Le Data Protection Officer, obligatoire dès 2018
« La désignation d’un Data Protection Officer (ou DPO, successeur du CIL, le Correspondant Informatique et Libertés) devient obligatoire dans le caedre de la nouvelle législation RGPD / GDPR notamment dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Le DPO sera également obligatoire pour le secteur public, quel que soit la nature du traitement. »
Le Data Protection Officer sera obligatoire dans les organismes
concernés dès le 25 mai 2018. Mais quel sera son rôle ?
Le chef d’orchestre de la conformité
Au sein de chaque organisme concerné, le DPO sera le chef d’orchestre de la conformité. Il devra être consulté sur tout traitement* de données à caractère personnel. Il aura son mot à dire en termes de sécurité informatique, de sécurité juridique… Il contribuera à la valorisation de la donnée (car c’est un vrai enjeu de business et d’innovation), et il fera en sorte que cette donnée soit traitée dans des conditions de sécurité adéquates pour éviter les risques pour les personnes et pour l’image de l’entreprise.
* Traitement : Toute opération portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …).
L’intégration du DPO en entreprise
Le Data Protection Officer, ou Délégué à la Protection des Données, travaillera directement pour l’organisme. Il est recruté ou nommé par l’entreprise, qui lui confie cette mission à temps complet ou partiel. Le DPO peut être et doit être dans bien des cas un correspondant externe : SECURISC vous propose ses spécialistes dans différents domaines pour vous accompagner dans votre conformité.
Son mode d’organisation est assez souple mais le niveau d’obligation et le type de mission sont clairement fixés par les textes. Que le DPO soit intégré à l’entreprise ou externalisé, il doit avoir une marge de manœuvre suffisamment forte pour pouvoir dire “attention quand on traite des données, il faut faire comme si, ou comme ça”. Il est l’interlocuteur de référence de la CNIL, ou d'autres organismes suivant les états, qu'il pourra appeler pour demander conseil, et traiter directement avec lui en cas de contrôle.
Les entreprises concernées par cette obligation
Le DPO est obligatoire dans toutes les administrations (État, administrations territoriales…). C’est nouveau, car aujourd’hui l’administration centrale est très peu dotée de CIL. En revanche, les collectivités locales sont déjà bien équipées : 75% des régions de France métropolitaine, 50% des départements, 2/3 des communautés urbaines de métropole… Du point des vue des entreprises, celles qui font “du suivi régulier et systématique des personnes” (notamment le profilage) sont concernées, ainsi que toutes celles qui “traitent des données sensibles à grande échelle” (santé…). Aujourd’hui, 17 500 organismes sont dotés d’un CIL et se préparent pour le DPO. Mais beaucoup plus vont devoir intégrer un Data Protection Officer à leur structure.
Exemple : un média généraliste, qui accueille plusieurs dizaines de milliers de visiteurs et qui souhaite proposer des contenus différents pour chaque utilisateur en fonction de sa navigation, devra sans doute accueillir un Data Protection Officer en interne. Et dans beaucoup de cas où ce ne sera pas obligatoire, on aura intérêt à avoir une compétence interne qui puisse nous conseiller pour le traitement des données personnelles.
C’est clairement un nouveau métier. On ne sait pas combien d’entreprises seront concernées, mais c’est un enjeu majeur. Son rôle dépasse largement celui de chien de garde. Le DPO devient très important pour établir un cadre de confiance autour de la donnée entre les organismes (publics et privés) et leurs parties prenantes. Les Data Protection Officers seront obligatoires en mai 2018, les entreprises se doivent d’anticiper leur arrivée. Plus elles arriveront à les désigner tôt (actuellement un CIL qui deviendra leur DPO), plus elles seront capables d’intégrer les nouvelles contraintes réglementaires du Règlement Européen.