Tweets by TwitterDev " />

En général, toute augmentation de la réglementation a pour conséquence une baisse de l'adhésion des entreprises. C'est bien connu: le business veut juste faire du business  et toute nouvelle loi  est perçue comme une entrave à la marche des affaires.  Si de surcroît, cette législation implique un renforcement des mesures de sécurité, il devient difficile d'aligner les objectifs de l'Entreprise avec les exigences de conformité légale. 

C'est au Data Protection Officer (DPO) qu'incombe la recherche de ce subtil équilibre. Son rôle est d'informer et conseiller le responsable de traitement, ses sous-traitants et employés sur les mesures à adopter en matière de protection des données personnelles. Son objectif doit être d'amener son employeur à un niveau de conformité adéquat avec les lois en vigueur et le maintenir à long terme. Il doit aussi veiller à ne pas exposer l'entreprise à des risques par trop élevés en recommandant la réalisation d'analyses d'impact préalablement à tout nouveau projet impliquant le traitement de données personnelles. Enfin, il a pour tâche de coopérer avec l'autorité de contrôle et d'être le point de contact pour elle, comme pour toute personne concernée désirant exercer ses droits. D'un point de vue interne à l'organisation, c'est à cette fonction que revient la rédaction ou révision de directives, règlements et politiques liées aux processus de traitement des données personnelles. 

 

Compétences requises

Pour devenir DPO, il est important de réunir des compétences tant juridiques qu'informatiques ainsi que de disposer de bonnes qualités humaines et relationnelles.

Au niveau IT, on relèvera la gestion du risque informatique, une bonne compréhension générale du système d'information (développement, infrastructure, audit), de son évolution technologique et des impacts pour l'organisation. Les technologies de sécurité et des menaces cybercriminelles doivent également figurer au chapitre des notions maîtrisées. 

Pour ce qui concerne la partie juridique, il est essentiel de maîtriser les différentes lois sur la protection des données (nationales et internationales). Le DPO doit être à même de conduire des analyses d'impacts et d'identifier les écarts de conformité. Des compétences rédactionnelles sont également nécessaires pour rédiger des clauses contractuelles, règlements ou notices à l'attention des clients ou autre parties prenantes. 

En matière de soft skills, le DPO doit être un très bon communicateur, capable de vulgariser des notions complexes et faire passer son message à tous les échelons de la hiérarchie. Une expérience en gestion de projets ainsi qu'une bonne connaissance du secteur d'activité de l'organisation concernée sont en outre indispensables.

 

Interne ou externe ?

C'est le grand débat qui anime les Privacy professionnels... Si la loi prévoit expressément que ce rôle peut être externalisé, je dirais que la taille de l'entreprise, sa complexité  et sa présence internationale sont autant de critères à considérer avant de de se positionner sur un DPO interne ou externe. 

Une chose est toutefois primordiale pour respecter le sens de la loi: Le DPO doit pouvoir travailler de manière indépendante afin d'éviter les conflits d'intérêts. Concrètement, cela signifie qu'il ne peut exercer des fonctions l'amenant à déterminer les finalités et les moyens d'un traitement. Dans ce sens, rajouter ce rôle à des fonctions telles que les ressources humaines, l'informatique, le marketing, la sécurité, les finances ou la direction opérationnelle serait une erreur. Pour les organisations qui n'ont pas les ressources pour désigner un DPO à temps complet, l'externalisation peut donc constituer une piste intéressante. Dans cette perspective, il est important de bien contractualiser le mandat de service et définir les responsabilités de le personne désignée. 

Lectures complémentaires

Article 29 Working Party, Guidelines on Data Protection Officers

Guide de la CNIL sur les 6 étapes pour bien se préparer au RGPD