DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
4 - Le DPO, un nouvel acteur au sein de l'entreprise
Le RGPD prévoit la création du poste de DPO (délégué à la protection des données) dans certaines structures. Dans quels cas est-il obligatoire? Ce poste doit-il forcément être internalisé? Le point sur le sujet.
La désignation d'un délégué à la protection des données, qui sera le garant de la conformité au règlement, est obligatoire dans certains cas:
- lorsque le traitement des données est effectué par une institution publique
- si les activités de base de l'organisme consistent en des traitements qui imposent un suivi régulier et systématique à grande échelle des personnes concernées (par exemple pour les ciblages marketing ou la lutte contre la fraude)
- si les activités de base de l'organisme consistent en des traitement à grande échelle de données sensibles ou de données relatives aux condamnations et infractions spéciales (par exemple des infractions pénales dans le cadre de la lutte contre les incivilités en banque).
Le DPO doit avoir une certaine neutralité et être en contact direct avec le Comex pour remonter les problématiques rapidement. À noter, le RGPD autorise la mutualisation du DPO pour des groupes d'entreprises. Les petites structures pourront aussi faire appel à un prestataire externe, à condition que ce délégué soit "facilement joignable à partir de chaque lieu d'établissement" (article 37.5 du RGPD).
Pour rappel, même si une entreprise n'est pas concernée par l'obligation de désigner un DPO, elle devra tout de même pouvoir justifier à tout moment du strict respect du RGPD dans sa gestion des données.
Sa formation
Il existe un certain nombre de formations diplômantes, parmi lesquelles:
- Le Mastère "Management et protection des données à caractère personnel" de l'Isep
- La formation "Administration de bases de données", dispensée par le Cnam
- Le Mastère "Sécurité de l'information et des systèmes" de l'ESIEA
- Le diplôme universitaire "DPO/CIL", de l'Université de Franche-Comté
- Le diplôme "Correspondant informatique et libertés", de l'Université de paris-Nanterre
Sa rémunération
Le métier étant récent en France, il est difficile de donner une grille de rémunération. Toutefois, selon l'Association française des correspondants aux données personnelles (AFCDP), les DPO gagnent, en moyenne, entre 2500 euros et 4000 euros bruts par mois.
Les missions du DPO
Le délégué à la protection des données (DPO) est le "monsieur données personnelles" dont chaque entreprise devra se doter, en interne au-delà d'une certaine dimension. Comme le régime déclaratif de la loi de 1978 et de la Directive de 1995 va disparaître, le DPO devient le garant interne de la conformité de l'entreprise à la réglementation. Il est important de s'interroger rapidement sur le profil qui doit être le sien (à la fois juriste mais aussi technicien pour comprendre les traitements et exiger la sécurité).
Son travail sera notamment d'inscrire sur son registre l'ensemble des traitements de données personnelles mis en oeuvre dans l'entreprise, les procédures de sécurité et la mise en oeuvre des notifications de failles de sécurité par exemple. Il devra être en contact direct avec la direction générale et avoir son oreille. Son recrutement peut se faire en parallèle des travaux juridiques initiaux et des analyses de risques techniques à mener pour cartographier l'existant au sein de l'entreprise, identifier les réformes à mener et donner corps à celles-ci.
Pour aller plus loin sur la question du délégué à la protection des données, consultez notre dossier "RGPD: tout savoir sur le DPO, délégué à la protection des données"
À lire aussi: "RGPD: le DPO, un mouton à 5 pattes?"