Gestion quotidienne & pilotage stratégique :
éliminez vos doutes, contactez un expert SVP

  • Téléphone
  • App mobile
  • Ordinateur

    A qui confier le rôle de DPO imposé par le RGPD?

    31 janvier 2018

    Le Règlement général sur la protection des données prévoit un responsable, le DPO (data protection officer) ou DPD (délégué à la protection des données), qui sera l'interlocuteur des organismes de contrôles, la CNIL en France. Il doit être nommé dans les collectivités publiques et les entreprises qui traitent des données à grande échelle.

    CIL et DPO

    Il existe déjà, dans certaines structures, un Correspondant Informatique et Libertés (CIL) défini dans le décret n°2005-1309 pris pour l’application de la loi n° 78-17 dite " informatique et libertés ". Celui-ci est l'interlocuteur auprès de la CNIL pour ce qui concerne les données privées.

    Le CIL pourrait apparaître légitime à devenir le DPO, s'il détient les compétences requises et sous réserve d'une formation complémentaire, dans les entreprises et des collectivités qui en disposent.

    Mais le RGPD donne des fonctions différentes au DPO. A titre d'exemple, le CIL a l'obligation de tenir à jour le registre, le DPO a un rôle de contrôle de ce registre.

    Il est donc nécessaire de s'interroger sur le profil idéal du DPO et surtout, à qui confier ce poste.

    Recrutement ou prestataire extérieur 

    En premier lieu se pose la question du recrutement. L'entreprise ou la collectivité doit choisir entre un recrutement interne, une embauche ou un prestataire extérieur.

    L'option du recrutement interne est à la fois la plus simple mais la plus sensible car il est nécessaire d'éviter le conflit d'intérêt. La DSI (Direction des systèmes d'information) apparaît, par sa connaissance des traitements et des possibilités de protection des données, bien placée. Mais la Direction juridique est également pertinente par sa compétence dans la lecture des subtilités du Règlement. La Direction marketing ou même la Direction générale disposent, pour leur part, d'une vision parfois plus précise sur les besoins de l'entreprise ou de la collectivité et des traitements qui sont nécessaire pour connaitre ses clients ou ses administrés.

    Le recrutement externe peut être un choix plus aisé par l'absence, a priori, de conflit d'intérêt entre les obligations du RGPD et les souhaits d'une direction. Mais, là encore, un écueil apparaît, il existe d'ores et déjà plusieurs milliers de postes à fournir et le profil est extrêmement rare, donc cher.

    Enfin, le choix d'un prestataire extérieur est également possible, notamment pour des structures intermédiaires. Un sourcing préalable des acteurs présents sur le marché du conseil et de l'accompagnement dans la mise en œuvre du RGPD est nécessaire, suivi d'une analyse de la fiabilité des entreprises sélectionnées afin de ne pas voir péricliter le fournisseur durant la phase de diagnostic ou de rédaction des processus.

    Le Directeur informatique est, dans tous les cas, un interlocuteur important car en charge de la mise en œuvre des solutions choisies par le DPO (redéfinitions des traitements, amélioration de la sécurité du SI, assignation des droits d'accès aux données…).

    Un profil complexe

    Le DPO a pour mission d'informer et de conseiller le responsable des traitements. Il dispose d'une connaissance approfondie de l'organisation de la structure et maîtrise la réglementation applicable aux données personnelles.

    Mais il doit aussi être un bon communicant. Il doit savoir faire passer le message de l'importance de la sécurité des données à l'ensemble des collaborateurs. Il doit encore détenir un sens aigu de la conciliation, pour parvenir à un accord entre le besoin marketing et le budget informatique, par exemple.

    La fonction de DPO comporte donc plusieurs dimensions :

    - technologique - connaître et comprendre les traitements de données

    - analyse et mesure du risque

    - réglementaire et éthique – maîtriser le RGPD et plus largement la réglementation relative au respect de la vie privée

    - communication et conciliation

    Il peut se faire accompagner par un cabinet de conseils afin de mieux contextualiser l'application du RGPD et la mise en place d'une stratégie.

    Le règlement RGPD (règlement général sur la protection des données) doit être mis en œuvre, au plus tard, en mai 2018.

    Cette lettre est réalisée par : Denis Kientz, Pierre-louis Passalacqua, Stéphane Chen

    Les articles des experts SVP sur le même thème :