Si vous n’avez jamais entendu parler du DPO, peut-être que vous étiez sur une île déserte depuis 3 ans... alors il est peut-être temps de faire un focus sur cette fonction qui défraie la chronique (n’ayons pas peur des mots) depuis 2018 et même avant !
Le DPO, c’est le délégué à la protection des données personnelles, aussi appelé le Data Privacy Officer en anglais.
Ses missions sont définies par le Règlement général sur la protection des données (RGPD ou GDPR) entré en vigueur le 25 mai 2018.
Le DPO doit 1) informer et conseiller l’organisme traitant des données personnelles, 2) contrôler la conformité de l’entreprise avec le RGPD, 3) intervenir comme intermédiaire entre l’organisme, la CNIL et les personnes dont les données sont collectées.
Le RGPD prévoit l’obligation de nommer un DPO pour les autorités et organismes publics, pour les organismes qui sont amenés à réaliser des suivis réguliers et systématique des personnes à grande échelle (comme les banques ou les fournisseurs d’accès à internet par exemple) ou encore les organismes amenés à traiter à grande échelle des données dites "sensibles".
Mais en réalité, beaucoup de sociétés ont fait le choix de nommer un DPO “par précaution”... alors que d’autres (pourtant visées par le RGPD) sont encore à la traîne !
Le DPO peut être un juriste ou un membre des services informatiques voire même le DSI.
Il n’est pas rare pour un ancien-CIL (correspondant informatique et liberté) d’avoir pris naturellement la fonction de DPO mais avec un scope plus élargi et une fonction de contrôle.
En revanche, le DPO ne peut être membre du CODIR. Impossible d’être juge et partie !
Le Directeur juridique peut quant à lui être nommé DPO, car il n’est pas censé participer à la gestion des données personnelles.
Le DPO, c’est avant tout un mélange de savoir-faire technique (savoir faire un audit, une cartographie de la gestion de la data en interne, mettre en place des process, mettre en place des programmes de formation, sensibiliser, incarner la fonction de contrôle) et de savoir-être qui implique leadership, pédagogie et capacité de coordination, mais aussi une indépendance qui lui permet de jouer un quasi rôle de lanceur d’alerte.
Point extrêmement important, le DPO n’est pas seul, il travaille avec un réseau de relais en interne. Sinon la réalisation de ses missions serait impossible. Solitaires, s’abstenir !
Sur le marché on voit de tout, tous les cas de figure. Je vais donc vous éviter une liste à la Prévert et m’arrêter sur quelques exemples.
Certains responsables juridiques ont été nommés DPO contre leur gré et ils se sont vus rajouter encore cette nouvelle fonction en plus de tout le reste, parce qu’évidemment être juriste (et encore plus responsable juridique) ce n’est PAS DU TOUT prenant, surtout lorsqu’on est juriste unique par exemple ! Et alors qu’être DPO n’est évidemment PAS DU TOUT chronophage… bref, vous l’aurez compris, certains n’ont eu d’autre choix que d’ajouter ces responsabilités à leurs journées déjà bien chargées.
Pour d’autres, c’est une vocation. Oui, certains aiment les process, créer des formations, travailler avec l’IT pour mettre en place du e-learning, communiquer avec la CNIL…
Dans cette hypothèse, bonne nouvelle, il y a un marché ! Et le marché est bon sur ces fonctions :)
Beaucoup de sociétés n’ont en effet pas encore créé cette fonction (notamment les startups) ou d’autres cherchent à renforcer cette compétence en interne.
Premièrement, dédiez une personne à 100% sur ce sujet, dans la mesure du possible et si l’activité de la société le requiert.
Ou alors à 50% du temps. Il est tout à fait possible de recruter un profil qui intervient à la fois sur les sujets data et sur les sujets plus globaux de conformité.
J’ai récemment accompagné un client sur un tel recrutement et cette décision avait beaucoup de sens dans la structure.
Deuxièmement, choisissez un profil expérimenté, qui connaît le monde de l’entreprise et son fonctionnement. Cela permettra d’avoir quelqu’un qui prendra de la hauteur pour cette fonction très stratégique.
L’alternative de recourir à un DPO externalisé (auprès d’un cabinet d’avocat ou d’un prestataire de service spécialisé) n’est pas toujours préconisée par certains experts.
Mais elle peut arranger certaines structures qui n’ont pas le temps ni le budget de dédier une personne sur ce sujet.
Troisièmement, positionnez le DPO le plus haut possible au niveau hiérarchique. Cette fonction doit avoir le soutien de la direction, sinon son travail ne sera pas considéré en interne… qui dit mauvaise gestion de la protection des données personnelles, dit gare aux plaintes et aux contrôles CNIL !
Enfin, last but not the least, accordez une grande importance pour les soft skills (on y revient toujours, vous avez remarqué ?)
Un profil compétent techniquement sans leadership ni incarnation de la fonction aura peu de chance de faire un bon DPO !