Depuis l’entrée en vigueur du RGPD, (le Règlement européen général sur la protection des données), la fonction de DPO (data protection officer), en charge du contrôle du traitements des données, n’a pas connu le boom auquel on s’attendait. Qu’adviendra-t-il de cette fonction ? Les avis divergent. En un premier temps, une mise à niveau devra s’opérer pour permettre aux entreprises de se mettre à jour. Selon les professionnels du secteur, elles n’ont pas encore pris mesure de l’importance du RGPD et de la gestion des données. Or, le rôle du DPO est bien plus stratégique qu’il n’y paraît. « Selon le référentiel de la Cnil, il doit rapporter au plus haut niveau de la hiérarchie, mais c’est rarement le cas », avance estime Chloé Torres, secrétaire générale de l’ADPO (association des DPO) et avocat spécialisé dans le droit de la protection des données. Constance Philippon, senior manager practices advisory, tax, legal & compliance chez Robert Walters, explique par exemple que les entreprises devraient se mettre à renforcer leur dispositif autour de la protection des données lorsque les amendes commenceront à tomber. « Elles ont pour l’instant mis des pansements pour s’occuper du RGPD. Dès qu’elles auront compris que le règlement est vraiment devenu contraignant, il y aura de nouveaux recrutements. »
Contrôle réduit au minimum et mutualisation
Mais que se passera-t-il une fois que ce retard aura été rattrapé ? Les besoins pourraient parfois se réduire au minimum. « Après le travail de cartographie des données effectuées, dans certains cas, il sera tout à fait possible de revenir sur le contrôle du traitement des données deux heures par mois, explique Constance Philippon. Il n’y aura pas de tremblement de terre du recrutement ! Dans une grosse entreprise, un juriste d’affaire pourra s’y consacrer une partie de son temps seulement. »
Pour cette raison aussi, les postes de DPO pourront se développer davantage en dehors des entreprises, comme dans des cabinets externes. « Pour des raisons de neutralité, cela peut être intéressant. En interne, parfois, il peut être compliqué de dire à son supérieur que sa façon de gérer les données ne convient pas ! », illustre Éléonore Fouquet. Dans certains cas, le recours à un DPO mutualisé pourra aussi se montrer utile. « Une mairie de 200 habitants ne recrutera pas une personne à temps plein sur ce poste. En revanche, elle pourra employer un DPO externe qui travaillera aussi pour un ensemble de petite commune », commente Martial Mercier, trésorier de l’UDPO (Union des DPO).
Montée en puissance de la fonction
Néanmoins, la digitalisation croissante du monde de l’entreprise pourrait au contraire renforcer sur le long terme la fonction de DPO. Le besoin pourra s’étendre à d’autres secteurs que ceux des catégories obligatoires. « Avec la digitalisation des voitures, au niveau des tableaux de bord, avec utilisation des empreintes digitales, par exemple, il va y avoir la création d’une nouvelle génération de datas qu’il va falloir gérer », reconnaît Constance Philippon. Autant de nouvelles données qui devront donc être supervisées.
Selon les DPO, la fonction devrait ainsi monter en puissance une fois que les entreprises seront devenues plus matures dans leur réflexion sur les données. « Le DPO pourrait devenir un commissaire aux données, comme il existe un commissaire aux comptes, estime Chloé Torres. Un ordre pourrait alors être créé pour cette fonction. »
Chloé Goudenhooft