Missions principales
Pilotage de la conformité des traitements de données mis en œuvre par l’organisme qui le désigne (que cet organisme soit responsable de traitement ou sous-traitant)
- Cartographier les traitements et en établir le registre obligatoire.
- Mesurer les potentiels écarts entre les pratiques de l’organisme et les obligations légales fixées par le RGPD ou la loi en matière de données personnelles (gap analysis) que ce soit dans les traitements existants ou les projets de traitements.
- Concevoir, mettre en place et réviser les méthodologies et processus nécessaires pour mettre les traitements en conformité avec la réglementation sur la protection des données.
- Accompagner les organismes clients en ce sens, lorsque la mission est portée par des prestataires externes.
- Superviser les analyses d’impact relatives à la protection des données.
- Prendre en charge l’élaboration d’un bilan annuel de son activité et faire ressortir des axes d’amélioration.
- Contribuer au déploiement de nouveaux outils et méthodes de traitements de données.
Mission de veille
- Assurer une veille juridique, technique et sectorielle relative à la protection des données.
- Veiller à l’intégration des évolutions réglementaires et doctrinales et mettre en place le cas échéant de nouvelles procédures.
- Assurer une veille technologique et sociétale pour tenter d’anticiper certaines mesures.
Information et conseil
- Analyser les besoins des différents métiers de l’organisme en termes de formation à la réglementation des données à caractère personnel.
- Transmettre les connaissances adaptées aux besoins recueillis et former aux procédures à respecter via des ateliers de formation, de présentations, de livrables, de mise en situation, etc.
- Responsabiliser le ou les responsables de traitements ou sous-traitants vis-à-vis de tout risque encouru en cas de non-conformité.
- Alerter, si besoin, le responsable de traitement ou le sous-traitant.
- Conseiller et adapter son discours pour les décideurs (responsables, chefs de service, directeurs, etc.) et les opérationnels.
- Informer et sensibiliser les clients et usagers : gestion des mentions légales relative à la protection des données, communications sur l’exercice des droits des personnes, etc.
- Contribuer au bon traitement des demandes d’exercice des droits et des réclamations.
Contrôle du respect de la réglementation
- Établir une documentation au titre de l’accountability (responsabilité).
- Interagir avec la Cnil (réponse aux sollicitations de la Cnil, questions posées à la Cnil sur des traitements particuliers, collaboration lors de l’instruction des plaintes et lors des missions de contrôle de la Cnil).
Activités éventuelles
- Échanger sur son activité lors de rencontres avec les autorités de protection des données (lors de tables rondes, de conférences) et au sein d’organisations et associations clés sur le sujet des données personnelles.
- Assurer, en appui aux autres directions, des missions juridiques : revoir les contrats avec les sous-traitants sur la base des nouveaux impératifs de mise en conformité, gérer les urgences (plaintes, contrôles, violation de données, etc.).
- Travailler à la sécurité des systèmes d’information en appui aux autres directions : mise en place d’une équipe dédiée, coordination des audits de sécurité informatique, actions de sensibilisation du personnel, etc.
Variabilité des missions
Les activités du/de la DPO peuvent différer selon qu’il/elle soit externe ou interne à l’entreprise.
En interne, la fonction de DPO peut se cumuler avec un poste déjà existant, par exemple, RSSI, sous réserve de ne pas créer de conflit d’intérêts.
La répartition des activités du DPO dépend des métiers préexistants : ainsi, il/elle peut être amené(e) à travailler davantage sur la sécurité des systèmes d’informations, sur les mentions d’informations, etc. Selon ses activités, le/la DPO est parfois rattaché(e) à une direction spécifique, même si le rattachement à la direction générale reste le plus fréquent.
Dans le cas où il/elle travaille pour le compte de clients tiers, ce qui est le cas notamment lors d’intervention en tant que prestataires (ESN, cabinet d’avocat), des attentes fortes sont exprimées en matière de capacité d’adaptation et d’intégration dans des contextes divers.
Il/elle peut aussi intervenir en tant que « DPO interne mutualisé(e) » pour le compte de plusieurs organismes, partageant son temps de travail entre ceux-ci. Il peut s’agir par exemple de DPO recruté(e)s par des groupements d’employeurs ou par des groupements de collectivités territoriales, ou des groupements hospitaliers de territoire, tant que ce cumul ne crée pas de conflits d’intérêts. Dans tous les cas, il/elle doit faire directement rapport au niveau le plus élevé de la direction de la structure.
Rattachement hiérarchique
- Directeur général/directrice générale
- Secrétaire général(e)
- Directeur/directrice juridique
- Directeur/directrice informatique
- Directeur/directrice de la conformité
Contexte et facteurs d’évolution du métier
En France, le premier texte de loi de référence remonte à 1978. Il s’agit de la loi informatique et libertés qui a instauré la Commission nationale de l’informatique et des libertés (CNIL). Cette loi a récemment été complétée par l’entrée en application, en mai 2018, du règlement général sur la protection des données (RGPD).
Le RGPD est un texte majeur posant à l’échelle européenne des règles strictes relatives au traitement des données à caractère personnel, à la libre circulation de celles-ci, et au respect des droits des personnes (droit à l’information, droit à l’accès, droit d’opposition). Devant garantir tant la confidentialité que l’intégrité de ces données, les entreprises sont désormais tenues de mettre en place des techniques de sécurisation des données (chiffrement de données, chiffrement des connexions) et de procéder à des audits réguliers de leurs systèmes informatiques et des procédures en matière de traitement des données. Elles ont enfin comme obligation de définir des procédures permettant la mise en place de solutions correctives, le cas échéant, la non-conformité pouvant entraîner de lourdes pénalités.
Le/la DPO peut être recruté(e) directement par l’entreprise dans laquelle il/elle va conduire ses missions, ce qui est souvent le cas dans le milieu bancaire ou assurantiel. La désignation du/de la DPO est une obligation pour tous les organismes publics et pour les entreprises dont l’activité de base nécessite un traitement de données sensibles (telles que les données de santé) ou un suivi régulier de personnes et à grande échelle. Cette désignation est dès lors un enjeu majeur pour une bonne gouvernance de ces organismes.