News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik
personnes en lice pour un poste

RGPD et DPO : Comment bien recruter votre DPO ?

Table des matières

RGPD DPO : Quand ? Qui ? Comment ? On vous dit tout

Qu’est ce qu’un(e) DPO RGPD?

Le/La Data Protection Officer (DPO, ou Délégué(e) à la Protection des Données dans sa version française, mais moins populaire) est le/la référent(e) quant à la gestion des données personnelles et s’assure du respect du RGPD au sein de son organisation.


Le RGPD définit les missions du DPO dans ses articles 38 et 39. Elles consistent de façon générale en un devoir de conseil auprès de sa direction lorsqu’un traitement de donnée personnelle est mis en place. Le DPO s’occupe de la sensibilisation et de la formation de tous ses collègues aux fondements de la protection des données et de la sécurité informatique.


Simplement, le RGPD fait du DPO le garant de son application au sein de son organisation, que ce soit par la mise en conformité de l’existant ou par son association à tous les nouveaux projets qui nécessiteront un traitement de données personnelles.


RGPD DPO

Quelles sont les missions d’une(e) DPO selon le RGPD


Le/la DPO est chargé(e) de la mise et du maintien en conformité de son organisme à la législation et à la protection des données. Cela passe par différentes étapes :


  • Une cartographie des activités de l’organisme qui nécessitent un traitement de données personnelles ;
  • Une mise en conformité de ces traitements ;
  • Un rôle de conseil en amont de la création de nouveaux traitements, avec notamment une analyse des risques pour chaque nouveau traitement identifié : il s’agit de l’analyse d’impact ou AIPD
  • La formation et la sensibilisation des membres de son organisation ;
  • La création d’un cadre procédural et d’une documentation autour de l’exploitation des données personnelles.

Le/la DPO est aussi l’interlocuteur des personnes concernées par les traitements de son organisme, et de la CNIL.


Est ce que je dois désigner un(e) DPO ?


Bien que la fonction de DPO RGPD ne soit obligatoire que pour certaines organisations, il est recommandé que toutes les organisations publiques comme privées se dotent d’un DPO.


La fonction de DPO est obligatoire dans 3 cas :


  • Vous êtes un organisme public ou une autorité publique
  • Vous procédez à un suivi régulier ou systématique à grande échelle de personnes
  • Vous traitez des données sensibles (ex : santé) à grande échelle

Dans tous les autres cas, recruter un(e) DPO n’est pas obligatoire, mais il est fortement recommandé d’en nommer un(e). Si toutes les organisations ne sont pas soumises à cette obligation, toutes peuvent être sujettes à un contrôle de la CNIL et à une amende… dans ce contexte, nommer un professionnel dans ce rôle parfois très technique (gestion de registres CNIL complexes notamment) de garant du RGPD qu’est le DPO est très précieux.


On peut relever que près de 80% des cas de désignation d’un(e) DPO concernent des organismes qui étaient dans l’un des cas où cela est très fortement conseillé, bien que non obligatoire.


D’ailleurs, la peur de la sanction n’est pas toujours la raison principale de la désignation d’un(e) DPO. La nomination d’un(e) DPO peut être également motivée par l’intention de soigner son image de marque, en affichant un respect scrupuleux de la législation, une attention particulière aux données des clients, et finalement utiliser le RGPD comme levier commercial et de communication, notamment en ce qui concerne l’utilisation des cookies sur son site internet.


Ecrans de monitoring DPO RGPD

Comment choisir un(e) DPO ?


Pour être DPO, il n’existe aucun prérequis imposé par la loi. Aucun diplôme n’est exigé, le DPO doit être une personne compétente et formée, qui peut être choisie parmi les collaborateurs déjà présents dans l’organisation.


Le/la DPO doit être un expert du droit de la protection des données, mais également un chef de projet et avoir des connaissances avancées en informatique.


Il a été relevé qu’en moyenne, les DPO nommés ont une formation Bac +5, souvent en droit ou gestion des systèmes d’information (à noter qu’on observe une formation souvent plus complète et un niveau de spécialisation plus élevée chez les indépendants et les externes).


Attention au conflit d’intérêt ! Un(e) DPO responsable du RGPD ne peut pas être juge et partie : toute personne qui est à l’origine d’un traitement de données personnelles (l’on pense ici notamment aux membres de la direction) ne pourra pas prétendre au poste de DPO.


Il peut vite s’avérer compliqué de trouver un profil correspondant en interne, surtout pour les plus modestes entreprises. Alors que faire ? Recruter un expert est une solution. Il est également intéressant d’externaliser son DPO, voire de le mutualiser, pour bénéficier d’une expertise de pointe et des bonnes pratiques partagées avec d’autres acteurs.


Externaliser son DPO peut également être une tactique pertinente pour les plus petites entreprises qui en raison de leur taille pourraient n’opérer qu’un traitement de données relativement restreint et n’auraient alors pas besoin d’un expert à plein temps.


Une différence notable entre DPO interne et externe est le niveau de maturité au RGPD constaté. Il a été calculé une moyenne autour des 10 ans d’expérience dans la protection des données pour les DPO externes, contre des DPO internes mutualisés qui ont souvent moins d’un an d’expérience de la protection des données personnelles.


Quelle place pour la fonction de DPO RGPD ?


Le/la DPO est totalement indépendant, et n’a pas de hiérarchie directe, si ce n’est le directeur général, et ceci afin d’éviter toute pression dans sa mission de mise en conformité au RGPD. Au-delà de cela, le DPO doit être associé au niveau le plus élevé de la direction du responsable du traitement.


D’ailleurs, le rôle de DPO est un rôle de conseil. Il ne prend lui-même aucune décision, et ne peut donc pas être tenu pour responsable des éventuelles erreurs de jugement.


Le/la DPO ne peut donc être relevé de ses fonctions ou pénalisé dans le cadre de ses fonctions, afin de garantir son indépendance.

Partager l'article