour mieux le connaître, découvrez sans plus attendre sa définition, son rôle, l’exercice de ses missions et les formations disponibles pour devenir ce·tte « champion·ne des données » !

Les DPO (Data Protection Officer) ou DPD (Délégué à la protection des données) sont des personnes nommées au sein d’une entreprise ou d’un organisme public pour assurer la conformité des traitements de données à caractère personnel avec le Règlement européen sur la protection des données, en vigueur depuis mai 2018.

La désignation de ce « super contrôleur » du traitement des données est l’une des mesures majeures figurant dans le Règlement, destinées aux organisations dont les activités touchent à la protection des données personnelles.

La fonction de DPO succède à celle de Correspondant Informatiques et Libertés (CIL), qui voit son périmètre de compétences s’élargir (notamment en matière d’évaluation des risques). Interlocuteur de la CNIL, il est impliqué dans toutes les problématiques liées à la protection des données personnelles et a pour rôle de faciliter la mise en conformité des activités de l’organisation dans ce domaine.

Selon les activités et l’organisation interne de la structure, le DPO peut être :

• une personne membre de l’organisation qu’il conseille (collaborateur dans l’entreprise, par exemple) ;
• une personne désignée pour le compte de plusieurs organismes : sa place est mutualisée pour différentes structures ;
• un consultant extérieur ou un juriste.

ℹ️ Le recours à un des prestataires est une alternative intéressante, mais n’est pas indispensable si la fonction peut être occupée en interne par un collaborateur possédant les qualifications requises.

Tout dépend de la taille et de l’organisation de votre structure, de la charge de travail de vos ressources concernées, ou de votre décision de recruter directement la personne compétente.

Dans tous les cas, le DPO doit être pourvu des moyens nécessaires au bon accomplissement de sa mission, en toute indépendance.

La désignation par le responsable de traitement et ses sous-traitants d’un délégué à la protection des données est obligatoire dans certaines conditions, précisées à l’article 37 du Règlement, lorsque :

• le traitement est effectué par une autorité ou un organisme public ;
• les activités de l’organisation impliquent un suivi régulier et systématique des personnes, à grande échelle ;
• les activités de l’organisation induisent le traitement à grande échelle des données sensibles (comme celles ayant trait à la santé, à la religion, à la vie politique et syndicale d’une personne par exemple).

L’entreprise ou l’organisation doit nommer le délégué à la protection de données, mais cela ne passe pas nécessairement par une mise à l’écrit. En revanche, l’autorité de contrôle doit en être informée et pouvoir accéder facilement aux coordonnées de la personne désignée.

💡 Dans le cas où le responsable de traitement remplit tous les critères de désignation obligatoire, le sous-traitant n’a pas l’obligation de nommer un DPO, et inversement.

Le DPO est la personne de référence en matière de protection des données : elle·il veille à la conformité des activités de l’organisation avec le RGPD et réceptionne toutes les demandes touchant de près ou de loin à la protection des données.

Voici ses principaux rôles au sein de l’entreprise ou de l’organisme au sein duquel elle·il a été désigné·e :

• relayer toutes les informations en matière de traitement des données à caractère personnel auprès de l’ensemble des équipes ;
• vérifier le respect du règlement européen, ainsi que du droit français en matière de protection des données ;
• conseiller l’organisation dans sa démarche de mener une analyse d’impact relative à la protection des données (AIPD) et contrôler sa mise en œuvre ;
• être le point de contact de toutes les personnes concernées (collaborateurs, clients, partenaires, etc.) en cas de question ;
• coopérer avec une autorité de contrôle nationale, comme la CNIL.

Ses fonctions peuvent être retrouvées :

• sur la fiche de poste DPO ou la lettre de mission type mises à disposition des entreprises sur le site de l’AFCDP (Association française des données personnelles),
• dans les guidelines publiées par le G29, le groupe des autorités de contrôle européennes.

La·le DPO exerce des fonctions transverses dans l’entreprise, mêlant tout à la fois communication, diplomatie et gestion de projets. Ses activités s’articulent autour de trois missions principales, à savoir :

✔︎ Information et communication

• communiquer en interne sur son rôle et son statut ;
• effectuer une veille sur des sujets relatifs aux données personnelles (juridique, technique, sectoriel, etc.) et à la sécurité des systèmes d’information ;
• sensibiliser les responsables de traitements, les directions et les collaborateurs ;
• animer des formations, déclinées selon les services concernés ;
• établir une documentation.

✔︎ Cartographie des processus

• cartographier les traitements ;
• évaluer les risques ;
• établir le registre ;
• organiser les procédures internes.

✔︎ Mise en conformité

• coordonner les chantiers de mise en conformité des traitements existants ;
• contrôler l’exécution ou piloter toutes les actions participant à évaluer le degré de conformité des traitements de données à caractère personnel ;
• mener des audits pour relever d’éventuels cas de non-conformité ;
• vérifier le respect du cadre légal et l’application de bonnes pratiques en matière de protection des données personnelles ;
• alerter sur les risques de violation des données.

☝️ Notons que souvent, un DPO exerce ses missions à temps partiel (seuls 54,8 % sont à temps complet, mi-temps ou plus).

Des ressources et de la documentation en ligne :

• Le règlement général sur la protection des données,
• Les fiches pratiques de la CNIL,
• Tout savoir sur l’AIPD.

Des logiciels pour aider le DPO dans ses missions :

• Adequacy,
• DPO.run,
• RGPD Manager.

Cette fonction clé de l’entreprise, si récente soit-elle, peut être considérée comme un métier à part entière comme l’estiment 89 % des DPO.

Les DPO peuvent être issus de différentes formations, dans les domaines technique, juridique et de gestion des risques. Ces personnes sont principalement des informaticiens (34,9 %) ou des juristes (31,1 %), avec une diversité pour les autres profils (34 %) (d’après une étude de l’AFPA pour le Ministère du Travail).

Pour pouvoir appréhender ses fonctions, la·le DPO doit avoir des connaissances spécialisées en droit de la protection des données personnelles, mais aussi une base solide en informatique.

Il va de soi que la·le DPO se doit de bien connaître l’organisation dans laquelle elle·il travaille et ses procédures en interne, en lien avec les différents services impliqués : marketing, RH, produit, juridique, métiers, etc.

Tout·e aspirant·e au poste de DPO peut se former, entre autres, grâce à :

• un Mastère spécialisé, comme celui de l'ISEP Management et Protection des Données Personnelles, première formation longue de DPO à l’échelle européenne,
• une certification sur la base du référentiel CNIL,
• une formation Informatique et Libertés ou RGPD reconnue,
• une formation métier ou sectorielle spécifique.

Le site de l’AFCPD recense de manière plus exhaustive les formations diplômantes conduisant à ce métier. Il faut savoir que le Ministère du Travail est encore à l’œuvre pour professionnaliser cette fonction.

Ce métier étant encore récent, les niveaux de rémunération sont relativement variables. Selon l’AFCDP, le salaire brut mensuel se placerait entre 2 500 et 4 000 €. Cela varie évidemment en fonction de la taille de l’entreprise, les responsabilités dont elle·il a la charge, et le degré de risque associé.

Si la désignation d’un·e DPO est une contrainte pour certaines entreprises, elle est aussi possible volontairement, même si les critères de désignation obligatoire ne sont pas remplis. Elle s’accompagne de nombreux bénéfices :

• Vous garantissez la sécurité juridique de vos activités, et réduisez les risques de contentieux sur les plans contractuel, juridique ou administratif.
• Vous renforcez la sécurité informatique et prenez de meilleures décisions stratégiques, tout en consolidant vos procédures internes pour la protection des données.
• Vous rassurez vos clients, partenaires, fournisseurs et autres parties prenantes au regard de votre traitement responsable des données.

Rappelons que le DPO est un avant tout un coordinateur en interne et un relais en externe avec l’autorité de contrôle et les personnes concernées, et n’est pas responsable de la conformité au RGPD en place et lieu du responsable de traitement ou du sous-traitant. Son rôle est avant tout stratégique.

Et vous, avez-vous choisi votre délégué·e à la protection des données ?