Assurer la conformité des traitements des données, telle est la mission du DPO, le data protection officer ou délégué à la protection des données. Il s’agit en quelque sorte d’une évolution du Cil (correspondant informatique et liberté), après la mise en vigueur du RGPD (Règlement européen général sur la protection des données) en mai 2018. Mais tous les Cil ne sont pas pour autant devenus DPO. « Le Cil avait une mission d’information et de conseil, le DPO a en plus d’une mission de contrôle », explique Chloé Torres, secrétaire général de l’ADPO (association des DPO) et avocat spécialisé dans le droit de la protection des données. Concrètement, ce professionnel est en charge du respect du RGPD au sein de l’entreprise. Il doit mettre en place des procédures pour contrôler l’utilisation faites des données. Cette mission comprend une part d’audit dans le but de préconiser une mise en conformité. « Le DPO doit identifier les données ainsi que les risques mineurs et majeurs qui y sont liés », précise Éléonore Fouquet, manager exécutif senior chez Michael Page. « C’est une fonction très transverse, ajoute Martial Mercier, trésorier de l’UDPO (Union des DPO). Il doit connaître le fonctionnement de l’entreprise pour savoir où est collectée l’information. » Pour cela, il est aussi préférable que le DPO connaisse le secteur d’activité dans lequel il exerce, comme la santé ou l’assurance, pour mieux comprendre à quel type de données il a affaire.

 

Une fonction obligatoire dans certains cas

 

Depuis mai 2018, sa présence est obligatoire dans trois différents type d’établissements. « C’est le cas dans tous les organismes publics, quand il y a traitement à grandes échelles de données sensibles comme dans les cliniques, ou quand il y a un suivi systématique et régulier d’un grand volume de données, comme dans le cadre de cartes de fidélités », précise Chloé Torres. « Il s’agit surtout d’entreprises du B to C qui ont accès à de la donnée, comme les SSII, les entreprises de grandes distributions, de la consommation, tout ce qui est en lien avec le consommateur final, » précise Constance Philippon, senior manager practices advisory, tax, legal & compliance chez Robert Walters. Ces définitions restent parfois sujettes à interprétation et il n’est pas toujours évident de savoir quelles entreprises entrent dans cette catégorie.

Pour cette raison, le recrutement de DPO n’est pas encore à la hauteur de ce qui était prévu après la mise en vigueur du règlement. « A ce jour, seules 16 000 personnes ont été désignées DPO auprès de la Cnil alors qu’il avait été estimé un besoin de 80 000 personnes pour répondre à l’enjeu du règlement européen », considère Martial Mercier.

 

Une fonction parfois rattachée à d’autres postes existants

 

Pour l’instant, ce sont surtout les grands groupes concernés par la législation qui recrutent à temps plein des DPO. La fonction est souvent rattachée à la direction juridique. En début d’activité, un DPO peut démarrer aux alentours de 30 000 à 35 000 euros annuels. « Cela peut dépasser les 100 000 euros en fonction des entreprises », précise Martial Mercier. Néanmoins, la fonction de DPO n’occupe souvent qu’une partie du temps d’un collaborateur affecté à un autre poste. « Dans les petites entreprises, cela pourra être quelqu’un de l’informatique, par exemple ou encore au niveau de l’audit. Il peut s’agir aussi d’un collaborateur en charge du contrôle interne », explique Chloé Torres. La fonction peut également être rattachée à la direction juridique ou être externalisée.

 

Chloé Goudenhooft

 

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here