Qu’est ce qu’un DPO (Data Protection Officer) ?

videoimg

Qu’est ce qu’un DPO (Data Protection Officer) ?

725 lecteurs
Sommaire de l'article

Qu’est-ce qu’un DPD (délégué à la protection des données) 8 minutes

Dans certaines circonstances, le GDPR impose aux entreprises de désigner un délégué à la protection des données. Dans ce billet, nous allons passer en revue les fonctions et le profil de ce type de responsable.

L’objectif du Règlement général sur la protection des données (RGPD) est de protéger les données personnelles stockées sur Internet. Pour y parvenir, le GDPR exige que toutes les entreprises qui traitent des informations privées désignent un employé chargé de superviser la conformité au GDPR. Le délégué à la protection des données, ou DPD, est le point de contact de l’entreprise pour le GDPR et devra avoir des connaissances spécifiques sur la loi concernant la protection des données et les pratiques.

Ci-dessous, nous allons expliquer ce que le GDPR entend par le rôle de délégué à la protection des données, en soulignant les responsabilités et les devoirs associés à ce poste ainsi que les qualifications qu’il requiert et les types d’organisations qui en ont besoin. L’embauche d’un DPD est une bonne idée pour votre entreprise afin d’éviter de payer de lourdes amendes pouvant aller jusqu’à 4 % de votre revenu mondial ou 20 millions d’euros.

Que fait un délégué à la protection des informations GDPR ?

Conformément à l’article 38, qui définit le rôle du DPD, « le responsable du traitement et le sous-traitant doivent veiller à ce que le délégué à la protection des données soit associé, en temps utile et de manière appropriée, à toutes les questions liées à la protection des données à caractère personnel. » L’article 38 précise également que les employés de l’entreprise ne sont pas autorisés à donner des instructions au DPD concernant l’exécution de leurs tâches. Par conséquent, non seulement le DPD dispose d’un large éventail de responsabilités, mais sa fonction est également protégée contre toute interférence éventuelle de l’entreprise. En outre, le DPD est tenu de respecter la confidentialité dans l’exercice de ses fonctions. En outre, le DPD ne sera directement responsable que devant le plus haut niveau de direction de l’organisation.

Entre les articles 38 et 39, le GDPR attribue six tâches principales au DPD :

  • Obtenir le retour d’information et les questions des personnes concernées sur le traitement de leurs informations personnelles et le GDPR.
  • Informer une entreprise et ses employés de leurs obligations en vertu du GDPR ainsi que de toute autre réglementation européenne applicable en matière de protection des données.
  • Examiner la conformité d’une entreprise au GDPR et aux autres lois applicables des États membres de l’UE sur la protection des données et former les employés à la conformité et mener des audits.
  • Réaliser des analyses d’impact de la protection des données (article 35).
  • Coopérer avec l’autorité de contrôle.
  • Servir de point d’information pour l’autorité de contrôle en ce qui concerne les questions relatives au traitement des informations personnelles et d’autres questions, le cas échéant.
Voir Aussi  Quels sont les jeux en ligne préférés des Francophones ?

En réalité, l’étendue du poste de délégué à la protection des données GDPR implique qu’il ne s’agit pas d’un poste idéal pour un collaborateur au statut junior. Un DPO doit posséder les connaissances techniques requises pour mener des évaluations liées au GDPR et avoir également une solide connaissance des lois sur la protection de la vie privée dans toutes les juridictions où se trouve son entreprise. Il doit être tout aussi à l’aise pour conseiller les dirigeants sur une stratégie de protection des données que pour présenter les nuances du GDPR aux clients et au personnel. Compte tenu de l’indépendance des DPO et de la rapidité des avancées technologiques, tout DPO potentiel doit être autonome et capable de se tenir au courant des dernières technologies et du GDPR , et d’accomplir ses tâches avec peu de supervision et d’orientation.

Avez-vous besoin des services d’un délégué à la protection des données ?

Toute organisation, quelle que soit sa taille ou son type, qui traite des données personnelles de résidents de l’UE doit avoir une personne chargée de contrôler la conformité au GDPR (cela fait partie des « mesures organisationnelles » couvertes par l’article 25). Toutefois, l’embauche d’un fonctionnaire qui est un délégué à la protection des données ne peut se faire que si vous remplissez l’une des trois conditions suivantes.

Autorité publique Le traitement des informations personnelles est effectué par des entités publiques, à l’exception des tribunaux et autres autorités judiciaires qui sont indépendants.

Surveillance régulière à grande échelle Le traitement des données à caractère personnel est la tâche principale d’une organisation qui surveille de manière continue et cohérente ses « personnes concernées » (qui, dans le GDPR, désigne les citoyens ou résidents de l’UE) à grande échelle.

Catégories de données spéciales à grande échelle Le traitement de catégories de données « spéciales » (telles que définies par le GDPR) fait partie de l’activité principale d’une organisation et est effectué à grande échelle. La terminologie utilisée ici est peu claire et nombreuse. La version préliminaire du GDPR ne tente pas de préciser ce qu’est un traitement relevant de l' »activité principale » ou « à grande échelle ». Les lignes directrices de la Commission européenne à l’intention des délégués à la protection des données fournissent des orientations, mais il n’y a pas de règles définitives. Conformément aux lignes directrices, l' »activité principale » est définie comme suit : « l’activité principale est définie comme suit

Voir Aussi  Compte MyNexity : mon espace client sur www.mynexity.fr

« les opérations essentielles nécessaires à la réalisation des objectifs du responsable du traitement ou du sous-traitant. Elles couvrent également tous les processus pour lesquels le traitement des données fait partie intégrante de l’activité du responsable du traitement ou du sous-traitant. Par exemple, le traitement des informations relatives à la santé, telles que les dossiers médicaux, est l’une des principales fonctions de tout hôpital. Par conséquent, les hôpitaux doivent être en mesure de désigner des DPD.

Les lignes directrices décrivent également les aspects dont une organisation doit être consciente lorsqu’elle décide d’effectuer un traitement de données « à grande échelle ». Il s’agit notamment de :

  • La quantité de personnes concernées en nombre particulier ou en pourcentage de la population en question ;
  • le volume des données ou l’éventail des données traitées ;
  • le temps, ou la durée la durée, ou la permanence, du processus de traitement des données ;
  • la zone géographique du traitement.

Les lignes directrices fournissent également des exemples de traitement à grande échelle, tels que le traitement des informations relatives aux patients par les hôpitaux et le traitement des données des clients dans le cadre du traitement des affaires courantes d’une banque, ou le traitement des informations personnelles pour réaliser des publicités comportementales par le moteur de recherche.

Par exemple, une organisation peut se livrer à un traitement de données à grande échelle même si l’entreprise elle-même est petite. Pour les petites entreprises, il peut s’avérer impossible d’engager un DPD à plein temps.

Dans cette situation, un DPD peut être employé ou partagé entre de plus petites entreprises, pour autant que le DPD soit facilement accessible par chaque organisation et qu’il soit en mesure d’exercer ses fonctions pour chaque entreprise. Si une organisation est trop grande pour qu’un DPD puisse s’acquitter seul de toutes les tâches, il peut être nécessaire de faire appel à du personnel de soutien. Le GDPR peut s’adapter à ces deux scénarios.

Quelles sont les qualifications requises pour un délégué à la protection des données lié au GDPR ?

L’importance et la nature des fonctions du DPD font de l’identification d’un candidat compétent un aspect essentiel de la mise en conformité avec le GDPR. Bien que le GDPR ne précise pas d’exigences spécifiques, il indique toutefois que le degré d’expertise et d’expérience requis par le DPD d’une entreprise doit être déterminé par la nature des activités de traitement des données qui sont menées. Lors de l’évaluation des candidats ou de la création d’une offre d’emploi pour ce poste, voici quelques-unes des exigences les plus importantes à connaître :

  • Expérience (plus de 5 ans) de la législation européenne et internationale en matière de protection de la vie privée, ce qui inclut la création de politiques de protection de la vie privée et de réglementations technologiques et le travail sur la conformité.
  • Une grande expérience en matière d’infrastructure ou de programmation informatique et une certification dans le domaine des normes de sécurité de l’information.
  • Expérience dans la conduite d’audits de systèmes d’information, d’audits d’attestation, ainsi que d’évaluations des risques.
  • Compétences avérées en matière de leadership pour atteindre les objectifs fixés, travailler avec divers groupes de parties prenantes et superviser plusieurs projets en même temps.
  • Capacité à coordonner en permanence avec plusieurs parties prenantes et superviseurs, tout en conservant une position indépendante.
  • Aptitude à communiquer avec des publics divers, notamment le conseil d’administration, les parties prenantes et les responsables, les juristes et le personnel informatique.
  • Détermination manifeste et capacité à acquérir des connaissances dans des environnements en constante évolution et à se tenir au courant des dernières tendances.
  • Engagement affirmé en faveur des dernières lois et technologies.
  • Expérience de la formation et de la vulgarisation technique et juridique
  • Expérience dans la gestion d’industries et de cultures diverses
Voir Aussi  Définition d’un Hyperviseur 

Étant donné que votre DSI devra connaître la manière dont votre entreprise traite et protège ses données ainsi que ses obligations légales, une bonne première étape pour le recrutement pourrait être votre service informatique ou votre service juridique. En particulier, les responsabilités du DSI sont identiques à celles du DPO. DPD. Une fois qu’un candidat interne a été identifié, il doit suivre une formation ou obtenir une certification concernant le GDPR. Bien que le GDPR doive créer des organismes de certification dans un avenir proche, certaines organisations comme l’International Association of Privacy Professionals (IAPP) et l’Association of Data Protection Officers proposent déjà des formations sur la confidentialité et la sécurité.

Trouver les services d’un DPO qui ne fait pas partie de votre entreprise demandera de la persévérance. L’IAPP estime qu’il y aura un besoin de 28 000 DPD d’ici à 2018. La demande pour ce poste devrait être bien plus importante que l’offre de candidats hautement qualifiés et rendre votre recherche du parfait DPO difficile. Les grandes entreprises devraient envisager de recruter par l’intermédiaire de l’un des plus grands salons technologiques d’Europe, notamment le CEBIT à Berlin ou InfoSecurity à Londres. Les plus petites entreprises devraient réfléchir à leurs besoins spécifiques et penser au coût de l’embauche d’un service de recrutement organisé.

Consultez également d’autres emplois dans le domaine des données :

4.1/5 - (17 votes)
Marine
Marine

Passionnée par l'entreprenariat depuis plus de 10 ans, je suis à la tête d'une société française visant à favoriser la communication des entreprises. Également attiré par la finance, je partage mes conseils et expériences au travers mes articles de blog.

Retour en haut