DPO – Quelles sont les compétences d’un Data Protection Officer ?

Rappel sur la fonction et les missions du DPO ou Data Protection Officer

Le Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD) est une fonction créée au moment de l’entrée en vigueur du nouveau règlement général sur la protection des données personnelles (RGPD). C’est par conséquent un métier qui date de 2018.

Le RGPD, pour rappel, vise à encadrer les traitements que font les organismes et entreprises sur les données à caractère personnel à leur disposition : données prospects, données clients, données utilisateurs, données salariés…Cela dans le but de garantir aux personnes physiques une protection optimale de leurs données personnelles et un contrôle de leur utilisation.

Le RGPD fixe notamment des règles et des obligations en matière de collecte de données, de stockage des données, d’utilisation des données. Nous avons publié plusieurs guides complets sur le RGPD et les obligations qu’il entraîne pour les entreprises. Nous vous invitons à parcourir notre site internet pour approfondir votre connaissance du RGPD.

Le Data Protection Officer est la personne chargée de superviser la gouvernance des données de l’entreprise et de s’assurer que la gestion par l’entreprise des données à caractère personnel respecte le cadre juridique. Il conseille l’entreprise et les différents responsables des traitements. Ses conseils sont tout à la fois d’ordre juridiques, techniques, organisationnels.

Le périmètre de compétences du DPO est par définition multiple. Le DPO doit tout à la fois avoir de bonnes compétences en droit de la protection des données et en informatique, le tout allié à une capacité de leadership indispensable pour sensibiliser et embarquer les équipes opérationnelles. Nous allons vous aider à choisir votre DPO en revenant plus en détail sur les compétences clés du Data Protection Officer.

Les compétences du DPO : Ce que préconise la CNIL

La CNIL est l’autorité administrative indépendante chargée, entre autres, de contrôler la bonne application du RGPD par les entreprises et, le cas échéant, de sanctionner les organisations non-conformes.

Beaucoup d’entreprises s’interrogent à juste titre sur le choix de leur DPO. La fonction est relativement nouvelle et il n’est pas toujours facile de trouver un DPO réunissant les compétences requises.

La CNIL recommande de choisir le DPO en fonction de son expertise et de sa formation. Concernant ce dernier point, la formation, nous vous conseillons de privilégier les DPO disposant d’une certification. Il existe un certain nombre d’organismes de certification DPO. Nous vous invitons à découvrir le guide que nous avons produit pour vous à ce sujet.

La CNIL recommande par ailleurs de choisir un DPO n’ayant aucuns conflits d’intérêt, afin qu’il puisse réaliser ses missions en toute indépendance. Lorsque les règles du RGPD vont à l’encontre des intérêts de l’entreprise ou de sa direction, le DPO doit être impartial dans son activité de conseil. C’est d’ailleurs l’une des raisons pour laquelle il est souvent conseillé de choisir un DPO externe plutôt qu’un DPO interne.

Le DPO doit être choisi en fonction de ses compétences (nous les détaillerons plus bas), mais aussi de son expérience professionnelle. Le DPO doit avoir une expérience de la protection des données, d’un minimum de 2 ans. Dans le cas des organisations complexes traitant de données sensibles et/ou effectuant des traitements complexes, une expérience de 5 à 10 ans est souhaitée.

Les compétences que doit maîtriser un Data Protection Officer

La CNIL a publié un référentiel de certification dans lequel l’autorité de contrôle liste les 17 critères à remplir pour pouvoir obtenir une certification de la part d’un organisme certificateur DPO. Cette liste, publiée au Journal Officiel, permet d’avoir une compréhension précise et exhaustive des compétences que doivent réunir un DPO.

Ces 17 critères ou compétences peuvent être regroupés en trois familles :

• Les compétences d’ordre organisationnel. Le DPO est chargé d’accompagner l’entreprise dans la mise en place des process et traitements conformes au RGPD. Il conseille l’organisation dans la mise en œuvre d’une gouvernance des données RGPD-friendly. Le DPO doit donc disposer de compétences en matière de gouvernance d’entreprise et de conduite du changement. Il doit être en mesure de piloter les diagnostics de conformité : diagnostic des dispositifs de collecte, des bases et flux de données, de l’utilisation des données et des traitements…Il accompagne l’entreprise dans le pilotage de la mise en conformité et dans la mise en œuvre du plan d’actions. Il conçoit et anime les formations.
• Les compétences en informatique / techniques. Cartographie des données et des flux, diagnostic IT, réalisation des tests, mise en place des règles de sécurité (cryptage des données, anonymisation…), conception des procédures en cas de violation des données (failles de sécurité, fuites de données), mise à jour des modes de collecte et de recueil des consentements, création du registre des traitements…La mise en conformité au RGPD implique plusieurs étapes et chantiers d’ordre technique que le DPO doit être à même de piloter. Cela suppose de sa part des compétences techniques.
• Les compétences d’ordre juridique. Le DPO doit avoir une très bonne maîtrise du Droit des Données personnelles et connaître sur le bout des doigts les textes juridiques associés. Le DPO est également amené à aider l’entreprise dans la conception des contrats avec les fournisseurs de données, sous-traitants et autres partenaires. En cas de contentieux lié à la gestion des données personnelles, le DPO joue le rôle d’interlocuteur privilégié de la CNIL. Il doit être un fin juriste.

Comment choisir un DPO compétent ?

Vous êtes une organisation ou une entreprise à la recherche d’un DPO pour garantir la conformité de vos traitements avec les exigences du RGPD et des autres textes en matière de protection des données personnelles ?

Vous avez plusieurs possibilités. Si vous disposez en interne d’une personne réunissant les compétences nécessaires, il est bien entendu possible de confier la fonction de DPO à cette personne. Cette personne pourra exercer la fonction de DPO à temps plein ou à temps partiel selon les besoins de votre organisation. Si vous choisissez l’option DPO interne, nous vous recommandons d’offrir à votre collaborateur une formation certifiante auprès d’un organisme de certification agréé par la CNIL.

Deuxième cas de figure : vous ne disposez pas en interne d’un collaborateur disposant des compétences requises. Vous avez alors deux possibilités :

• Recruter un DPO interne. Pour étudier plus en détail cette option, nous vous invitons à découvrir le guide complet que nous avons consacré au DPO Interne. Le DPO devra idéalement être recruté en CDI, à temps plein ou à temps partiel suivant les besoins de l’entreprise.
• Faire appel à un DPO externe. Choisir un DPO externe fait sens si vous êtes une PME, voire une ETI dont le cœur d’activité ne repose pas sur le traitement massif de données ou le traitement de données sensibles. C’est dans ce cas une option plus économique. Pour en savoir plus sur cette formule consistant à externaliser la fonction de DPO, nous vous renvoyons vers le guide complet que nous avons produit au sujet du DPO Externe.

Si vous choisissez de recourir aux services d’un DPO externe, nous vous recommandons vivement de porter votre choix sur un DPO certifié. La certification est un gage de compétences.

Pour aller plus loin, découvrez nos autres guides consacrées au DPO :

• DPO Externe – Que dit la CNIL ? Quel coût ? Différence avec le DPO interne ?
• Le DPO : Est-il obligatoire ? Comment trouver le vôtre ? Externe ou interne ?
• DPO interne – Avantages et inconvénients de choisir un Data Protection Officer interne
• Devenir DPO – Quelle est la formation d’un Data Protection Officer ?