Conseil

Portrait-robot du DPO

Le Data Protection Officer (DPO ou délégué à la protection des données) est un acteur clé de la mise en conformité des organismes aux obligations du RGPD. Considéré « comme un mouton à cinq pattes », son profil requiert des connaissances et des qualités variées.

Qu’est-ce qu’un DPO ?

Le DPO remplace les correspondants informatiques et libertés (CIL) qui existent depuis 2004. Alors qu’en France, environ 20 000 organismes ont désigné un CIL, le RGPD impose la désignation d’un DPO dans certaines situations :

  • Lorsque le responsable du traitement dépend du secteur public ;
  • Lorsque les activités de base du responsable du traitement consistent en des opérations qui nécessitent un suivi régulier et systématique à grande échelle des personnes concernées tel que le profilage ;
  • Lorsque les activités de base du responsable du traitement consistent en un traitement à grande échelle des données que le règlement qualifie de sensibles.

Dans les autres situations, la désignation d’un DPO n’est pas obligatoire mais fortement encouragée. En réalité, la mise en conformité au règlement n’est pas la seule mission qui incombe au DPO. Il dispose également d’une mission d’information et de conseil auprès des différents collaborateurs et doit veiller au respect des obligations en lien avec la protection des données. De plus, il fait office de point de contact avec la CNIL et doit coopérer avec celle-ci si besoin. Sur le plan opérationnel, il doit être en mesure d’identifier les zones de non-conformité et d’effectuer un contrôle permanent.

Le profil idéal de votre DPO

Le délégué est désigné sur la base de ses qualités professionnelles et de sa capacité à remplir ses missions. Si vous êtes amenés à désigner un DPO dans votre structure, sachez que le profil du DPO est un mélange entre des fonctions sensiblement différentes telles que juridiques, techniques et organisationnelles. Votre DPO idéal doit disposer de :

  • Connaissances juridiques : une formation juridique de base et une maîtrise des législations relatives à la protection des données et celles spécifiques au secteur d’activité de l’organisme pour lequel il travaille.
  • Connaissances techniques : une maîtrise des systèmes d’information afin de comprendre les différentes mesures de sécurité prises. Ces connaissances sont impératives pour assurer la sécurité des traitements de données personnelles par rapport au besoin de votre entreprise.
  • Connaissances du secteur d’activité ou des métiers : une connaissance du secteur d’activité ou des différents métiers traitant des données personnelles afin de comprendre l’utilisation des données au sein de l’organisme même si le règlement ne précise pas le niveau d’expertise exigé.
  • Qualités professionnelles  : une aptitude professionnelle pour mener à bien ses missions. Le DPO doit disposer d’une expérience en matière de gestion de projet et être être un bon communicant afin de pouvoir travailler avec les différents collaborateurs de votre organisme. Dans l’hypothèse où le DPO exerce son poste à temps partiel, il ne doit pas exercer une fonction qui rentrerait en conflit d’intérêts avec ses fonctions de délégué telles que Directeur des Ressources Humaines, ou bien Directeur des Systèmes d’Informations.

En réalité, vous devez apprécier le profil de votre DPO au regard de votre activité, de votre organisation interne, de votre budget et des différents traitements de données personnelles effectués. Le cabinet INQUEST peut vous accompagner dans la démarche de désignation de votre DPO et faire de cette désignation un véritable avantage concurrentiel pour votre organisme.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

2 commentaires