Qui est le DPO, véritable chef d'orchestre du RGPD ?

Le DPO (Délégué à la Protection des Données personnelles) est un chef d'orchestre qui fait jouer une partition : Le RGPD. C'est un métier nouveau qui va connaître une grande demande.

L’orchestre se met en place, la partition peut commencer

Le public a pris place dans l’immense salle de concert de l’Europe. Venus de tous les horizons, se mêlent les personnels des administrations, les personnels des établissements de santé, des banques, des assurances, des services financiers, et tout un peuple qui souhaite que soit bien gardée la maîtrise de lui-même. Le public veut être bercé par la confiance qu’il accorde aux musiciens qui vont animer le spectacle. Il veut retrouver la certitude que ce qu’il confie à cet orchestre, ses joies, ses peines, ses pensées ne seront pas divulguées car jusque-là beaucoup de fausses notes ont été commises, et les contrôles n’étaient pas très efficaces. Ce jour si attendu est enfin arrivé !

Nous sommes le 25 mai 2018.

Sur scène, les musiciens prennent place, précédés par le directeur du théâtre : Au piano, le responsable juridique, au violon, l’expert sécurité des données numériques, à la contrebasse anonymisée le directeur des ressources humaines, au pipeau le directeur marketing. Les chefs de projets entrent sur scène avec leurs instruments. L’orchestre est fin prêt.

Entre alors le chef d’orchestre, le DPO ou Data Protection Officer, en Français le Délégué à la Protection des Données personnelles. L’orchestre se lève, salue et se rassoit. Le public retient son souffle.

Sur un geste du DPO, la musique envahit la salle. Les PIA, Privacy Impact Assessments, égrainent leurs notes cristallines, auxquelles se mêlent les notes complexes des cryptologues, et l’arrière son plus feutré des anonymiseurs. Les musiciens tournent en cadence les pages de leurs répertoires. La musique du RGPD, Règlement Général sur la Protection des Données personnelles enfle, s’envole hors des murs de la salle de concert et s’entend dans toute l’Europe et même au-delà.

Le DPO, chef d’orchestre de la partition RGPD

Le RGPD, écrit par les instances européennes en avril 2016 entre en application. Il a fallu et il faut encore sensibiliser les diverses entités des organisations qui travaillent dans certains domaines spécifiques (administration, santé…) ou qui font des traitements à grande échelle ou réguliers et systématiques des données personnelles de leurs employés, de leurs clients, de leurs prospects. Il faut tenir des registres où sont inscrits les traitements de ces données et leur finalité. Pour que la partition puisse être jouée par tous les orchestres, il faut que les feuillets soient écrits dans un format portable et standard.

Mais qui est ce chef d’orchestre qui synchronise les musiciens ?

C’est le DPO. Il connait la musique que va jouer chacun des acteurs, bien sûr, mais ce n’est pas lui qui la joue, il la dirige. C’est une tâche noble, complexe, mais qui porte vers des horizons prometteurs. Mi juriste et mi technicien, le DPO sait diriger toutes les actions concernant la protection des données personnelles, par exemple celles des juristes et des techniciens. C’est lui qui rend, en France, des comptes à la CNIL en cas de contrôle et qui la tient informée. En cas de fausses notes, il a 70 heures pour le faire.

Le patron, responsable des traitements, est garant devant la loi de la bonne tenue de la protection des données personnelles qui lui sont confiées ; le DPO, lui, est responsable que tout soit fait en conformité avec le Règlement Européen directement applicable, mais avec quelques aménagements possibles, dans 29 pays d’Europe. Le responsable des traitements peut confier une partie de l’exploitation des données personnelles, et de leur sécurité, à des sous-traitants. Alors le DPO doit s’assurer que les termes des contrats de sous-traitance sont clairs et ne laissent rien dans l’ombre, quant aux responsabilités de chacun.  

D’où vient ce DPO et quelle est sa place ?

De même qu’on ne s’improvise pas chef d’orchestre, on ne s’improvise pas DPO. On le devient après une formation juridique mais aussi technique. Il faut connaître les 99 articles du Règlement Général sur la Protection des Données personnelles et savoir comment le faire appliquer en tenant compte des métiers et de la stratégie de son organisation. Parfois ancien CIL, Correspondant Informatique et Libertés, parfois extérieur à l’organisation, parfois mutualisé sur plusieurs organisations, le DPO ne doit pas être en conflit d’intérêts avec d’autres fonctions, comme celles de directeur marketing ou de directeur des ressources humaines, qu’il ne peut donc exercer en parallèle. Il doit avoir les moyens d’exercer son travail et aussi bénéficier d’une certaine indépendance vis-à-vis de sa direction générale. Connaissant bien les métiers de l’organisation où il travaille, ayant fait ses preuves sur son sérieux, son efficacité et sa rigueur, il peut ensuite espérer accéder à d’autres fonctions de direction chez son employeur, ou chez ses clients en cas de métier de DPO mutualisé.

Le DPO, un métier d’avenir devenu dans certains cas indispensable.

Etre DPO, c’est exercer un métier de direction, avec de grandes responsabilités envers le public qui confie ses données à caractère personnel, envers les "musiciens" qu’il dirige pour protéger ces données et envers la direction générale qui compte sur lui pour que la partition du RGPD soit jouée sans accrocs.

Etre DPO, c’est exercer un métier d’avenir. Il est impératif d’organiser les enseignements pour former les cohortes de DPO dont l’industrie, les services et l’administration ont besoin. Sont concernés les écoles d’ingénieurs, les instituts où on enseigne les matières juridiques ou scientifiques. Former à ce métier devient indispensable, car les DPO seront recherchés par des dizaines de milliers d’organisations en France, alors que le Règlement Général sur la Protection des Données personnelles entre en application, assorti de lourdes sanctions pour qui ne montre pas son sérieux avec les données personnelles qu’on lui confie. Mais le DPO, soucieux de garantir la conformité de l’organisation avec le RGPD, est aussi le garant d’une compétitivité et d’une image de sérieux très bénéfiques pour qui protège selon les règles européennes ses informations à caractère personnel.