DPO_43865024190_38f66406ab_o

Depuis le 25 mai 2018, les établissements de crédit ont dû désigner un Délégué à la protection des données personnelles (DPO[1]) pour se mettre en conformité avec le règlement européen sur la protection des données personnelles (RGPD)[2]. Cette nouvelle fonction s’inscrit dans le cadre de l’évolution rapide des nouvelles technologies et usages associés, mais aussi dans la volonté des autorités de contrôle d’installer au sein des organisations un acteur central dans la mise en place de la nouvelle gouvernance de la data.

Le RGPD  donne quelques principes[3] dans la désignation d’un DPO mais ne donne pas de profil type. Néanmoins, le groupe des CNIL européennes (G29) – aujourd’hui le Comité européen de la protection des données[4] – nous donne quelques éléments dans ses lignes directrices du 5 avril 2017[5] consacrées à cette nouvelle fonction.

Un mouton à cinq pattes ?

Au niveau de ses qualifications, le DPO devra posséder de solides connaissances juridiques, spécialement dans le domaine des législations nationales, européennes et internationales en matière de protection des données ,ainsi que des connaissances du secteur d’activité, métier, et sécurité SI.

En matière de savoir-être, on attendra de lui une aptitude à bien communiquer, d’être pédagogue, d’avoir un sens aigu de la rigueur, un esprit d’analyse, une grande réactivité et des capacités à manager une équipe.

Ses fonctions seront multiples et variées : dans son activité, il devra conseiller, informer, organiser, accompagner, piloter, traiter, vérifier, contrôler, former, documenter,  mettre en place, mettre en œuvre, évaluer, diffuser, veiller, animer et sécuriser.

Son indépendance est une condition indispensable pour qu’il puisse assurer ses différentes missions au sein de son organisation.

Quel positionnement ?

Mais au-delà de ses compétences et de ses qualités professionnelles, son principal défi sera sans aucun doute son positionnement au sein de la structure. Comment va–t-il incarner sa future fonction entre les différentes Directions et les responsables de traitement, surtout s’il est DPO externe à l’organisation ? Comment va-t-il gérer d’éventuels conflits d’intérêts ? Dans l’adversité, comment devra-t-il agir pour exercer ses missions en toute indépendance et affirmer son autorité ? Aura-t-il le temps nécessaire pour l’exécution de ses missions ? Pourra-t-il être lanceur d’alerte s’il constate des violations ou pratiques non conformes ? Quelle sera son statut ?

C’est tout l’enjeu de cette nouvelle fonction qui place le DPO comme un véritable « Chef d’orchestre » stratégique au sein de la structure et de la gouvernance de l’organisation.

Il pourra s’estimer avoir réussi son intégration lorsqu’il aura obtenu la confiance de ses interlocuteurs et qu’il aura démontré que la protection des données n’est pas une contrainte, mais une opportunité.

En développant une culture de protection de la donnée, le DPO, par son action, permettra à l’organisation de fortifier la relation de confiance avec ses clients et ses partenaires.

En savoir plus :

Pour aider une organisation à désigner un délégué à la protection des données, l’Association Française des Correspondants à la protection des Données Personnelles (AFCDP) a publié sur son site :

Afin de permettre l’identification des compétences et savoir-faire du délégué à la protection des données (DPO), la CNIL a adopté deux référentiels en matière de certification de DPO.

Enfin, La CNIL vient de lancer le 11 mars 2019 une formation en ligne sur le RGPD. Le module 4 traite dans sa première partie du DPO.

 

[1] Data Protection Officer en anglais (DPO)- doit remplacer le correspondant informatique et libertés (CIL).

[2] Les cas de nomination obligatoire sont précisés dans l’article 37 – 1 du RGPD.

[3] Article 37-5 du RGPD

[4] https://edpb.europa.eu/

[5] https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048