A quelques mois de l’entrée en vigueur du Règlement européen sur les données personnelles (RGPD), les entreprises préparent activement leur mise en conformité avec ce texte. L’un des enjeux majeurs est de savoir si elles doivent, ou non, se doter d’un Data Protection Officer (DPO). Selon certaines estimations, plus de 25.000 postes de DPO pourraient être créés en France par le Règlement.
Le rôle du DPO est intimement lié à la logique profonde du Règlement : la fin du contrôle a priori (« déclarations ») par les autorités de protection des données (la CNIL en France) en contrepartie de l'obligation pour les entreprises d'incorporer dans leur organisation et dans leurs processus mêmes, la protection des données. Le maître-mot pour les entreprises sera donc d'être en mesure de « démontrer » qu'elles sont conformes.
Un rôle polyvalent, transversal et stratégique
Le DPO est le véritable « chef d'orchestre » de cette nouvelle mission de « démonstration de la conformité ».
Sur le plan opérationnel, il a pour missions d'informer et de conseiller le responsable de traitement (l'entreprise qui met en œuvre le fichier) mais aussi les salariés qui procèdent au traitement de données, sur leurs obligations. Il doit également contrôler la bonne mise en œuvre du Règlement, les formations, les audits, la conduite d'une étude d'impact lorsqu'elle est obligatoire. Enfin, le DPO coopère avec les autorités de protection des données : il est le point de contact au sein de l'entreprise. Dans ce cadre, il doit agir en toute indépendance et rapporter « au plus haut niveau de l'entreprise », donc au niveau stratégique.
Pour mener à bien ses trois missions, le DPO doit posséder un certain nombre de compétences dont certaines figurent dans le Règlement. De solides connaissances juridiques et une bonne compréhension du Règlement sont requises. Il doit également être un fin connaisseur de l'entreprise, de son cœur de métier et être proche des opérationnels afin que ses conseils soient pertinents et adaptés aux problématiques concrètes rencontrées. Il doit enfin être un bon communiquant dans la mesure où il rapporte au comité exécutif et doit « évangéliser » en interne, voire former les autres salariés.
Toutes ces compétences font qu'il n'existe pas de profil type du DPO : aujourd'hui dans 40% des cas les DPO sont des juristes, dans 30% ils ont un profil technique (SI) et pour les 30% restant un profil administratif. Au-delà de ses compétences, la formation et les moyens qui seront alloués au DPO demeurent, bien entendu, essentiels. À défaut, il ne sera pas en mesure de remplir pleinement ses missions ce qui pourrait présenter un risque pour l'entreprise.
Le DPO, un futur « standard » pour les entreprises ?
Selon le RGPD, la désignation d'un DPO est obligatoire pour les autorités publiques ou si l'entreprise traite des données « sensibles » à grande échelle telles que des données de santé ou encore « si les activités de base de l'entreprise, du fait de leur nature, de leur portée ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes ».
Ce dernier point étant sujet à interprétation, le groupe des CNIL européennes a publié une recommandation en avril 2017 l'explicitant : les entreprises concernées sont celles dont le cœur de l'activité et les traitements portent sur un grand nombre de personnes ou celles qui procèdent au suivi régulier des personnes dans l'espace et le temps. À titre d'illustration, les enseignes de la grande distribution ayant des cartes de fidélité, les banques, les assurances, les entreprises de transport (via la géolocalisation des personnes utilisant des cartes de transport), les opérateurs de télécoms ou encore les entreprises utilisant le marketing comportemental grâce à l'analyse de la navigation sur le web sont concernés. Dans les entreprises où la désignation d'un DPO est obligatoire, il est essentiel de le faire rapidement afin qu'il puisse piloter le programme de mise en conformité et de préparation au RGPD.
Quant aux entreprises qui ne sont pas directement concernées par l'obligation de désigner un DPO, elles devraient toutefois se pencher sérieusement sur la question dans la mesure où le DPO va devenir, à n'en pas douter, un standard du marché dans les années à venir. En effet, en matière de protection des données personnelles, il sera un élément clé de la construction d'une relation de confiance entre l'entreprise et ses salariés, ses clients et ses fournisseurs. Dans la mesure où le DPO sera un acteur de la construction de la confiance, et que sans confiance il n'y a pas de croissance, les entreprises ayant une stratégie digitale offensive et pas de DPO seront vraisemblablement questionnées par leurs parties prenantes sur les raisons de leur choix. Mais auront-elles encore véritablement le choix à ce moment-là ?
Source : La Tribune par Yann Padova, Partner chez Baker McKenzie