Portrait : qui sont les DPO, ces shérifs des données personnelles
Le DPO (Data Protection Officer, ou délégué à la protection des données personnelles) va devenir un homme clé dans les organisations publiques et privées dans moins d'un an. Le 25 mai 2018, le RGPD (Règlement général pour la protection des données) de l'Union européenne va entrer en vigueur. Et ce sera au DPO de vérifi er que la société qui l'emploie est bien en conformité avec ce règlement, dont les pouvoirs de sanction sont considérables : jusqu'à 20 millions d'euros d'amende ou jusqu'à 4% du chiffre d'affaires, la valeur la plus élevée étant retenue.
Une directive qui aura d'autant plus d'impact que même les opérateurs situés hors de l'UE devront s'y conformer, s'ils traitent des données personnelles de citoyens de pays membres. Sont visées toutes les entreprises qui traitent dans leur activité de base et de manière massive ou systématique des données personnelles. "Une PME de 20 salariés qui a une activité de régie publicitaire online va traiter 50 millions d'impressions par jour. Malgré sa petite taille, elle va devoir nommer un DPO, illustre Étienne Drouard, avocat associé du cabinet américain K&L Gates LLP. Pour un industriel qui emploie 25 000 salariés et qui fournit des tuyaux en métal à l'industrie pétrolière, on peut en revanche s'interroger. "
C'est aux entreprises d'analyser leur situation et de décider si elles doivent ou non embaucher un DPO. Étienne Drouard leur conseille d'effectuer un inventaire permanent de leurs données, de vérifier les moyens de protection qu'elles ont mis en place et de faire une cartographie de ces datas. "Il n'est pas obligatoire de créer un poste. On peut nommer un juriste, un informaticien ou le secrétaire général de l'entreprise, qui prendra cette casquette en plus de sa propre fonction", analyse le spécialiste du droit des données.
Hybride entre l'informatique et le juridique
Le DPO est donc un hybride : un juriste qui comprend ce qu'on lui dit en matière informatique ou un informaticien qui peut expliquer quelle est la contrainte juridique. "Je pense qu'actuellement, il y a sur le marché moins de 5% de la population nécessaire ", avertit Étienne Drouard dont le cabinet est submergé de demandes de conseil sur ce nouveau poste. Ce Data Protection Officer n'est en aucun cas responsable en cas de problème. C'est à la direction générale ou à un membre du comité exécutif de mettre l'entreprise en conformité… au risque d'en assumer les conséquences légales.
Pascale Gelly, ex-avocate et spécialiste de la protection des données personnelles depuis 20 ans, a été embauchée il y a deux ans comme DPO par une entreprise qui traite un nombre sensible de datas. Elle est également vice-présidente de l'AFCDP (Association française des correspondants à la Protection des données personnelles). "J'ai l'habitude de travailler avec des informaticiens, de m'adapter aux évolutions législatives et de déterminer quel impact elles vont avoir sur les nouvelles technologies", détaille-t-elle. Un exemple parmi tant d'autres : "Après les cookies est arrivée la notion de fingerprinting, l'empreinte digitale du navigateur, pour faire du ciblage. Il a fallu analyser s'il fallait le traiter juridiquement de la même manière que les cookies."
Lors de tout lancement d'un projet informatique interne, Pascale Gelly va analyser les données traitées, s'assurer de la sécurité de leur traitement et vérifier les autorisations requises. Il s'agit également de veiller à ce que les salariés soient bien informés avant le lancement du projet, de même que les départements juridiques de toutes les fi liales à l'étranger.
"Un DPO peut aussi être un consultant externe, voire mutualisé pour une profession sur laquelle il possède une expertise"
À en croire Pascale Gelly, les profi ls de DPO sont divers. Ils peuvent avoir une dominante juridique, sécurité ou conformité. "Un DPO peut aussi être un consultant externe, voire mutualisé pour une profession sur laquelle il possède une expertise. Par exemple pour les notaires, dont il connaît très bien les procédés et à qui il peut offrir un service standardisé", décrit Pascale Gelly. La juriste trouve son nouveau métier passionnant mais elle estime que ce nouveau règlement impose aux organismes un gros travail de documentation. Problème, les opérationnels ont besoin de se concentrer sur leur coeur de métier et n'ont pas le temps d'ajouter à leur journée de travail des tâches supplémentaires de documentation. "Ils risquent donc de se tourner vers le DPO pour lui demander de le faire, ce qui n'est pas son rôle premier."
L'intégration du DPO dans les organisations pourrait donc s'avérer compliquée. Mais c'est le prix à payer pour rester dans les clous en matière de traitement des données personnelles.