Data Protection Officer, le marathonien de la conformité des données personnelles

20/06/2018, publié par Amélie Coyette

Il y a tout juste un mois, le Data Protection Officer (DPO pour les intimes) passait son baptême du feu lors de l’entrée en vigueur du désormais célèbre RGPD (règlement général sur la protection des données personnelles). Mais loin d’être le point d’arrivée, le 25 mai dernier était plutôt une ligne de départ pour que les entreprises s’assurent désormais au quotidien, dans l’ensemble des projets qu’elles mènent, du respect de la protection des données personnelles. Est-ce à dire que la fonction de Data Protection Officer va s’installer au sein des entreprises ?

Qu’on se le dise : depuis le 25 mai dernier, l’agenda du Data Protection Officer est loin d’être vide. Mais alors quel est désormais son rôle, ses missions, son calendrier ? De fait, il convient plutôt de parler de DPO au pluriel. La variété des domaines d’activités entraîne une diversité de besoins, d’attentes et de missions. Les secteurs les plus cadrés et les plus “carrés” sont in fine peu impactés par l’entrée en vigueur du RGPD. Que ce soit le secteur de la santé, qui vit et respire déjà réglementaire et ne devrait guère voir de changement à ses pratiques en matière de données personnelles. La banque et le secteur de l’assurance n’auront pas de mal non plus à intégrer les nouvelles obligations à leurs process de conformité interne. Le bât blesse sans doute davantage dans des secteurs bien moins structurés, préparés et réactifs, contraignant ainsi le Data Protection Officer à déployer à plein ses capacités pour accélérer la mise en conformité. Sans vouloir pointer du doigt, disons que les cordonniers (publics)1 seront probablement les plus mal chaussés…

Data Protection Officer, une légitimité en devenir

La taille de l’entreprise module, elle aussi, fortement le rôle et la place du Data Protection Officer. Les grandes entreprises ont a priori conscience des enjeux réglementaires et de l’apport d’un métier dédié à la nouvelle réglementation. Quoique… il était “amusant” de relever le nombre d’offres de contrats à durée déterminée, s’achevant au 25 mai 2018. Comme s’il n’y allait plus rien avoir à faire par la suite… Il semble en tout cas moins évident pour une TPE ou une PME d’identifier l’intérêt concret de la fonction pour son activité et de recruter en conséquence, ne serait-ce que pour des raisons budgétaires. Et pourtant, dans le nouveau cadre réglementaire européen, sa mission est désormais essentielle à toutes les entreprises. S’il n’a pas pour principal objectif les 100 % de conformité – certaines contraintes inhérentes aux process en place rendant la tâche souvent trop ardue – le Data Protection Officer veille quotidiennement à sensibiliser l’ensemble des équipes, en particulier celles en contact avec les clients, potentiellement soumis à une forte demande d’exercice de droits (et surveillés de près par la CNIL). Il s’assure également de l’évolution durable des mentalités et des pratiques, afin que la case RGPD soit cochée dès le lancement de tout nouveau projet. La mise en conformité globale se fait donc dans une logique d’amélioration continue, via des audits, des bilans et des corrections, si nécessaire. En ayant toujours à l’esprit que la CNIL peut prendre des sanctions en cas de non-respect des obligations légales, et que la conformité joue également sur l’image de marque de l’entreprise2.

Recherche Data Protection Officer désespérément

80 000 postes3 pour 18 000 DPO recensés en janvier 2018 : Data Protection Officer est l’un des profils professionnels les plus recherchés en 20184 ! L’anticipation a été tardive, si bien que les cursus dédiés sont en nombre insuffisants même s’ils se multiplient. Certaines formations (continues) sont conçues pour autoriser une activité professionnelle à côté. Et si la CNIL a abandonné son label Gouvernance informatique et liberté, une certification se profile qui pourra être menée par des organismes tiers mandatés pour certifier une entreprise ou un Data Protection Officer. Avis aux candidats, qu’ils soient d’anciens CIL ou toute personne ayant de bonnes connaissances des métiers de l’entreprise et de préférence geek, juridique friendly, adroit en conduite du changement et doté d’une pointe de pédagogie. Mon conseil : opter pour une formation longue, qui assure de pouvoir répondre aux missions actuelles et futures du poste. Car force est de constater que le rôle du DPO va évoluer selon la sensibilité, la complexité des traitements et le volume de données gérées. Plus ces indicateurs seront à la hausse, plus son expertise devra elle aussi s’élever. Le DPO n’a pas réponse à tout. Il doit rechercher, hésiter, se faire une conviction, la défendre et la mettre en œuvre. Il doit surtout continuer à se former et renforcer ses compétences à mesure qu’il s’intègre au fonctionnement de l’entreprise, à son évolution et au type de données brassées pour répondre aux besoins des différentes équipes et participer pleinement au développement du business… Tout en gardant en tête sa mission première, ce pourquoi il a été “créé” : protéger les données des consommateurs !

La loi Lil 2 votée ce 20 juin 2018 contenait dans son projet initial une proposition de recours possible du Data Protection Officer auprès de la CNIL, proposition qui n’a finalement pas été retenue, donc aujourd’hui encore plus qu’hier, le DPO doit être capable de s’adapter aux contraintes et spécificités de l’entreprise pour laquelle il travaille. Et pour cela, ses principales qualités seront patience, pédagogie, patience, rigueur, patience, organisation, patience, persévérance… sans oublier une flexibilité à toute épreuve.

1Acteurs Publics TV – Céline Colucci : “Les collectivités ne sont pas prêtes pour le RGPD” – 23 mai 2018
2CNIL – DARTY : sanction pécuniaire pour une atteinte à la sécurité des données clients – Janvier 2018
3Cadremploi – Le RGPD va-t-il vraiment créer des postes cadres à 75 000 euros ? – Janvier 2018
4L’Usine Digital – En 2018, le poste le plus en vue sera… le Data Protection Officer ! – Janvier 2018