START Guide - C’est quoi ton job ? Data Protection Officer.

Le règlement général sur la protection des données (RGPD) entré en vigueur il y a quelques mois l’a rendu obligatoire pour de nombreuses structures. En effet, le Data Protection Officer (DPO) veille à la sécurité et à l'utilisation légale des données recueillies par l’entreprise pour laquelle il travaille. Missions, compétences, difficultés…

Fabienne L’Hostis nous en dit plus sur son métier.

Parlez-nous de votre métier, qu’est-ce qu’un DPO et depuis quand l’exercez-vous ?

J’ai d’abord été CIL (Correspondante Informatique et Libertés), l’ancêtre du DPO pendant 4 ans. Ensuite, j’ai été nommée DPO (Data Protection Officer) en 2018. Je suis la DPO d’un groupe international opérant dans une trentaine de filiales dans le monde. Concrètement cela se définit par mes fonctions mutualisées pour les sociétés françaises et par des relais dans les autres filiales que je conseille et forme.


Le métier de DPO est un métier nouveau, qui émerge avec l’urgence d’encadrer et de sécuriser les données personnelles qui circulent à travers des technologies de plus en plus complexes.

Le DPO est le Délégué à la protection des données, il est garant dans l’entreprise de la protection des données à caractère personnel selon la réglementation en vigueur. Le DPO suit les recommandations de la CNIL en se référant à la RGPD.

Quelles sont vos tâches et missions ?

J’ai principalement un rôle de garant, de conseil, et d’information sur ce sujet dans l’entreprise.

En tant que DPO mutualisée des filiales françaises, je multiplie par le nombre de filiale les tâches suivantes :

- Tenue du registre

- Audit des traitements

- Démarrage et suivi des PIA (Privacy Impact Assessement /analyse de risque)

- Communication/sensibilisation/formation

- Relecture des contrats,

J’ai également le rôle d’interlocuteur avec la CNIL.

Quelles sont les principales difficultés que vous rencontrez au quotidien ?

Le grand défi de cette mission est la nouveauté du sujet (même si la loi française existe depuis 1978). Nos traitements se sont informatisés de manière exponentielle ces dernières années. Nous devons adapter ces pratiques nouvelles à travers une réglementation de plus en plus contraignante et la législation doit s’adapter à ces nouvelles pratiques. Par exemple, le règlement européen expose de nouveaux droits pour les citoyens, tels que le droit à l’oubli (effacement des données) ou le droit à la portabilité des données personnelles (récupération des données). Ces nouveaux droits sont difficiles à mettre en place dans une entreprise car les moyens informatiques doivent également se mettre à jour en fonction. La communication du 25 mai 2018 a fait beaucoup de bien pour cette nouvelle culture : une prise de conscience des entreprises sur la nécessité de se pencher sur le sujet et de mettre en place de nouveaux processus.

La nouveauté entraine la difficulté de convaincre et oblige un accompagnement au changement. L’idéal est d’arriver à transformer cette contrainte en opportunité.


La mise en place d’un système et d’une organisation nouvelle entraine des coûts que l’entreprise n’avait pas forcément pris en compte, alors il faut prioriser les chantiers. Il faut rester pragmatique.

La RGPD concerne tout le monde, un DPO est donc obligatoire pour n’importe quel chef d’entreprise ? Quand faut-il le désigner ?

La RGPD s’applique à tous les états membres UE et à tout organisme traitant des données de citoyen européen. Cette législation ne s’applique cependant pas dans le cadre d’activités exclusivement personnelles ou domestiques. La désignation d’un DPO n’est pas systématique. Elle est obligatoire pour les organismes publics et pour les entreprises qui mettent en œuvre des traitements exigeants un suivi régulier et systématique à grand échelle des personnes concernées ou si les traitements concernent des données sensibles.

L’idéal, pour un chef d’entreprise, (et selon la taille de l’entreprise) est de désigner au plus vite un DPO qui rendra non seulement son entreprise conforme mais rassurera ses employés et ses clients.

De nouveaux règlements sont-ils sur le point d’arriver ? A quoi les entreprises doivent-elles se préparer ?

Certainement, on parle là des nouvelles technologies et de la protection juridique des individus dans ce nouveau monde. Au niveau national, la loi informatique et libertés a été modifiée le 20 juin 2018 afin de faire les mises à jour nécessaires au regard de la RGPD. Une ordonnance sur cette loi a été publiée en décembre 2018 et sera en vigueur en juin 2019. Elle vise à améliorer la lisibilité du cadre juridique en matière de protection des données : il s’agit par exemple du traitement des données de santé ou des données d’infraction, de la fixation à 15 ans du seuil d’âge du consentement des mineurs aux services en ligne, des dispositions relatives à la mort numérique, etc.


Il faut bien comprendre qu’avec la RGPD, les entreprises ont quelques années devant elles pour se mettre en conformité.

Un mot sur votre parcours, comment êtes-vous devenue Data Protection Officer ?

J’ai été missionnée pour appliquer une démarche qualité aux services informatiques et le sujet de la CNIL est venu naturellement. Mon entreprise avait fait quelques démarches auprès de la CNIL mais il fallait que quelqu’un suive le dossier. C’est ainsi que j’ai tout d’abord été nommée CIL (Correspondante Informatique et Liberté), puis DPO. Notre réelle conformité à la protection des données personnelles a commencé en 2014.

Auparavant, j’étais dans le monde de l’édition. Après un Bac +5 en sciences humaines, J’ai bénéficié d’une formation qui s’est révélée précurseur de cette spécialité de DPO à Paris VII (DESS AIGES/ PISE/ Projets informatiques et stratégie d’entreprise qui existe depuis 30 ans).

Quelles qualités et compétences faut-il avoir pour exercer cette fonction ?

Cette nouvelle spécialité demande de savoir maîtriser plusieurs disciplines, qui apparemment ne sont pas faites pour aller ensemble : informatique/ juridique/ management et ressources humaines.

Il s’agit d’être une passerelle entre le technique, le stratégique et le social.

Que conseilleriez-vous à ceux qui souhaitent devenir DPO ?

L’idéal pour ce métier est d’avoir au moins une double compétence (juridique et informatique). Je conseillerais de suivre une formation dédiée et des stages dans les entreprises.

CONTACT

arrow&v

Pour consulter et exercer vos droits veuillez consulter notre politique de confidentialité

Copyright 2020 Riviera Press

logo%20Marque%20bleu_edited.jpg
  • Linkedin Riviera Press
  • YouTube Riviera Press