Le délégué à la protection des données personnelles

Le délégué à la protection des données personnelles (DPO) est le responsable en matière de protection des informations personnelles, et de respect du règlement général sur la protection des données (RGPD). Le RGPD encadre depuis le 25 mai 2018, le traitement des données personnelles en Union européenne ; il fixe les règles d’usage et de traitement des données personnelles pour les entreprises. Le DPO est donc l’expert chargé d’assurer la conformité au RGPD des méthodes de traitement des données personnelles au sein de l’entreprise. Doté d’une bonne maîtrise des notions de droit et d’une connaissance approfondie des divers règlements en matière de protection des données, le DPO travaille en collaboration avec le responsable du traitement, le sous-traitant, et les employés, au traitement des données.

Les missions du délégué à la protection des données

Le DPO est principalement chargé de veiller à ce que le traitement et l’utilisation des données personnelles s’effectuent dans le respect de la législation, afin de protéger au mieux les informations personnelles des particuliers. Le DPO effectue diverses missions, dont :

  • L’information et le conseil : il est important pour l’entreprise d’être tenue au courant de toutes les normes juridiques touchant à la protection des données, et des bonnes pratiques recommandées dans le traitement des informations personnelles.
  • L’accompagnement : l’essentiel du rôle tenu par le DPO au sein d’une entreprise se retrouve dans sa mission d’accompagnement. Il s’agira de veiller à ce que les méthodes de traitement soient conformes au RGPD : assurer le suivi des traitements, l’organisation des procédures et la gestion des risques.
  • Le contrôle et le suivi : le DPO doit maintenir la conformité de son organisme au RGPD, dans une démarche permanente et efficace, grâce à des rencontres avec les directions de chaque poste ou secteur concerné dans l’entreprise.

Quand faut-il nommer un délégué à la protection des données ?

La désignation d’un délégué à la protection des données personnelles n’est pas obligatoire pour toutes les entreprises, mais elle reste fortement encouragée par les membres du G29. Cette démarche permet à l’organisme de se reposer sur un expert en matière de protection des données personnelles. La nomination d’un délégué à la protection des données devient obligatoire dans les cas suivants :

  • lorsque l’entreprise est une structure publique ou un organisme étatique ;
  • lorsqu’il s’agit d’un organisme qui traite systématiquement les informations et les données personnelles d’un nombre important de personnes ;
  • lorsqu’il s’agit d’un organisme qui traite des données sensibles, relatives par exemple à des infractions ou à des sanctions pénales encourues par les particuliers.

Qui peut devenir DPO ?

Le règlement européen dispose en son article 37.5, que le délégué à la protection des données doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ». Le DPO peut être désigné parmi le personnel de l’entreprise ou en dehors de la structure ; il peut aussi, dans certains cas, être désigné pour intervenir dans plusieurs structures différentes. Mais cette mutualisation ne peut s’effectuer que suivant certaines conditions. Le DPO affecté à plusieurs structures doit pouvoir être facilement joignable et directement disponible pour chaque entreprise ; il doit pouvoir communiquer convenablement avec chaque entité, et coopérer efficacement avec l’autorité de contrôle.

Certains critères se rapportent aux qualités personnelles du responsable de la protection des données personnelles :

  • étant directement en contact avec les responsables aux divers postes de traitement des données, le DPO doit avoir une réelle aisance en matière de communication et une certaine capacité à transmettre ses idées et ses conseils.
  • une parfaite maîtrise des diverses législations en matière de protection des données est indispensable pour que le DPO se sente totalement à l’aise dans ses fonctions.
  • afin de proposer des solutions adaptées à la structure concernée, le DPO doit avoir une bonne connaissance des missions, de l’organisation et des secteurs d’activité qui y sont rattachés.

DPO : formations et salaire

Diverses formations permettent déjà d’accéder directement à la fonction de délégué à la protection des données. Vous pouvez opter pour un Master en « management et protection des données à caractère personnel » à l’ISEP, un Master « Sécurité de l’information et des systèmes » à l’ESIA, ou un diplôme universitaire de DPO / CIL de l’université de Franche Comté. En dehors de ces formations classiques, de nombreuses entités proposent des formations courtes permettant d’accéder aux métiers de la protection des données à caractère personnel. Ces formations ont l’avantage de préparer directement aux divers examens de certification DPO, et à l’examen de certification Bureau Veritas. Cependant, avant d’opter pour une formation dans une entité, il est important de s’assurer que cette dernière dispose du label de formation de la CNIL. Par exemple, le groupe DPMS figure parmi les entités qui proposent des formations fiables et recommandables.

En raison de l’apparition récente du métier de DPO, le terme est rarement inscrit sur les fiches de postes. Néanmoins, selon les chiffres de l’Association française des données personnelles, les délégués à la protection des données peuvent gagner entre 2500 et 4000 euros mensuels. Ce salaire peut très vite varier en fonction de la capacité de traitement des données au sein de l’entreprise et en fonction du nombre de structures dans lesquelles le DPO peut intervenir.

Articles liés à ce sujet :