On ne s’improvise pas DPO !
Isabelle Falque-Pierrotin, présidente de la Cnil, indiquait récemment qu’en raison de l’application du GDPR « 80 000 entreprises et organismes publics devront se doter d’un DPO « . L’autorité irlandaise a d’ailleurs déjà recommandé aux organisations de désigner un Délégué à la Protection des Données (DPO) dès que possible et bien avant mai 2018. Même si le nombre est à relativiser du fait de la possibilité de recourir aux services d’un DPO mutualisé, la chasse est ouverte alors même que le marché des ressources connaît de fortes tensions.
DÉSIGNATION D’UN DPO : PAS TOUJOURS OBLIGATOIRE, MAIS FORTEMENT CONSEILLÉE
Qu’elle soit responsable de traitement ou sous-traitante, toute organisation devra obligatoirement désigner un DPO dans les cas suivants :
- le traitement est effectué par une autorité publique ou un organisme public,
- ou si ses activités de base consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- ou si ses activités de base consistent en un traitement à grande échelle de données sensibles,
- ou si la désignation d’un DPO est rendue obligatoire par la loi d’un état membre.
En dehors de ces cas, les organisations seront donc libres de désigner un DPO, mais attention à ne pas se tromper. En effet, l’absence de désignation d’un DPO dans les cas où cela serait obligatoire sera théoriquement passible de sanction d’un montant maximum de 2% ou de 10 M€. Aussi et sauf à ce qu’il soit évident qu’il n’y a pas lieu de désigner un DPO, le G29 recommande de documenter l’analyse qui a permis de déterminer que la désignation d’un DPO ne s’imposait pas.
OISEAU RARE, MOUTON À CINQ PATTES, AUTANT DE QUALIFICATIFS LAISSANT À PENSER QUE LE DPO DEVRAIT PRÉSENTER DES QUALITÉS « HORS NORMES »
Selon le GDPR, le délégué à la protection des données est désigné sur la base des éléments suivants :
- ses connaissances spécialisées i. e. approfondies du droit européen et des législations nationales applicables,
- sa capacité à conseiller l’organisation sur le droit applicable, notamment sur l’analyse d’impact relative à la protection des données et à en vérifier l’exécution,
- ses connaissances des pratiques en matière de protection des données, concernant par exemple les technologies de l’information et de la sécurité du système d’information ou les transferts internationaux de données. Plus les traitements seront complexes plus le DPO devra justifier d’une expertise élevée.
- sa capacité à promouvoir une culture de protection des données dans l’organisation ce qui demande des aptitudes de communication et de gestion des conflits,
- sa capacité à contrôler le respect des règles internes du responsable du traitement ou du sous-traitant,
- sa capacité à coopérer avec l’autorité de contrôle.
A l’évidence, le DPO devrait pouvoir justifier d’une certaine séniorité et bénéficier d’une position hiérarchique suffisamment élevée dans l’organisation. Il devra faire preuve de leadership, être un bon communiquant, être convaincant mais diplomate. Parmi les savoir-faire recherchés par les organisations, la capacité d’analyse arrive en tête, suivie de la connaissance de la réglementation, de compétences en gestion de projet et enfin de compétences IT/sécurité. Côté savoir-être, le DPO doit faire preuve de réflexion stratégique (37%), de capacités de communication (36%), d’esprit pratique (35%) et de créativité (26%).
LA RARETÉ DU DPO DONNE-T-ELLE DU PRIX À CE PROFIL « EXCEPTIONNEL » ?
Pas vraiment si l’on en croit les offres d’emploi diffusées sur internet et dont la rémunération est publiée mais qui pour la plupart ne s’adressent pas à un profil répondant aux exigences du règlement évoquées ci-avant. La plupart des offres proposées dans la région parisienne et accessibles sur internet se situent entre 30K€ et 50 K€. Au Royaume-Uni le salaire médian annuel d’un DPO serait de 67,7 K€[1]. Selon l’IAPP[2], le salaire moyen des professionnels de la « privacy » en Europe serait d’environ 77 K€, les salaires les plus élevés et connaissant une plus forte progression (autour de 5%) ayant un background juridique. Par contre, les personnes ayant été désignées avec le titre de DPO auraient un profil IT/sécurité pour 25 % d’entre elles, conformité pour 26 % et juridique pour seulement 16 % d’entre elles.
LA DÉSIGNATION D’UN DPO EXTERNE PEUT ÊTRE UNE BONNE SOLUTION
La fonction de DPO peut en effet s’exercer sur la base d’un contrat de service avec des professionnels spécialistes de la protection des données et disposant des qualités requises. L’organisation peut ainsi s’appuyer sur les compétences et l’expérience de plusieurs individus appartenant à une même équipe au sein de laquelle un des membres sera le référent DPO pour le client. L’organisation pourra aussi bénéficier d’un transfert progressif de compétences.
[1] https://www.itjobswatch.co.uk/jobs/uk/gdpr.do
[2] https://iapp.org/resources/article/2017-iapp-privacy-professionals-salary-survey-executive-summary/