Tout savoir sur le DPO (Délégué à la Protection des Données)
En notre époque ultra-connectée, de nouvelles sources de valorisation sont apparues sur le marché. Si les produits et les services restent des valeurs essentielles, les données génèrent, elles aussi, une convoitise générale de la part des entreprises. Alors que tous les aspects de la société sont en pleine transition numérique, les données apparaissent en effet comme l’or de notre temps. Elles font donc l’objet de transactions, de spéculations et d’investissement. Car connaître sa cible, c’est pouvoir anticiper ses désirs et cette connaissance est certainement ce qu’il y a de plus précieux pour les vendeurs.
Il est important de comprendre que le numérique a bouleversé en profondeur les pratiques marchandes. Désormais, tout peut s’acheter en pianotant sur un clavier ou un écran. Le e-commerce est d’ailleurs voué à supplanter toute autre forme de relation transactionnelle dans un laps de temps très court. Mais l’utilisation généralisée des outils numériques laisse des traces et ces données sur les clients se devaient d’être protégées. Avec la mise en place de le RGPD en mai 2018, l’autorité européenne visait à renforcer les droits des citoyens sur leurs données, mais aussi à obliger les entreprises à de nouveaux comportements plus vertueux. Et certaines se doivent désormais de désigner un Délégué à la Protection des Données. Explications.
Le DPO, un nouvel acteur important au sein des entreprises
Avec le RGPD, pour Règlement Général sur la Protection des Données, l’Union Européenne a défini les contours d’un cadre juridique continental fixant les règles en matière de contrôle, de traitement et de protection des données personnelles. Pour les citoyens, c’est ainsi l’assurance de pouvoir accéder à leurs données stockées par les entreprises, de les rectifier si nécessaire et de faire valoir leur droit à l’oubli. Pour les entreprises, cela signifie que de nouvelles pratiques doivent être intégrées à leur fonctionnement numérique. On pense notamment à la réglementation sur les cookies, l’obligation de faire apparaître les mentions légales sur leur site et bien sûr la désignation d’un Délégué à la Protection des Données.
Le RGPD implique un certain nombre de contraintes pour les entreprises. Il était donc important de déléguer la planification, la gestion et le suivi de cette transition nécessaire. C’est ainsi qu’a été créé le poste de DPO. Celui-ci a pour vocation d’accompagner le changement en interne et surtout de s’assurer que le traitement des données amassées par l’entreprise pendant l’exercice de son activité respecte bien toutes les directives fixées par le RGPD. C’est donc un rouage essentiel de la transition numérique dans toutes les entités obligées d’en désigner un.
Le Délégué à la Protection des Données est-il obligatoire ?
Au sein du RGPD, c’est l’article 37 qui définit pour quelles structures la désignation d’un Délégué à la Protection des Données est obligatoire. Sont ainsi nommés les autorités publiques et organismes publics, comme les écoles, les hôpitaux ou ministères, les entreprises dont l’activité principale exige un suivi régulier et systématique des personnes à grande échelle, notamment les banques ou compagnies d’assurance, ainsi que les entreprises traitant des données sensibles à grande échelle, telles celles relatives à la santé, aux opinions politiques, à l’origine raciale ou encore à l’appartenance syndicale.
De manière plus générale, on peut dire que toute structure de plus de 250 salariés qui traite des données personnelles tout en étant établie au sein de l’Union Européenne ou exerçant une activité à destination des ressortissants de l’Union Européenne est concernée par le RGPD. On notera par exemple que même les associations sont concernées si elles traitent des données personnelles de leurs membres. Sachez aussi la réglementation reste assez floue. Par exemple, il n’existe pas de seuil fixe de volume de données au-delà duquel l’entreprise doit obligatoirement désigner un DPO. Chaque cas doit donc être étudié à part.
Les compétences nécessaires au DPO
Le Délégué à la Protection des Données est ainsi obligatoire pour de plus en plus de structures avec la numérisation exponentielle de la société. Pourtant, il n’existe toujours pas de formation DPO spécifique. Le RGPD nous dit que sa désignation doit de se faire sur la base de critères tels que ses qualités professionnelles, ses connaissances spécifiques et sa capacité à exécuter ses missions. La plupart des entreprises optent donc pour la nomination d’un individu en interne, mais sachez aussi qu’il est possible d’avoir recours à un prestataire externe pour réduire les coûts, comme c’est souvent le cas dans les organismes publics.
La CNIL a mené une enquête sur les profils des DPO en poste et il s’avère que plus de 40% d’entre eux présentent un profil administratif, issu de la finance, de l’audit ou de la conformité. Ce qui est assez logique puisque l’on attend de lui qu’il dispose de connaissances juridiques bien sûr, mais aussi de compétences en matière de compréhension des systèmes d’information, des nécessités de protection des données ou encore d’une capacité à communiquer efficacement.
Missions et obligations du Délégué à la Protection des Données
Les missions du Délégué à la Protection des Données sont définies par le RGPD. Celles-ci consistent fondamentalement en la surveillance des pratiques de l’entreprise concernée en matière de traitement des données personnelles. Il doit donc informer et conseiller le service, ou le sous-traitant, en charge de la collecte et du traitement des données, s’assurer de l’application stricte de la RGPD en matière de protection des utilisateurs et être force de proposition auprès de sa structure pour étudier le mode de traitement des données et l’optimiser si nécessaire.
Il doit aussi coopérer avec la CNIL quand cela est nécessaire et être le porte-parole de l’entreprise lorsque celle-ci est en relation avec un interlocuteur sur le sujet des données personnelles. Le statut du DPO est donc un statut mixte. Il est à la fois celui qui doit évaluer la qualité du traitement des données, mais aussi celui qui doit proposer des actions pour se conformer aux directives du RGPD. Il est aussi de responsable de la gestion des risques associés. Enfin, il se fait l’organisateur du changement en interne et doit s’assurer de conserver les documents prouvant les efforts de conformation de l’entreprise en cas de contrôle. Il est donc un élément essentiel à la prospérité de l’entreprise !
Le RGPD et les perspectives pour les entreprises
Le RGPD implique de nombreux changements dans les entreprises qui n’ont pas su anticiper le mouvement. Néanmoins, comme toute crise structurelle, cette obligation de conformation peut aussi être considérée comme une opportunité d’optimisation. En effet, mettre en avant les efforts de protection des données des utilisateurs peut tout à fait être utilisé comme un levier marketing auprès des consommateurs. D’autant que ceux-ci sont de plus en plus intéressés par cette protection numérique. C’est pourquoi toutes les entreprises ambitieuses devraient avoir à cœur de mettre leur Délégué à la Protection des Données dans les meilleures conditions pour travailler.
Pour exercer son activité, le DPO a notamment besoin d’indépendance. En effet, sa mission consiste autant en le contrôle des activités qu’en la veille du respect des directives. Il est à la fois le moteur du changement et le gendarme interne. Assurez-vous donc toujours que la désignation du DPO ne génère pas de conflit d’intérêt. Par ailleurs il faudra s’assurer que le DPO dispose de suffisamment de temps pour accomplir sa mission, lui donner tous les accès à l’information et les moyens nécessaires. Enfin, il faudra aussi s’assurer que sa position au sein de l’entreprise ou de l’organisme facilite l’exercice de son activité. Une bonne connaissance des rouages de la structure dans laquelle il évolue sera souvent un plus, même si parfois une personne extérieure, dénichée par exemple dans un page jaune inversé, disposera de plus de liberté d’action.
