Ayant pour mission de superviser et contrôler la conformité d'une entreprise, d'une organisation ou d'une institution aux lois sur la protection des données, le Data Protection Officer conseille son employeur sur toute question liée à ce domaine. Il prend donc sur lui la responsabilité de l'entreprise pour laquelle il travaille devant les autorités compétentes, et sert d'intermédiaire entre les utilisateurs dont les données sont collectées et l'entreprise. Un DPO est-il obligatoire ? Dans quels cas doit-on en nommer un ? Quelles sont ses véritables missions et quelles études suivre pour devenir Digital Protection Officer ?
Dans quels cas doit-on nommer un DPO ?
Toutes les entreprises et organisations n'ont pas besoin d'un DPO. En effet, selon le Règlement général sur la protection des données (le fameux RGPD), signé par l'Union européenne, la présence d'un DPO n'est obligatoire que dans certains cas de figure.
Premièrement, toute entreprise ou organisation doit nommer un DPO dès lors qu'elle manipule des données personnelles dont le traitement est effectué par une autorité ou un organisme public. Les tribunaux sont exempts de cette obligation bien entendu, dans la mesure où ils agissent dans le cadre de leurs fonctions judiciaires.
Ou alors, s'il s'agit d'une entreprise dont l'activité principale est le traitement de données personnelles à grande échelle. L'obligation s'applique aussi si ces données concernent des condamnations pénales et des infractions.
Plus rare, la présence d'un DPO est obligatoire si la collecte de données est issue d'une surveillance « régulière et systématique » des personnes. La nomination d'un DPO au sein de l'entreprise est par ailleurs rendue obligatoire si ses activités l'amènent à traiter à une échelle importante des données personnelles relatives à la religion, aux penchants politiques et philosophiques… Mais aussi aux données biométriques comme les données génétiques, les empreintes digitales, rétiniennes... En soi, tout ce qui peut servir à identifier une personne de manière unique et non équivoque. L'obligation de nommer un DPO s'étend aussi aux entreprises manipulant des données relatives à la santé, à la vie sexuelle et à l'orientation sexuelle des personnes. Selon les pays, la législation peut prévoir l'obligation de nommer un DPO dans d'autres situations. Ainsi, de manière générale, un Data Protection Officer sera nécessaire dans les cas d'une grande entreprise qui, à des fins commerciales ou de marketing, conserve et traite les données personnelles de sa clientèle. Mais aussi pour un organisme public chargé de la gestion de dossiers médicaux, ou une société de services financiers, une organisation de recherche médicale dans le domaine de la génétique… La collecte de données personnelles à grande échelle est devenue si répandue de nos jours que la présence d'un DPO tend à se généraliser, ce qui amène certaines entreprises à en nommer un même lorsque cela n'est pas obligatoire.
Quelles sont les conditions pour être DPO ?
Si le métier de Data Protection Officer est en pleine expansion, tout le monde ne peut pas assumer ce rôle au sein d'une entreprise. C'est le Règlement général sur la protection des données de l'UE qui fixe les conditions pour être nommé DPO.
La personne nommée DPO doit posséder une certaine expertise dans le domaine, être indépendante et disposer de ressources suffisantes pour assurer sa mission.
Concernant l'expertise professionnelle, elle peut être acquise par des années d'expérience dans la manipulation de données personnelles. Ce qui implique une connaissance des outils, pratiques et technologies utilisées pour collecter les données. De plus, cette expérience doit lui avoir permis de se familiariser avec la réglementation sur la protection des données.
Son indépendance doit être garantie par son employeur. Ainsi, dans l'exercice de ses fonctions, il ne peut recevoir d'instructions ou d'ordres de la part de ses supérieurs. Il a le dernier mot sur le sujet de la protection des données, quand bien même son avis est en désaccord avec celui de son supérieur. Son indépendance passe donc par l'absence de conflits d'intérêts, et par une immunité, l'empêchant d'être sanctionné, licencié ou importuné pour des raisons tenant à ses avis sur la question de la protection des données personnelles.
Enfin, c'est l'employeur qui doit fournir au DPO toutes les ressources nécessaires à la mission. Le mot ressources englobe ici le budget, les outils, les moyens réglementaires internes, les autorisations d'accès aux données… Mais aussi la formation continue.
Quelles sont les missions du DPO ?
Il faut d'abord comprendre le contexte dans lequel a été créée la fonction de Data Protection Officer. Cette fonction répond aux préoccupations des personnes concernant la protection des données personnelles collectées par presque toutes les entreprises, réseaux sociaux, boutiques ou organisations. En effet, la collecte et le traitement des données sont devenus des pratiques presque automatiques, et si le RGPD fixe des règles, il se devait aussi de donner la responsabilité à une personne de s'assurer qu'elles sont respectées.
Ainsi, le DPO a quatre missions principales.
l Il œuvre premièrement pour renforcer les mesures de protection des données au sein de son entreprise ou organisation. Pour ce faire, il doit donc analyser la boucle de collecte et de traitement des données personnelles, et proposer des améliorations ou des changements pertinents pour en assurer la sécurité et l'inviolabilité. Cela peut se traduire par demander d'installer de meilleurs pare-feux pour le réseau d'ordinateurs, un cryptage supplémentaire, l'isolation de certains serveurs, et toutes autres mesures justifiées, toute proportion gardée bien entendu. Dans la majorité des cas, il s'agit surtout de faire face à une cyberattaque et au vol des données numériques par un hacker. Mais la protection de données très sensibles peut requérir des mesures de très haute technologie.
l Sa deuxième mission sera de garantir la conformité réglementaire de son entreprise au RGPD et à tout autre règlement ou loi concernant la protection des données personnelles. Il doit donc se tenir à jour des dernières avancées et discussions sur le sujet, et informer son employeur de tout vice de conformité actuel ou à venir, pour qu'il puisse s'adapter au plus vite. En cas de contrôle par une autorité, c'est le DPO qui fera office d'interlocuteur privilégié. Il s'agit donc d'une haute responsabilité pour lui.
l Il a ensuite pour mission de renforcer la transparence et la responsabilité de tous les acteurs concernant la collecte et l'utilisation des données personnelles. Par exemple, il devra fournir des conseils et des recommandations à ses collaborateurs, et le cas échéant il sera en relation avec les clients qui souhaitent avoir accès à leurs informations ou en modifier la teneur. Sa présence et son professionnalisme renforceront alors la confiance des particuliers envers la façon dont l'entreprise se sert de ses données.
En interne, il sera finalement chargé de promouvoir une certaine culture de la protection, en sensibilisant son entourage aux bonnes pratiques, nommant un délégué pour le représenter dans les services et il pourra organiser des réunions, d'information ou de formation pour mettre à jour des connaissances de tout le monde. En veillant à communiquer sur les bonnes habitudes à prendre, il réduit drastiquement le risque de violation des données et des erreurs de manipulation.
Bien entendu, ces missions peuvent varier selon la taille de l'entreprise ou son domaine d'activité. Mais la finalité reste la même : conseiller, informer, veiller à la conformité, sensibiliser et faire office d'intermédiaire entre l'entreprise et ses clients, ou l'entreprise et les autorités de contrôle.
Comment devenir Data Protection Officer ?
Le métier de Data Protection Officer est de plus en plus en vogue, car la demande explose dans les entreprises et organisations de tous domaines et de toutes tailles. De nombreuses personnes se demandent légitimement comment accéder à un tel poste, que faire valoir sur un CV, ou quelles études faire pour devenir DPO.
Pour le moment, il n'y a pas de diplôme spécifique nécessaire pour devenir DPO. Les recruteurs recherchent surtout des candidats expérimentés dans le domaine de la protection des données, et privilégient ceux ayant une formation GDPR ou une mention certified data dans leur cursus. Cette formation inclut tous les aspects de la question : technologies de collecte, de traitement, mais aussi et surtout l'aspect légal et réglementaire. À l'étranger, des certifications telles que le CIPP ou CIPM peuvent être un plus à faire valoir dans un CV.
Ainsi, à en croire la fiche métier de DPO, le meilleur moyen de postuler un poste de responsable de la protection des données est tout d'abord de passer quelques années à accumuler de l'expérience. Expérience professionnelle d'une part, mais aussi personnelle et culturelle, en se renseignant et en se formant aux risques cyber, à la législation... De nombreuses formations en ligne existent, ainsi que quelques cours universitaires. Néanmoins, une formation qualifiante spécialisée dans la protection des données reste l'un des meilleurs atouts, surtout au moment de départager les candidats ou de négocier un futur salaire.
Le domaine de la protection des données évolue en permanence. Les règles peuvent varier d'une année à l'autre, voire d'un mois à l'autre. Il est donc important de se tenir à jour, sans attendre pour cela une nouvelle formation. Un champ d'expertise aussi mouvementé que celui-ci nécessite des efforts personnels pour réunir toutes les qualités qui feront de vous un Data Protection Officer performant.