Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Le DPO
  3. La perception du métier
Extrait - Le DPO Rôle, fonction et attributs du Délégué à la Protection des Données
Extraits du livre
Le DPO Rôle, fonction et attributs du Délégué à la Protection des Données Revenir à la page d'achat du livre

La perception du métier

Le métier vu par les DPO eux-mêmes (11 interviews)

images/04DP01.png

Nous avons réalisé onze interviews de DPO afin d’avoir en direct quelques retours terrain. Sur les onze entretiens il y en a eu trois dans le domaine bancaire, deux dans le domaine de la santé, un dans le domaine ESN (Entreprise de Service du Numérique) et vente, un dans le domaine social, deux dans le domaine de l’industrie, deux dans le domaine des services conformités et juridiques.

Nous avons abordé avec chacun d’entre eux sept thématiques :

  • la gouvernance ;

  • le périmètre d’intervention ;

  • les interactions avec les autres acteurs ;

  • le temps/la charge de travail ;

  • les compétences/formations ;

  • les évolutions du métier ;

  • les constats/anecdotes.

1. La gouvernance

  • Interview A dans le domaine bancaire

    Le poste de DPO est rattaché à la Direction de la Conformité.

    Il est, en termes de positionnement, à quatre niveaux en dessous du Directeur général pour lequel il réalise des rapports trimestriels. Il travaille avec l’autonomie nécessaire, parfois en roue libre, et avec les moyens suffisants. Cependant, il n’a pour ainsi dire aucun retour concernant la communication qu’il réalise sur l’avancement de la démarche de conformité au RGPD.

  • Interview B dans le domaine bancaire

    Le DPO assure sa mission via l’animation d’un réseau de relais au sein des différentes entités de l’Entreprise. Il dispose des outils et moyens nécessaires pour réaliser sa mission.

  • Interview C dans le domaine bancaire

    Les missions sont assurées en qualité de DPO Groupe, et DPO mutualisé pour les filiales.

    Le poste de DPO est rattaché à la Direction des risques Conformité et Contrôle permanent.

    Le DPO est au sein de cette structure, positionné à deux niveaux en dessous du Directeur général. Il agit en totale indépendance, tout en réalisant un reporting au plus haut de la hiérarchie dans le cadre d’un comité de direction, dans lequel les membres du Comex (Comité exécutif chargé de la stratégie de l’entreprise) sont présents. Ce comité étant lui-même présidé...

Le métier vu par les enquêtes  (AFPA/AFCDP/CNIL/APEC…)

1. Étude DGEFP / AFPA-AFCDP le métier de DPO février  à avril 2019

Cette étude permet d’avoir quelques informations quantifiées au regard de cette nouvelle fonction qu’est le métier de DPO.

L’étude est justifiée par le fait que : «Le RGPD, dans sa signification, doit être intégré et compris par d’autres métiers. Les sciences de l’ingénieur sont particulièrement concernées et la mise en perspective d’une réglementation européenne sur l’intelligence artificielle (lien entre développement IA et données personnelles) renforce la perspective de l’intégration des dimensions éthiques dans la gouvernance et les projets d’innovation des organisations. Cela devient aussi une thématique transverse au sein des organisations. Le DPO est une nouvelle fonction qui au-delà de la mise en conformité, est un acteur central de la sensibilisation et de la prise en compte de ces enjeux de façon transverse. »

Les résultats présentés dans l’étude portent sur les DPO internes, internes mutualisés ou externes déclarés auprès de la CNIL en 2019, soit 1265 répondants, distribués comme suit :

  • 859 DPO internes ;

  • 196 DPO internes mutualisés par des responsables de traitement ;

  • 210 DPO externes.

Tout d’abord concernant la répartition par sexe et typologie de DPO les chiffres montrent, en interne, un certain équilibre, par contre le pourcentage d’homme est plus élevé en ce qui concerne les DPO externes :

images/04DP02.png

En ce qui concerne la répartition par le statut des DPO, la grande majorité sont cadres ou cadres supérieurs.

images/04DP03.png

Et en ce qui concerne leurs compétences majoritaires, c’est relativement équilibré entre l’expertise juridique et l’expertise informatique.

images/04DP04.png

Au-delà de la mise en conformité, le DPO est un acteur central de la sensibilisation et de la prise en compte de ces enjeux de façon transverse.

En ce qui concerne la répartition des DPO au regard de leur appartenance à un réseau, il est démontré...

Le métier au regard des différentes entreprises

1. La conscience numérique est un présupposé  si le métier de DPO veut être compris

La conscience numérique désigne une disposition, un éveil aux usages et innovations numériques qui aboutit à l’autonomie et à la sérénité dans les usages. C’est un cheminement intellectuel, émotionnel, pour mieux vivre le numérique dans son quotidien personnel et professionnel.

Mais, avant d’être à l’aise, la transformation numérique personnelle nécessite une mise à niveau, de l’acculturation aux domaines, l’acquisition de compétences techniques et comportementales (hard et soft skills). On peut dire que fondamentalement, la gouvernance de la donnée et des systèmes d’information implique que les différents acteurs de l’entreprise ainsi que les parties prenantes externes soient au même niveau de conscience numérique.

Ce présupposé défini, il va sans dire qu’aujourd’hui, la définition de poste du DPO est encore polymorphe, dans le sens où elle est sujette au bon vouloir du dirigeant responsable de traitement. L’exemple le plus couramment rencontré est celui du responsable de traitement qui déroge à la notion d’indépendance, comme définie dans le RGPD, lorsqu’il nomme son DSI au poste de DPO.

Depuis le 28 mai 2018, le déploiement du RGPD a occasionné des adaptations aussi nombreuses qu’il y a de profil d’entreprise. Ainsi, les groupes internationaux, leurs filiales, la plupart des ETI et les grosses PME ont rapidement mis en œuvre leurs procédures et défini les responsabilités de chacun dans la structure.

Cependant, du côté des structures intermédiaires, la tendance est encore souvent à considérer que les conditions générales de vente et les règles relatives aux cookies affichées sur leur site internet suffisent à les mettre à l’abri. La responsabilité et la confiance sont ici déplacées vers le prestataire de service, qu’il soit agence de communication digitale, ESN ou SSII.

Par ailleurs, la montée en puissance...

Et si le métier de DPO n’existait pas,  il faudrait l’inventer (cartographie des risques et  sourcing de l’information)

Les nouveaux usages de la donnée et l’accélération de la digitalisation des organisations favorisent le traitement du Big Data et augmentent le risque lié à la vie privée et à la sécurité des données. Ainsi, dans l’idéal, le DPO permet à l’entreprise de mettre en place une démarche orientée gestion des risques afin d’apporter le niveau de sécurité le plus adapté. Mais encore faut-il pour cela que les instances dirigeantes soient soutenantes et engagées.

Dans l’étude Deloitte sur le RGPD cinq ans après, plus de la moitié des organisations interrogées ont réalisé une cartographie des risques RGPD ou a intégré les risques liés à la protection des données dans une cartographie globale des risques.

Les fonctions considérées comme étant les plus à risques sont les activités de

  • gestion des ressources humaines (23 %) ;

  • production et opérations (15 %) ;

  • marketing et vente (15 %) ;

  • systèmes d’information (15 %).

Malgré la réalisation d’audits et de cartographie de risques, une organisation sur trois n’a pas intégré la protection des données personnelles dans son plan de contrôle interne.

Et si 22 % des organisations interrogées ont déjà fait l’objet d’un contrôle de la CNIL, le risque de réputation ou de sanction publique (28 %), le risque de perte de confiance des clients, consommateurs, patients ou partenaires (21 %) ainsi que le risque de plainte ou contentieux (19 %) sont les plus redoutés car plus dommageables pour les organisations que le risque d’amende administrative.

Si le DPO n’existait pas il faudrait donc l’inventer car dans cette approche par les risques, il participe à l’identification du niveau de sécurité des données personnelles de l’organisme autant qu’il conseille sur le niveau de conformité à atteindre. Il participe alors à la gouvernance globale des données...