La place prépondérante de la data a changé beaucoup de choses ces dernières années dans la vie des organisations. Néanmoins, qu’un texte réglementaire impose la création, ex nihilo, d’une nouvelle fonction dans l’entreprise, c’est une grande première et c’est le cas pour le Data Protection Officer, le Délégué à la Protection des Données.
En l’occurrence, c’est le RGPD (Règlement Général sur la Protection des Données) qui va être concrètement mis en place dans les entreprises à l’échéance de fin mai 2018 qui détermine l’emploi de ce DPO.
Pour être tout à fait honnête, la fonction existait déjà : c’était le Correspondant Informatique et Libertés (CIL) mais elle n’avait aucun caractère obligatoire, c’était une fonction de référent (c’est-à-dire qu’elle était occupée par un salarié titulaire d’un autre poste à temps plein, il faisait donc fonction de) et seules les entreprises qui avaient la maturité nécessaire, qui plus est dans un secteur sensible ou propice à des débats sur le sujet en était pourvues (les grands annonceurs par exemple)
Cette fois-ci, aucune organisation traitant des grandes masses de données dites sensibles ne pourra échapper à cette obligation. Avec des sanctions potentiellement très lourdes en cas de non-respect de la réglementation (amendes pouvant s’élever jusqu’à 4% du CA) la motivation est toute trouvée.
Pour autant, le recrutement d’un tel profil ne s’improvise pas et se prépare en amont. 2 raisons principales à cela : d’une part, le profil, à mi-chemin entre le juridique et la connaissance des enjeux de la data, est hybride et ne court pas les rues et d’autre part, le CIL ne pourra pas être nommé DPO.
Par ailleurs, il n’y a pas encore, à ce jour, de formation ni de diplôme spécifique pour cette fonction.
Une fois celui-ci recruté, se posera la question de savoir de quelle hiérarchie il dépendra dans l’entreprise. En effet, en fonction de l’activité, de la taille ou de la maturité de cette dernière, son positionnement ne sera pas forcément le même. Est-ce l’aspect juridique qui l’emportera ou est-ce l’aspect data ? Le Data Protection Officer sera-t-il au COMEX ou sera-t-il simplement un sidekick au sein de la direction marketing ou de la direction informatique ?
Pour être parfaitement précis sur le sujet, c’est l’article 37 du règlement qui stipule que les organismes chargés de traiter des données devront désigner “en tout état de cause” un délégué à la protection des données lorsque :
- “Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles”
- “Les activités de base du responsable du traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées
- “Les activités de base du responsable du traitement consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales”.
Il n’y a donc pas de notion de taille d’entreprise : Une TPE qui remplit tout ou partie des critères cités ci-dessus sera donc contrainte de nommer un DPO à partir du 25 mai 2018.
Au cours de la période transitoire que nous traversons, on a vu que la fonction était souvent prise ne charge par des « pseudo-DPO » ( cela dit sans vouloir dévaluer leur travail) mais le profil du futur DPO est encore à déterminer et sera certainement amené à s’adapter aux impératifs spécifiques de l’entreprise, soit en fonction de son activité (on l’a évoqué plus haut) soit en fonction des projets menés en son sein : gouvernance, sécurité des données, compliance, mais aussi gestion et traitement des données, etc.
Bon à savoir : concernant les organismes publics, le poste de Data Protection Officer pourra être mutualisé comme c’est le cas actuellement pour le CIL. L’étendue de cette mutualisation au secteur privé n’est pas encore très claire mais cela peut faire sens pour les petites structures.
Si le sujet vous intéresse, vous pouvez trouver de nombreuses informations sur le site de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).