Découvrez le rôle du Data Protection Officer, nouveau profil apparu avec la montée de la data, qui est le garant de la protection des données organisationnelles et de la supervision de la mise en conformité du Règlement Général sur la Protection des Données (RGPD).
Le rôle du Data Protection Officer : pourquoi est-il indispensable en entreprise ?
Le Délégué à la Protection des Données (DPD en français) est le responsable de leur sécurité, prérequis du RGPD. Ces responsables sont chargés de superviser la stratégie de protection des données et la mise en œuvre de celle-ci afin d’assurer la conformité de l’entreprise à la loi.
Présenté par le Parlement européen, le Conseil européen et la Commission européenne pour renforcer et rationaliser la protection des données personnelles des citoyens de l’Union européenne, le RGPD appelle à la nomination d’un DPO. Cette nomination est obligatoire pour toute organisation qui traite ou stocke de grandes quantités de données personnelles, pour les employés, les personnes extérieures à l’organisation ou les deux. Les Data Protection Officers doivent être «désignés pour toutes les autorités publiques et lorsque les activités de traitements ou de transformation de la donnée impliquent un suivi régulier et systématique des personnes concernées à grande échelle» ou encore lorsque l’entité procède à un «traitement à grande échelle de données».
Les responsabilités et exigences du métier
Comme indiqué dans l’article 39 du RGPD, les responsabilités du DPO comprennent, sans s’y limiter, les suivantes :
- Éduquer l’entreprise et les employés sur les exigences de conformité des données.
- Former le personnel impliqué dans le traitement des données
- Mener des vérifications pour assurer la conformité et aborder les problèmes potentiels de manière proactive.
- Servir de point de contact entre l’entreprise et les autorités de surveillance de la donnée (CNIL etc…)
- Surveiller les performances et fournir des conseils sur l’impact des efforts de protection des données.
- Tenir des registres complets de toutes les activités de traitement des données menées par l’entreprise, y compris l’objet de toutes ces activités de traitement, qui doivent être rendues publiques sur demande.
- Interagir avec les personnes concernées pour les informer sur l’utilisation de leurs données, leurs droits à l’effacement et les mesures mises en place par l’entreprise pour protéger leurs informations personnelles.
Le RGPD n’inclut pas une liste spécifique de qualifications pour devenir DPO, mais l’article 37 exige qu’un agent de protection des données ait une «connaissance experte des lois et pratiques de protection des données». Le règlement précise également que l’expertise du DPO doit être en accord avec les opérations de traitement des données.
Les Data Protection Officers peuvent être un contrôleur ou un employé de l’équipe de transformation digitale et des données, et les organisations associées peuvent utiliser la même personne pour superviser la protection des données collectivement. Tout cela à condition que toutes les activités de protection des données soient gérées par la même personne et que le Délégué à la Protection des données (DPO ou DPD) soit facilement accessible par les organisations connexes si nécessaire. L’information de la nomination du DPO doit être publiée publiquement et fournie à tous les organismes de surveillance externes à l’entreprise.
Comment trouver votre futur DPO ?
Parce que les entreprises qui traitent les données des citoyens de l’UE sont soumises au RGPD même si elles ne sont pas situées dans l’UE, une étude prédit que 28.000 DPO seront nécessaires pour que les organisations politiques et les entreprises soient conformes. Lorsque la loi entrera en vigueur en mai 2018, les entreprises et organisations devront avoir leur Data Protection Officer en place avant l’entrée en vigueur du règlement. Il est donc important de commencer à recruter des DPO dès que possible afin d’embaucher les professionnels les plus qualifiés ou de rapidement les former pour ce poste, car la pression sur ces profils augmente plus la date butoir se profile.
Pour embaucher le bon DPO, vous devez vous assurer qu’il possède une expertise en matière de droit et de pratiques en protection des données. En parallèle, une compréhension complète de votre infrastructure informatique, de votre technologie et de votre structure technique et organisationnelle sont aussi requises. Vous pouvez désigner un de vos employés comme votre DPO, ou en engager un externe. Les entreprises doivent rechercher des candidats capables de gérer la protection des données et leur conformité en interne tout en signalant la non-conformité aux autorités de surveillance compétentes.
Idéalement, votre DPO devra avoir d’excellentes compétences en gestion et être en mesure d’interagir facilement avec le personnel interne à tous les niveaux, ainsi qu’avec les autorités extérieures.