DPO, rôle et hiérarchie - Sur la route du RGPD

Vous avez dit DPO

Le RGPD, c'est pour bientôt. Sa date de mise en œuvre officielle est fixée au 25 mai 2018. Pour toutes les entreprises qui se sont mises en conformité avec la directive européenne de 1995, l'adoption du RGPD ne devra pas poser de grands soucis puisqu'il s'inscrit dans sa continuité. Les problèmes seront pour toutes les organisations qui auront omis la directive.

Cette mise en conformité va s'effectuer sous la houlette du DPO, le Data Protection Officer. Dans le secteur public, le DPO sera obligatoire, quelle que soit la nature des traitements de données. Dans le secteur privé, ce poste ne sera obligatoire que si les entreprises font des traitements à grande échelle sur des personnes ou des données sensibles.

Le rôle du DPO

Le DPO doit mettre en place la conformité d'une entreprise par rapport au RGPD, mais aussi d'orienter les futurs projets pour qu'ils s'intègrent dans ce cadre. Ses domaines d'attribution sont donc assez élargis puisqu'il interviendra aussi bien dans le domaine de la sécurité informatique que celui de la sécurité juridique.

Son rôle va s'avérer essentiel puisqu'il devra principalement :

Éviter tout risque à l'entreprise et aux personnes qui la compose ;
Informer et conseiller le/les responsables de traitement, le/les sous-traitants, les employés ;
Concevoir des actions de sensibilisation ;
S'assurer que les données soient traitées en accord avec la RGPD tout en les valorisant ;
Établir un cadre de confiance autour de la donnée entre les organismes (publics et privés) et les parties prenantes ;
Être l’interlocuteur de référence de la CNIL en cas de contrôle.

Mais attention, le DPO ne sera pas responsable du non-respect du RGPD par l'entreprise ou ses sous-traitants, tant qu'il pourra montrer qu'il a rempli toutes ses missions.

Alors, qui nommer comme DPO ?

Il n'y a pas d'obligation à ce que le DPO soit une personne appartenant déjà à la société. Elle peut être recrutée spécialement pour ce poste. Il peut également s'agir d'une personne extérieure, qui exercera alors sa fonction au sein de l'entreprise sans en être un salarié.

Ce n'est pas un hasard si des cabinets d'avocats se positionnent déjà sur ce marché. Depuis quelques années, de nombreux cabinets se sont spécialisés et sont devenus Correspondant Informatique et Liberté. Parce que la part juridique est beaucoup plus importante que l'on ne le croit. L'avocat CIL est un bon candidat à ce poste, nonobstant les possibles conflits d'intérêts (Section 4 du RGPD). Mais ils ne seront pas les seuls. On peut ainsi imaginer des sociétés de services se spécialisant dans ce domaine.

Par extension, tout correspondant CIL, interne ou externe, pourra être DPO.

Néanmoins, le bon profil sera celui qui respectera un certain nombre de critère de compétences et d'éthique. Le DPO devra posséder une connaissance poussée en matière de traitement des données, la compréhension pleine et entière des enjeux de la donnée pour l'entreprise, de bonnes notions sur la partie technique IT, tout en disposant d'une solide culture juridique.

Une définition de poste nouvelle correspondant à un métier nouveau.

Quel rattachement ?

Le rattachement du DPO risque d'être le point d'achoppement principal rencontré. Il ne devra pas être placé de manière à subir diverses pressions et avoir suffisant de pouvoir afin d'imposer l'application de la RGPD au sein de l'entreprise. Le choix de son placement hiérarchique est donc important. Il va aussi devoir disposer de ressources matérielles et financières propres.

L'article 38 du RGPD énonce d'ailleurs clairement quelques principes de cette indépendance :

Les rapports sont faits directement au plus haut niveau de la direction ;
Aucune instruction ne devra être donnée à un DPO ;
Tout désaccord entre la direction et le DPO devra être acté (par écrit) ;
Le DPO ne peut pas déterminer les moyens et/ou les finalités d'un traitement ;
Si le DPO peut avoir une double casquette, il ne doit pas être en condition de conflit d’intérêts (DG, DAF, DSIO sont par exemple interdits).

Il n'est pas certain que de le placer au sein d'une DSI soit le meilleur moyen de garantir cette indépendance, le DSI pouvant être tenté de vouloir imposer un point de vue uniquement technique. Il ne peut pas non plus être placé sous les ordres d'un RSSI (Responsable de la Sécurité des Systèmes d'Informations), car il devra travailler avec lui en étroite collaboration. Un rattachement à la direction va donc s'imposer. Bien des débats vont avoir lieu sur ce sujet au sein des entreprises.

Le RGPD est un sujet très vaste et transverse. Son application étant très proche, la nomination d'un DPO est désormais un impératif. Il est plus que temps de mettre en place les processus pour sensibiliser tous les individus à ce défi et pour se conformer à la protection des données. Ceci grâce à l’humain, futur maillon fort du système.

Frédéric VERGOZ
Chef de Projet Spark Archives - Klee Group
Suivez Fred sur Linkedin