DossierRGPD: tout savoir sur le DPO, délégué à la protection des données

Publié par le

3 - Les qualités indispensables du DPO

Pour garantir la conformité des traitements, sans pour autant tomber dans le travers de l'interdiction "par précaution", le délégué à la protection des données devra faire preuve de diplomatie! Et ce n'est pas la moindre de ses qualités...

Les qualités d'un bon DPO? "Un tiers d'informatique, un tiers de juridique, un tiers de capacités organisationnelles... Et un quatrième tiers de bon sens!", sourit Alain Bensoussan, avocat spécialisé en droit du numérique et des technologies avancées, fondateur du cabinet éponyme et également président de l'Association des data protection officers. Car le délégué va passer son temps à arbitrer... Il n'y a pas un profil type. Issue du domaine technique ou juridique, par exemple, la personne qui a vocation à devenir DPO doit disposer,pour la Cnil (au regard de l'art. 37.5 du RGPD), d'une expertise dans le domaine des législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le DPO sera également capable de communiquer efficacement.

"Il apparaît comme un coordinateur, un superviseur associé à toutes les questions relatives à la protection des données au sein de son entreprise, résume Hélène Legras, vice-présidente de l'Association des data protection officers. Il ne peut être expert dans tous les domaines et doit s'appuyer sur d'autres expertises internes." Comme bien des fonctions émergentes (contract manager, risk manager...), le délégué aura donc un rôle charnière entre les différentes directions de l'entreprise: SI, juridique, opérationnelles...

Un niveau d'expertise à adapter selon les traitements de données effectués

Selon l'activité de l'organisme et le niveau de sensibilité de ses traitements, son niveau d'expertise sera plus ou moins élevé. Il doit également disposer d'une bonne connaissance du secteur d'activité et de l'organisation de la structure: les opérations de traitement qu'elle effectue, son SI et ses besoins en matière de protection et de sécurité des données. La Cnil insiste sur la nécessité de "favoriser un délégué géographiquement proche pour faciliter une communication efficace": le RGPD précise que le délégué doit être "facilement joignable à partir de chaque lieu d'établissement" (art. 37.3).

Son choix dépendra beaucoup des traitements effectués par la structure. Ainsi, pour une entreprise qui n'a que peu de traitements, un DPO externe sera pertinent. Dans les collectivités territoriales et organismes publics, la nomination d'un DPO mutualisé permettra de satisfaire l'obligation légale en ayant un pilote local de la conformité. Pour la Cnil, il faut avant tout "favoriser un expert du secteur", qui connaîtra bien les spécificités des données traitées.

Sur le même sujet

La rédaction vous recommande