Le média des professionnels du digital
Le média des professionnels du digital

Le métier de Data Protection Officer (DPO), obligatoire dès 2018 dans de nombreuses entreprises

Thomas Coëffé, le 7 juillet 2016

La semaine passée, nous avons eu le plaisir de nous entretenir avec Édouard Geffray, Secrétaire Général de la CNIL. Il a présenté, sur le blog, le rôle et les compétences de la Commission nationale de l’informatique et des libertés. Nous sommes également revenus sur les conséquences de l’adoption du Règlement Européen pour les professionnels. Parmi les nouvelles obligations, on retiendra la nomination d’un Data Protection Officer (DPO), obligatoire pour un certain nombre d’organismes.

Le Data Protection Officer, obligatoire dès 2018

« La désignation d’un Data Protection Officer (ou DPO, successeur du CIL, le Correspondant Informatique et Libertés) [sera obligatoire] notamment dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Le DPO sera également obligatoire pour le secteur public, quel que soit la nature du traitement. »

computer-worker

Le Data Protection Officer sera obligatoire dans les organismes concernés dès le 25 mai 2018. Mais quel sera son rôle ? Voici les réponses d’Édouard Geffray.

Le chef d’orchestre de la conformité

Au sein de chaque organisme concerné, le DPO sera le chef d’orchestre de la conformité. Il devra être consulté sur tout traitement* de données à caractère personnel. Il aura son mot à dire en termes de sécurité informatique, de sécurité juridique… Il contribuera à la valorisation de la donnée (car c’est un vrai enjeu de business et d’innovation), et il fera en sorte que cette donnée soit traitée dans des conditions de sécurité adéquates pour éviter les risques pour les personnes et pour l’image de l’entreprise.

* Traitement : Toute opération portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …).

L’intégration du DPO en entreprise

Le Data Protection Officer, ou Délégué à la Protection des Données, travaillera directement pour l’organisme. L’intitulé français reste à déterminer : chacun peut d’ailleurs apporter en ce moment des propositions de nom dans le cadre de la consultation publique organisée par la CNIL. Il sera recruté ou nommé par l’entreprise, qui lui confie cette mission (à temps complet ou partiel). Il peut également s’agir d’un correspondant externe : des cabinets d’avocats font des prestations de CIL aujourd’hui, ils pourront devenir DPO demain. Le mode d’organisation est assez souple mais le niveau d’obligation et le type de mission sont clairement fixés par les textes. Que le DPO soit intégré à l’entreprise ou externalisé, il doit avoir une marge de manœuvre suffisamment forte pour pouvoir dire “attention quand on traite des données, il faut faire comme si, ou comme ça”. Il sera l’interlocuteur de référence de la CNIL : il pourra nous appeler pour demander conseil, et nous pourrons traiter directement avec lui en cas de contrôle.

Les entreprises concernées par cette obligation

Le DPO sera obligatoire dans toutes les administrations (État, administrations territoriales…). C’est nouveau, car aujourd’hui l’administration centrale est très peu dotée de CIL. En revanche, les collectivités locales sont déjà bien équipées : 75% des régions de France métropolitaine, 50% des départements, 2/3 des communautés urbaines de métropole… Du point des vue des entreprises, celles qui font “du suivi régulier et systématique des personnes” (notamment le profilage) sont concernées, ainsi que toutes celles qui “traitent des données sensibles à grande échelle” (santé…). Aujourd’hui, 17 500 organismes sont dotés d’un CIL et se préparent pour le DPO. Mais beaucoup plus vont devoir intégrer un Data Protection Officer à leur structure.

Exemple : un média généraliste, qui accueille plusieurs dizaines de milliers de visiteurs et qui souhaite proposer des contenus différents pour chaque utilisateur en fonction de sa navigation, devra sans doute accueillir un Data Protection Officer en interne. Et dans beaucoup de cas où ce ne sera pas obligatoire, on aura intérêt à avoir une compétence interne qui puisse nous conseiller pour le traitement des données personnelles.

C’est clairement un nouveau métier. On ne sait pas combien d’entreprises seront concernées, mais c’est un enjeu majeur. Son rôle dépasse largement celui de chien de garde. Le DPO devient très important pour établir un cadre de confiance autour de la donnée entre les organismes (publics et privés) et leurs parties prenantes. Les Data Protection Officers seront obligatoires en mai 2018, les entreprises se doivent d’anticiper leur arrivée. Plus elles arriveront à les désigner tôt (actuellement un CIL qui deviendra leur DPO), plus elles seront capables d’intégrer les nouvelles contraintes réglementaires du Règlement Européen.

Recevez nos meilleurs articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *