DPO (Data protection officer), la clé de voûte du RGPD

DPO (Data protection officer), la clé de voûte du RGPD

DPO - Data protection officer

DPO. Encore un acronyme après le RGPD, le Règlement général sur la protection des données.

Le "Data protection officer", ou en français délégué à la protection des données, est la surprise de cette année 2018. Enfin "surprise", oui et non. En effet, le texte du RGPD a été adopté fin avril 2016 et publié le 24 mai 2016. Pour entrer en vigueur le lendemain. Il n'est donc pas si nouveau que cela ! Mais son entrée en application, elle, a été différée de plus de deux ans pour avoir lieu logiquement le 25 mai 2018. C'est-à-dire... Demain !

Ce règlement européen est un texte communautaire (au sens de l'Union Européenne) réaffirmant les grands principes relatifs à la protection des données. Son but est de trouver un juste équilibre entre développement économique à l'heure du Big Data et respect de la vie privée des individus. Tâche difficile ! Vraiment ? Rassurez-vous, le RGPD a tout prévu. En effet, il propose de faire entrer dans les organismes traitant de la donnée un nouveau personnage : le DPO. Petit tour d'horizon de son statut et de ses missions.

 

DPO = CIL²

DPO, le délégué à la protection des donnéesLa raison d'être du DPO est de vérifier la conformité des traitements de données au nouveau RGPD et à l'ensemble de la législation "Informatique et Libertés". Dit autrement, il veillera à la bonne application des textes encadrant l'utilisation des données personnelles des individus. Dans une perspective encore une fois de garantie des droits fondamentaux, et notamment le respect de la vie privée.

Mais il existait déjà en France depuis 2004 un référent sur ces questions : le « correspondant informatique et libertés », le CIL. D'autres pays de l'Union Européenne utilisaient également ce dispositif, parfois de manière obligatoire. Alors qu'en France, le CIL était facultatif (on en parle au passé car la fonction de CIL est supprimée de fait à partir du 25 mai 2018).

Le DPO, schématiquement, est donc un CIL 2.0, une mise à jour du précédent dispositif. D'ailleurs, contrairement à ce dernier, le DPO est obligatoire dans bon nombre de cas. Ainsi, il faudra désigner un délégué :

  1. quand on est un organisme public,
  2. lorsque son activité de base est liée à la donnée, traitée régulièrement et dans des volumes importants (profilage, scoring, analyse comportementale...),
  3. si son activité consiste à traiter des données sensibles (santé, origines, orientations sexuelle, politique, religieuse...) ou d’infractions pénales.

 

DPO, un "gentil contrôleur" (G.C.)

DPO : une mission de contrôle interneUn des grands principes posé par le Règlement sur la protection des données est l' "accountability". C'est-à-dire que les formalités administratives auprès de la CNIL pour mettre en place des traitements de données sont (quasiment toutes) supprimées. En contrepartie, on enjoint les entités juridiques publiques et privées de se "responsabiliser". En effet, c'est comme cela que l'on peut traduire en français cette notion d'accountability.

Et cette responsabilisation passe par la documentation de la conformité. En clair, les organismes vont devoir pouvoir justifier de leurs bonnes actions pour respecter la législation. C'est ici, notamment, que le DPO intervient. En effet, sorte d' "arme de conformité massive", il va évaluer le niveau de sensibilité des traitements d'une entreprise ou d'une administration pour prioriser les actions à mettre en oeuvre. Et passer à la moulinette tous les autres traitements de données personnelles qu'il rencontre. Enfin, pour les cas de moindre importance, comme la conformité d'un site web ou de ses mentions légales, il pourra aussi donner son avis.

 

DPO, au croisement des chemins digitaux

DPO, électron libre dans l'entrepriseA côté de cette mission de contrôle qui ne porte pas son nom, le RGPD encourage la réalisation d’audits. En effet, pour faire de bonnes recommandations, il faut savoir ce qui se fait. Le DPO sera donc la personne idoine pour centraliser tous les documents utiles à la réalisation de la mise de conformité. Et c'est là l'autre grand aspect de la fonction de DPO : il est un consultant transversal dans l'organisme où il officie.

Ainsi, il est primordial que le délégué soit associé à tous les projets informatiques en amont (« privacy by design »). Le DPO travaillera donc avec l'ensemble des directions d'un organisme (informatique, marketing, RH...). A ce titre, il devisera avec l'ensemble des managers mais aussi des opérationnels qui se doivent de coopérer avec lui. A l'inverse, le DPO est aussi à la disposition de tous les salariés ou agents si ceux-ci ont la moindre question dans l'exercice de leur fonction.

Finalement, le DPO coordonne la politique en conformité. Il ne pourra le faire qu'en étant présent à tous les étages de l'entreprise, un électron libre qui doit contribuer à l’émergence ou au renforcement d’une véritable culture de la conformité.

 

Pour en savoir plus sur le rôle du DPO :

 

Pour aller plus loin :