La place prépondérante de la data a changé beaucoup de choses ces dernières années dans la vie des organisations. Néanmoins, qu’un texte réglementaire impose la création, ex nihilo, d’une nouvelle fonction dans l’entreprise, c’est une grande première et c’est le cas pour le Data Protection Officer, le Délégué à la Protection des Données. En l’occurrence, c’est le RGPD (Règlement Général sur la Protection des Données) qui va être concrètement mis en place dans les entreprises à l’échéance de fin mai 2018 qui détermine l’emploi de ce DPO. Pour être tout à fait honnête, la fonction existait déjà : c’était le Correspondant Informatique et Libertés (CIL) mais elle n’avait aucun caractère obligatoire, c’était une fonction de référent (c’est-à-dire qu’elle était occupée par un salarié titulaire d’un autre poste à temps plein, il faisait donc fonction de) et seules les entreprises qui avaient la maturité nécessaire, qui plus est dans un secteur sensible ou propice à des débats sur le sujet en était pourvues (les grands annonceurs par exemple) Cette fois-ci, aucune organisation traitant des grandes masses de données dites sensibles ne pourra échapper à cette obligation. Avec des sanctions potentiellement très lourdes en cas de non-respect de la réglementation (amendes pouvant s’élever jusqu’à 4% du CA) la motivation est toute trouvée. Pour autant, le recrutement d’un tel profil ne s’improvise pas et se prépare en amont. 2 raisons principales à cela : d’une part, le profil, à mi-chemin entre le juridique et la connaissance des enjeux de la data, est hybride et ne court pas les rues et d’autre part, le CIL ne pourra pas être nommé DPO. Par ailleurs, il n’y a pas encore, à ce jour, de formation ni de diplôme spécifique pour cette fonction. Une fois celui-ci recruté, se posera la question de savoir de quelle hiérarchie il dépendra dans l’entreprise. En effet, en fonction de l’activité, de la taille ou de la maturité de cette dernière, son positionnement ne sera pas forcément le même. Est-ce l’aspect juridique qui l’emportera ou est-ce l’aspect data ? Le Data Protection Officer sera-t-il au COMEX ou sera-t-il simplement un sidekick au sein de la direction marketing ou de la direction informatique ? Pour être parfaitement précis sur le sujet, c’est l’article 37 du règlement qui stipule que les organismes chargés de traiter des données devront désigner « en tout état de cause un délégué à la protection des données lorsque :
- « Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles
- « Les activités de base du responsable du traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées
- « Les activités de base du responsable du traitement consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales.