Qu’est ce qu’un DPO (Data Protection Officer) ?
⌚: 8 minutes
Sous certaines conditions, le GDPR exige des organisations qu’elles nomment un responsable de la protection des données. Dans cet article, nous passons en revue le profil et les fonctions de ce type de responsable du GDPR.
L’objectif du règlement général sur la protection des données (RGPD) est de protéger les données personnelles sur Internet. À cette fin, le GDPR exige de la plupart des organisations qui traitent les informations privées des personnes qu’elles nomment un employé chargé de surveiller la conformité de l’organisation au GDPR. Le délégué à la protection des données, ou DPO, est le point focal du GDPR d’une organisation et devra posséder des connaissances spécialisées sur la législation et les pratiques en matière de protection des données.
Nous expliquons ci-dessous comment le GDPR définit le poste de délégué à la protection des données, y compris les tâches et les responsabilités qui vont de pair avec ce poste, les compétences qu’il requiert et les types d’organisations qui doivent en avoir un. L’embauche d’un DPO peut être nécessaire pour votre organisation afin d’éviter de lourdes sanctions, jusqu’à 4 % du revenu mondial ou 20 millions d’euros.
Que fait un Data Protection Officer GDPR ?
Selon l’article 38, qui établit la position du DPO, « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, de manière appropriée et en temps utile, à toutes les questions qui concernent la protection des données à caractère personnel ». L’article 38 poursuit en indiquant que les autres employés de l’organisation ne sont pas autorisés à donner des instructions au DPO concernant l’exécution de leurs tâches. Ainsi, non seulement le DPO a des responsabilités étendues, mais le poste est protégé contre toute interférence potentielle de l’organisation. Enfin, le DPO est tenu à la confidentialité dans l’accomplissement de ses tâches et ne rendra compte directement qu’au plus haut niveau de la direction de l’organisation.
Entre les articles 38 et 39, le GDPR attribue six tâches principales au DPO:
- Recevoir les commentaires et les questions des personnes concernées concernant le traitement de leurs données personnelles et le GDPR.
- Informer une organisation et ses employés de leurs obligations en vertu de la GDPR et de toute autre disposition applicable de l’UE en matière de protection des données.
- Contrôler la conformité d’une organisation avec la GDPR et toute autre disposition de protection des données applicable dans les États membres de l’UE, former le personnel sur la conformité et effectuer des audits.
- Effectuer des évaluations d’impact sur la protection des données (article 35).
- Coopérer avec l’autorité de contrôle de la protection des données.
- Servir de point de contact pour l’autorité de contrôle de la protection des données sur les questions relatives au traitement des données à caractère personnel et sur d’autres questions, le cas échéant.
En pratique, le champ d’application du poste de délégué à la protection des données du GDPR signifie qu’il ne s’agit pas d’un poste pour un associé junior. Un DPO doit avoir l’expertise technique pour mener les évaluations de GDPR et une compréhension juridique des lois sur la protection de la vie privée dans toutes les juridictions dans lesquelles son organisation opère. Il doit être aussi bien à l’aise pour conseiller les cadres sur la stratégie de protection des données à adopter que pour expliquer les aléas de la GDPR au personnel et aux clients. Et compte tenu de l’indépendance des DPO et du rythme rapide des développements technologiques, tout DPO potentiel doit être autonome, prêt à se tenir au courant des nouvelles technologies et de la GDPR et à travailler avec un minimum de conseils et de supervision.
Avez-vous besoin d’un Data Protection Officer?
Toutes les organisations, quel que soit leur type ou leur taille, qui traitent des informations personnelles de résidents de l’UE devraient avoir une personne au sein de l’organisation chargée de surveiller le respect de la GDPR (cela fait partie des « mesures organisationnelles » visées par l’article 25). Cela dit, l’embauche d’un véritable délégué à la protection des données n’est requise par le GDPR que si vous remplissez l’un des trois critères suivants
Autorité publique – Le traitement des données à caractère personnel est effectué par un ou plusieurs organismes publics, des dérogations étant accordées aux tribunaux et autres autorités judiciaires indépendantes
Surveillance régulière à grande échelle – Le traitement des données à caractère personnel est l’activité principale d’une organisation qui observe régulièrement et systématiquement ses « personnes concernées » (qui, selon le GDPR, signifie les citoyens ou les résidents de l’UE) à grande échelle.
Catégories de données spéciales à grande échelle – Le traitement de catégories de données « spéciales » (telles que définies par le GDPR) fait partie de l’activité principale d’une organisation et est effectué à grande échelle.
Les termes utilisés ici sont vagues et nombreux. La version finale du GDPR néglige de définir ce que signifie le traitement en tant qu' »activité principale » ou à « grande échelle ». Les lignes directrices de la Commission européenne sur les délégués à la protection des données fournissent quelques indications, mais il n’y a toujours pas de règles strictes. Selon les lignes directrices, une « activité principale » peut être considérée comme :
les opérations clés permettant d’atteindre les objectifs du responsable du traitement ou du sous-traitant. Elles comprennent également toutes les activités où le traitement des données constitue une partie inextricable de l’activité du responsable du traitement ou du sous-traitant. Par exemple, le traitement de données relatives à la santé, telles que les dossiers médicaux des patients, doit être considéré comme l’une des activités essentielles de tout hôpital et les hôpitaux doivent donc désigner des DPO.
Les lignes directrices énumèrent également les facteurs qu’une organisation doit prendre en compte pour décider si elle effectue un traitement de données à « grande échelle ». Ils le sont :
- le nombre de personnes concernées, soit en nombre spécifique, soit en proportion de la population concernée ;
- le volume de données et/ou l’éventail des différentes données traitées ;
- la durée, ou la permanence, de l’activité de traitement des données ;
- l’étendue géographique de l’activité de traitement.
Les lignes directrices énumèrent également plusieurs exemples de traitement à grande échelle, notamment le traitement des données des patients par un hôpital, le traitement des données des clients dans le cadre de l’activité normale d’une banque ou le traitement des données à caractère personnel à des fins de publicité comportementale par un moteur de recherche.
Ainsi, une organisation peut procéder à un traitement de données à grande échelle alors que l’organisation elle-même est de taille relativement modeste. Pour les organisations plus petites, il peut ne pas être possible d’engager un DPO à plein temps.
Dans ce cas, un DPO peut être engagé ou partagé entre plusieurs petites organisations, à condition que le DPO soit facilement accessible par chaque organisation et puisse remplir efficacement ses fonctions pour chaque organisation. À l’inverse, si une organisation est trop grande pour qu’un DPO travaillant seul puisse assumer toutes les tâches, il peut être nécessaire de lui fournir du personnel d’appui. Le GDPR tient compte de ces deux situations.
Quelles sont les qualifications d’un délégué à la protection des données du GDPR ?
L’importance et l’étendue des fonctions du DPO font de la recherche d’un candidat qualifié une étape essentielle dans le respect du GDPR. Bien que le GDPR n’énumère pas de qualifications spécifiques, il stipule que le niveau de connaissances et d’expérience requis du DPO d’une organisation doit être déterminé en fonction de la complexité des opérations de traitement des données effectuées. Lors de l’évaluation d’un candidat ou de la création d’une liste d’emplois pour le poste, il s’agit là de certaines des qualifications les plus importantes à garder à l’esprit :
- une expérience significative (plus de 5 ans) de la législation européenne et mondiale en matière de protection de la vie privée, y compris la rédaction de politiques de protection de la vie privée et de dispositions technologiques, et le travail de mise en conformité
- Expérience significative dans le domaine de la programmation ou de l’infrastructure informatique, y compris la certification en matière de normes de sécurité de l’information
- Expérience significative dans la réalisation d’audits de systèmes d’information, d’audits d’attestation et d’évaluations des risques
- Compétences démontrées en matière de leadership pour atteindre les objectifs fixés, coordonner avec un ensemble diversifié de parties prenantes et gérer plusieurs projets à la fois
- Capacité démontrée à se coordonner en permanence, avec de multiples parties et superviseurs, tout en conservant son indépendance
- Des compétences de communication pour s’adresser à différents publics, du conseil d’administration aux personnes concernées, des gestionnaires au personnel informatique et aux juristes
- Démonstration d’un esprit d’initiative et d’une capacité à acquérir les connaissances requises dans des environnements dynamiques et à se tenir au courant des développements de pointe
- Un engagement avéré dans le domaine des lois et des technologies émergentes
- Expérience en matière de formation juridique et technique et de sensibilisation
- Expérience dans la gestion de différentes cultures et industries commerciales
Comme votre DPO devra connaître de près la manière dont votre organisation traite et protège ses données et ses obligations légales, un point de départ logique pour le recrutement serait votre propre service informatique ou juridique. En particulier, les fonctions du DSI sont similaires à celles d’un DPO. Une fois qu’un candidat interne est identifié, il doit recevoir une formation ou une certification sur le GDPR. Alors que le GDPR va créer des organismes de certification dans un avenir proche, des organisations telles que l’International Association of Privacy Professionals (IAPP) et l’Association of Data Protection Officers offrent déjà des cours sur la sécurité des données et la protection de la vie privée.
Le recrutement d’un DPO extérieur à votre organisation exigera de la persévérance. L’IAPP estime qu’il y aura une demande de 28 000 délégués à la protection des données en 2018. Ce niveau de besoin devrait dépasser de loin la disponibilité de candidats hautement qualifiés, rendant votre recherche d’un DPO particulièrement difficile. Les plus grandes organisations devraient envisager de recruter dans l’une des plus grandes foires technologiques européennes, telles que le festival CEBIT à Berlin ou le salon InfoSecurity à Londres. Les organisations plus petites doivent tenir compte de leurs besoins réels et envisager de payer pour un service de recrutement géré.
Découvrez aussi les autres métiers de la data :