Apparu notamment avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, le métier de DPO ou Délégué à la protection des données est de plus en plus recherché dans les entreprises.
Mais alors qui est-il exactement ? Quel est son champ d’action, les études qu’il doit suivre ou encore son salaire ?
Qu’est-ce qu’un DPO ?
Le délégué à la protection des données (DPO) a pour mission d’accompagner les organismes dans leur processus de mise en conformité RGPD.
Ce dernier doit veiller à la bonne application des mesures fixées par le règlement et s’assurer que les procédés de manipulation et traitement des données personnelles soient sécurisés.
Il s’agit en quelque sorte du chef d’orchestre de la protection et du traitement des données au sein d’un organisme.
Pour bien comprendre les enjeux du métier de délégué à la protection des données, il faut avant tout revenir sur le RGPD.
RGPD, de quoi s’agit-il ?
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte européen régit l’usage des données personnelles et encadre leur circulation.
Depuis son application, le déploiement du RGPD a amené à une réelle prise de conscience du public en ce qui concerne les dangers de la manipulation des données.
🍪 L’exemple des cookies
C’est notamment depuis l’apparition du RGPD que chaque site doit demander l’autorisation d’utiliser des cookies.
En acceptant ces derniers, vous autorisez le propriétaire du site à obtenir des informations sur la visite que vous effectuez. Cela lui permet de recueillir les habitudes des internautes sur son site puis d’en analyser les résultats. Cela permet également de personnaliser votre propre expérience sur le site en question.
En refusant, vos données de connexion (comme le temps que vous êtes resté sur le site ou les pages visitées) restent personnelles.
Il existe un organisme public qui veille à ce que les conditions fixées par le règlement soient appliquées dans les entreprises, les organisations et les administrations.
Il s’agit de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Au-delà de son rôle de porteur d’alerte, la CNIL dispose d’un pouvoir de contrôle et de sanction.
La dernière pénalité appliquée par la CNIL s’élève à un montant total de 150 millions d’euros suite à un manquement de la part du géant de l’informatique Google.
Le délégué à la protection des données, c’est qui ?
Le DPO est à la fois l’informateur, le conseiller et le responsable en matière de traitement des données. C’est à lui que revient la responsabilité de guider les équipes de l’organisme vers une utilisation saine et conforme aux obligations disposées par le RGPD.
Par conséquent, celui qui exerce cette fonction doit avoir de bonnes compétences relationnelles afin de fluidifier les échanges avec les équipes, les sensibiliser et les former.
Le DPO fait également figure de contrôleur du respect des obligations du règlement.
Le délégué à la protection des données a le devoir d’assurer le respect des conditions relatives aux droits et libertés fondamentales lors du traitement d’informations collectées.
Pour cela il doit faire l’inventaire des activités de traitement mises en œuvre par l’organisme, analyser les mécanismes en vigueur dans l’organisme et établir des règles internes pour pallier les mauvaises pratiques.
Le DPO est également l’intermédiaire avec l’autorité de contrôle et fait office de point de contact avec cette dernière en cas de consultation.
💡 Le saviez-vous ?
En 2020, 85% des entreprises étaient dotées de dispositifs de compliance mais près de 60% d’entre elles n’étaient que partiellement à jour dans leurs obligations.
C’est en tout cas ce que révèle une étude sur l’état des lieux en matière de compliance et d’anti-corruption dans les entreprises, menée par l’Association Française des Juristes d’Entreprise (AFJE) et Ethicorp.
Quelle formation faut-il suivre pour être DPO ?
Le métier de DPO n’est pas un métier réglementé, il n’existe pas de formation obligatoire pour exercer cette fonction. Ni le RGPD ni la CNIL ne définissent une formation précise pour devenir DPO.
Néanmoins cela ne signifie pas que n’importe qui peut exercer ce métier. Il doit s’agir d’une personne qualifiée.
La fonction nécessite des compétences pointues en matière de droit de la protection des données personnelles et en gestion des données informatiques.
Le choix du cursus est libre, s’agissant d’un métier récent, il n’y a pour le moment aucun parcours consacré spécifiquement à l’exercice du métier de DPO.
Cependant, il serait judicieux de privilégier des études juridiques et de se spécialiser en informatique afin de consolider les compétences requises pour pouvoir exercer. Le droit et la gestion des données numériques sont les piliers de la fonction de DPO.
La demande de DPO étant en forte hausse, de nombreuses formations publiques et privées devraient se créer à l’avenir pour former les étudiants à ce métier.
Pour l’instant il n’existe de que des formations de spécialisation accessibles en fin de parcours initial ou au cours de l’exercice de l’activité professionnelle.
Quelle est la fiche de poste du DPO ?
Le DPO pilote la conformité des traitements de données mis en œuvre par l’organisme qui le désigne. À ce titre, le DPO doit :
🧑✈️ Piloter :
- En accompagnant les organismes dans leur mise en conformité RGPD
- En supervisant les analyses d’impact relatives à la protection des données
- En contribuant au déploiement de nouveaux outils et méthodes de traitement de données
- En cartographiant les traitements et en établir le registre obligatoire
👨💻 Faire :
- De la veille juridique relative à la protection des données
- De la veille technologique pour anticiper les nouvelles pratiques pouvant induire à un souci de conformité
- L’intégration des nouvelles évolutions réglementaires et doctrinales et adapter le processus interne de l’organisme à ces dernières
🧠 Informer et conseiller :
- En analysant les besoins de chaque branche de l’organisme
- En formant les équipes aux procédures à respecter à travers des ateliers, des présentations ou des livrables
- En alertant en cas de nécessité le responsable ou sous-traitant en cas de manquement à la réglementation dans l’application des processus internes
- En sensibilisant les usagers autour des risques encourus en cas de non-conformité et l’importance des bonnes pratiques relatives au traitement des données
🕹️ Contrôler :
- Le respect de la réglementation du RGPD
- En établissant une documentation au titre de la responsabilité
- En collaborant constamment avec la CNIL (il est le responsable lors des contrôles)
Le salaire du DPO
Le revenu mensuel du délégué à la protection des données varie en fonction du secteur d’activité.
Le salaire d’un DPO oscille entre 3750€ brut et 6667€ brut par mois, soit un salaire médian de 5209€ par mois.
Les logiciels à destination des DPO
Développés à partir des dernières technologies innovantes, des logiciels existent pour escorter les organismes dans leur mise en conformité RGPD.
Des solutions ergonomiques intuitives permettant de protéger facilement les données personnelles et adaptées constamment aux réglementations de la CNIL.
Ces LegalTech permettent ainsi d’automatiser le service juridique et le traitement des données avec l’aide d’un DPO.
Parmi les outils recommandés par les DPO on retrouve Data Legal Drive, Captain DPO, Consent Manager ou Compliance Booster.
Pour éviter les sanctions les organismes ont intérêt à se mettre en conformité au RGPD.
Ce processus s’avérant difficile dans certaines situations, une large majorité a recours aux services d’un DPO ainsi qu’à des LegalTech spécialisées dans le traitement des données personnelles.
Comment l’utilisation d’une solution CLM (contract management) permet de rester conforme au RGPD ?
La solution CLM de DiliTrust centralise tous les contrats de votre entreprise sur une même plateforme, accessible par vos collaborateurs, à n’importe quel endroit, à n’importe quel moment.
Cette technologie est une alliée de taille dans votre mise en conformité RGPD. Elle-même conforme au règlement, elle permet notamment de :