Compétences nécessaires pour le métier
Les compétences
Les compétences du DPO attendues au regard du règlement européen sont à « géométrie variable ». En effet tel que précisé dans l’article 37, paragraphe 5, le DPO « est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».
Par ailleurs, le considérant 97 indique que le niveau de connaissances spécialisées requis devrait être déterminé en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées.
En complément du règlement, d’après les lignes directrices du CEPD, le niveau d’expertise du DPO doit être apprécié différemment selon les types de traitement mis en œuvre. Il devra être proportionné à la sensibilité, la complexité et au volume des données traitées.
Le DPO doit disposer de connaissances professionnelles attestées :
-
Expérience des lois et des pratiques...
Les compétences spécifiques à l’international
En tant que DPO, les compétences internationales peuvent être essentielles dans certains cas. En effet, il doit parfois travailler avec des réglementations de protection des données qui peuvent varier d’un pays à l’autre.
Les compétences importantes sont la connaissance des principales lois et réglementations de protection des données à travers le monde ainsi que l’adaptabilité aux cultures et aux langues.
Travailler avec des équipes internationales signifie interagir avec des personnes de cultures différentes et parlant différentes langues.
Le DPO doit être capable de :
-
communiquer efficacement avec les équipes métiers et de comprendre les nuances culturelles qui pourraient avoir un impact sur la gestion des données à caractère personnel ;
-
identifier les risques potentiels pour la protection des données à l’échelle internationale, mettre en place des mesures appropriées pour les atténuer.
Si l’organisme opère dans différents pays, le DPO devra être capable de communiquer avec les différentes autorités de contrôle de la protection des données selon les exigences de chaque juridiction.
Les lois et les réglementations sur la protection des données évoluant rapidement, le DPO doit rester constamment à jour sur les nouvelles lois en effectuant une veille quotidienne et en s’adaptant. D’autant plus qu’à ce jour il n’y a pas d’harmonisation établie entre les différentes réglementations et lois dans le monde, pour la protection des données personnelles, en dehors de l’Union européenne.
Prenons l’exemple de la Chine, elle a fait de la gestion du consentement un pivot de sa démarche de protection des données à caractère personnel alors que la plupart des états américains n’intègrent pas cette notion.
Vous trouverez ci-dessous une liste non exhaustive des principales lois et réglementations dans le monde :
Nom du Pays |
Niveau de protection |
Autorité -Texte de lois |
Caractéristiques |
Afrique du Sud |
Autorité indépendante et loi(s) |
Autorité... |
Les qualités
Bien que l’article 37 du Règlement européen (RGPD), paragraphe 5, ne précise pas les qualités professionnelles à prendre en considération lors de la désignation du DPO, il est nécessaire que les DPO disposent d’une expertise dans le domaine des législations, des pratiques nationales et européennes en matière de protection des données, ainsi que d’une connaissance approfondie du RGPD.
D’autres qualités s’ajoutent aux qualités professionnelles élémentaires :
-
La connaissance du secteur d’activité et de l’organisme du responsable de traitement est utile. Le DPO devrait également disposer d’une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d’information et des besoins du responsable du traitement en matière de protection et de sécurité des données.
-
Dans le cas d’une autorité publique ou d’un organisme public, le DPO doit également avoir une bonne connaissance des règles et procédures administratives de l’organisme.
-
En complément du règlement, selon les lignes directrices du CEPD, la personne doit également présenter les qualités personnelles nécessaires à cette fonction :...
Les formations
Il n’existe pas de profil type du DPO.
En effet, selon l’étude sur les DPO réalisée par l’AFPA en partenariat avec la CNIL, environ 28 % des DPO ont un profil informatique, et le même pourcentage un profil juridique, les 43 % restant provenant de l’administratif, de la finance, de la conformité, de l’audit, etc.
L’obtention d’un diplôme particulier ou le suivi d’une formation spécifique ne sont pas exigés pour être désignés DPO.
Il doit cependant disposer de compétences et connaissances adéquates pour exercer ses missions.
Ainsi, si le DPO ne dispose pas d’un diplôme spécialisé dans la protection des données, il aura fréquemment complété sa formation académique par une expérience professionnelle ou une formation continue dans la sécurité informatique, le droit, ou toute autre matière pertinente pour l’exercice de ses fonctions.
Retour d’expérience « formations » : au début de l’application du RGPD, les formations étaient très théoriques, avec peu d’exemples concrets et pas de mise en situation professionnelle. Elles ne permettaient pas à un DPO débutant d’être autonome sur le sujet à l’issue de la formation. La mise en œuvre de la démarche de conformité s’apprenait donc sur le terrain. Depuis, il semble que certaines formations aient évolué mais la certification AFNOR s’appuie majoritairement sur les connaissances du règlement, ce qui ne donne pas forcément les clés pour animer de façon opérationnelle l’activité autour du RPGD. |
Le responsable de traitement recrutant un DPO doit s’assurer que le candidat retenu dispose des connaissances spécialisées requises et doit lui permettre d’entretenir...
Les différents types de contrats (DPO interne, mutualisé, DPO externe)
Chaque organisme est libre d’organiser la fonction de DPO selon ses besoins.
Il s’agit d’un choix qui appartient à l’entité, en fonction notamment des avantages et inconvénients du recours à un DPO externe ou interne, de l’offre interne disponible et de l’organisation de la structure.
1. DPO interne
Le délégué à la protection des données peut être un salarié de l’organisme. Le DPO interne peut exercer ses fonctions à temps plein ou à temps partiel.
La désignation d’un délégué à temps partiel impose une évaluation de sa charge de travail afin de lui allouer le temps nécessaire à l’exercice de ses missions.
Dans les faits, beaucoup de DPO internes ont peu de temps à consacrer à leur mission de DPO, souvent cela représente moins de 50 % de leur temps.
Selon l’étude réalisée par l’AFPA en partenariat avec la CNIL, seul un quart des DPO internes exerce cette mission à temps plein.
Un délégué à la protection des données interne a une bonne connaissance de l’environnement de travail dans lequel il opère. Il connaît les interlocuteurs, les valeurs de l’organisme, les process métier mis en place, les outils et logiciels utilisés au quotidien…
De plus, un DPO interne sera potentiellement plus réactif en cas de nécessité d’intervention physique « immédiate ». Étant un salarié de l’organisme, il est sur site, à proximité des collaborateurs au sein des différents services.
Selon son métier et son expérience professionnelle, le salarié aura besoin d’un temps de formation pour acquérir les connaissances nécessaires à la nouvelle mission que l’on vient de lui confier.
L’article 38 du RGPD, paragraphe 3, prévoit certaines garanties de base destinées à faire en sorte que les DPO soient en mesure d’exercer leurs missions avec un degré suffisant d’autonomie au sein de leur organisme.
Il s’avère...
Les outils (bureautique, outils métier…)
1. Les outils bureautiques
Les outils bureautiques peuvent être des outils de conformité RGPD tout à fait suffisants.
Pour faciliter la tenue du registre, la CNIL propose d’ailleurs un modèle de registre (https://www.cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement) de base destiné à répondre aux besoins les plus courants en matière de traitement de données, en particulier des petites structures. Ce document vise à recenser les traitements de données personnelles mis en œuvre dans votre organisme en tant que responsable de traitement.
Centralisé et régulièrement mis à jour, il vous permet de répondre à l’obligation de tenir un registre prévu par le RGPD.
Si vous n’avez qu’une dizaine de traitements à cartographier, ce format Excel est tout à fait adapté. C’est le cas de la plupart des entreprises équipées d’un système d’information simple permettant de gérer les traitements classiques : gestion des employés (administration, paie, recrutement), gestion des droits d’accès (SI, bâtiments…), gestion des clients et prospects (prospection, facturation, CRM, emailing…).
Par contre, l’utilisation de fichiers Excel trouve rapidement ses limites dès que l’on a affaire à un système d’information un peu plus complexe, avec de nombreuses applications, parfois redondantes, plus ou moins bien intégrées et déployées sur des filiales n’ayant pas toutes les mêmes processus métiers.
Au final, la mise à jour du registre de traitements peut devenir un véritable casse-tête.
Les inconvénients parfois relevés par certains DPO lors de l’usage du modèle de registre de traitements fourni par la CNIL sont :
-
redondance et qualité des informations ;
-
travail mono-utilisateur ;
-
pas de traçabilité des informations ;
-
visualisation limitée.
Le DPO accompagne les responsables de traitements dans la réalisation des livrables et donc dans l’utilisation de ces outils bureautiques.
2. Les outils métiers
L’arrivée du RGPD a été...