Data Protection Officer : le métier de l’année
Depuis la mise en application du Règlement Général sur la Protection des Données (RGPD), le métier de Data Protection Officer (DPO) est en énorme évolution.
L’existence d’un DPO obligatoire
Dans une entreprise, le DPO est le garant de la protection des données personnelles, que ce soient celles des clients ou des salariés. De plus, l’article 37 du RGPD dit rendre obligatoire l’existence d’un DPO dans chaque entreprise qui réalise des opérations de traitement de données. Aucun plancher ni plafond de taille d’entreprise n’a été précisé par la directive européenne. Néanmoins toutes les entreprises ne sont pas concernées, par exemple les artisans car ils ne sont pas forcément amenés à traiter des données personnelles.
Pour les entreprises concernées, le DPO est le garant de la conformité du stockage et de l’utilisation des données et assume donc beaucoup de responsabilités. Le DPO fournit à la CNIL le recensement du type de données stockées (et non pas les données elles-mêmes). En cas de plainte d’un client, la CNIL pourra ainsi vérifier l’existence de procédures de gestion des données, leur conformité et leur respect.
En clair, sa mission consiste à se conformer aux nouvelles exigences règlementaires liées à l’évolution digitale. Pour cela, il travaille en étroite relation avec d’autres départements de l’entreprise. En effet, le Data Protection Officer est au contact de tous les membres de son entreprise, les salariés appellent le DPO notamment pour savoir si telle ou telle action respecte bien le RGPD. Il y a également des tâches qui ont été directement définies par le RGPD comme supprimer les données qui ne servent à rien pour l’entreprise.
Un DPO doit-être quelqu’un de très expérimenté ?
Le profil parfait d’un DPO c’est un tiers de juridique, un tiers d’informatique, un tiers d’organisationnel et de bon sens. Les profils juridiques doivent se former aux rudiments de la gestion de données et les profils plus informatiques doivent s’imprégner des obligations légales et réglementaires. Pour être efficace, le DPO doit savoir bien communiquer avec les différentes directions de l’entreprise et avoir une relation étroite avec les CIL (correspondant informatique et libertés), les juristes et les chefs de projet informatique.
Nous pensons chez Pérenne’IT que le Règlement Général sur la Protection des Données est bon pour le monde du numérique. Nous encouragerons les dirigeants à nommer un Data Protection Officer afin d’être assuré de la bonne tenue des données dans leur entreprise.
Pour les petites structures, un correspondant référent sera désigné, il est aussi possible de recourir à un service DPO externalisé auprès de prestataires spécialisés RGPD.