Quel est le rôle du DPO ou délégué à la protection des données ? Quels cursus pour devenir DPO ? Les entreprises doivent-elles l’intégrer en interne, externaliser ou mutualiser sa fonction ? Focus sur une expertise où les offres de mission se multiplient.
Pour se mettre en conformité avec le nouveau Règlement Général sur la Protection des Données (RGPD) qui entre en vigueur le 28 mai 2018 pour les 28 membres de l’Union Européenne, les organisations privées, publiques ou associatives qui traitent de grands volumes de données personnelles sont lancées depuis quelques mois dans la course au Data Protection Officer (parfois Data Privacy Officer et DPD en français). Mais les DPO sont aussi très courtisés partout dans le monde pour maîtriser la sécurité des flux exponentiels de data, entre autres ceux issus de l’Internet des objets.
Désigner ce type d’expert est l’une des obligations imposées par le nouveau règlement européen pour garantir l’intégrité et la protection des données à caractère personnel. En France, le RGPD va se substituer à la loi Informatique et Libertés et en renforcer les principes. Et les CIL, Correspondants Informatique et Libertés, 4 800 personnes en poste actuellement selon L’Informaticien, sont les professionnels tout désignés pour évoluer vers le métier de délégué à la protection des données.
Les missions du Data Protection Officer
Selon le RGPD, les missions du délégué à la protection des données s’inscrivent dans un périmètre large, relatif à la fois à la sensibilisation aux nouvelles obligations et au contrôle de leur mise en œuvre. L’Art.39 du RGPD précise ainsi les devoirs a minima du DPO :
- Informer et conseiller sur leurs obligations le responsable du traitement, les sous-traitants et employés en charge de la récolte de données personnelles de l’organisation.
- Évaluer les risques associés au traitement de données.
- Contrôler le respect du règlement.
- Coopérer avec l’autorité de contrôle, en France la CNIL.
Côté responsabilité pénale, celle du DPO n’est pas engagée, sauf en cas d’erreur professionnelle avérée, en cas du non-respect du nouveau règlement européen par l’entreprise qui le missionne. Cette charge incombe au responsable du traitement des données, au sein de l’organisation.
Se former au métier de Data Protection Officer
Des formations continues de courte durée fleurissent depuis 2016. Elles s’adressent aux professionnels en activité, DSI, DRH, managers, etc. comme la certification en 14 jours de SciencePo ou les formations très courtes labellisées par la CNIL, à l’instar des offres Anaxil ou de ib-Formation.
À l’étranger, et en Europe en particulier, on constate la même effervescence autour des formations pour ce métier. L’EU GDPR Foundation propose par exemple 4 jours en présentiel ou en e-learning avec des intervenants certifiés ISO. L’IAPP (International Association of Privacy Professionnals) est aussi en première ligne avec différents packages pour certifier des responsables de la confidentialité des données, reconnus au niveau européen (CIPP/E et CIPM).
En formation initiale, en France, il existe plusieurs voies pour acquérir les bases de cette expertise : mastère spécialisé, Diplôme d’Université ou certification par le CNAM. Elles sont listées par l’ADCDP (Association des Correspondants à la protection des Données à caractère Personnel).
La CNIL souligne qu’il n’existe pas de profil type pour devenir DPO. Mais la fonction exige un éventail de connaissances en matière de législation, de traitement de données, de SI et également une maîtrise des spécificités du secteur d’activité pour lequel le professionnel est amené à travailler.
Faut-il recruter un DPO ou engager un consultant ?
Tout dépend de la taille, des moyens et de la stratégie de l’organisation qui doit se plier à cette obligation de désigner un DPO. Les job boards affichent actuellement de nombreuses offres d’intégration en interne, comme ci-dessous sur le portail Indeed, celles de Microsoft ou Somfy dans le secteur domotique.
Mais le RGDP mentionne aussi dans l’Article 37 que le DPO pourra être désigné par plusieurs organismes différents et/ou qu’il pourra officier sur la base d’un contrat de service. Une bonne issue de secours pour les petites structures qui traitent de grands volumes de données mais n’ont pas forcément les moyens d’intégrer à temps plein un professionnel très qualifié.
Sources : Emedia UK, Parlement Européen, L’Informaticien, CNIL, ADCDP
Digital Security & Exaprobe (entités du groupe Econocom) au FIC 2018
La 10e édition du Forum International de la Cybersécurité se déroule les 23 et 24 janvier à Lille. Digital Security et Exaprobe, entités d’Econocom y présentent de nouvelles solutions et le champ de leurs expertises respectives en matière de sécurisation de l’information et des SI.
Au programme d’Exaprobe, Stand C20 :
- Lancement de l’offre ‘’Ready GDPR’’
Au programme de Digital Security, stand C15 :
- Le diagnostic de performance cybersécurité pour évaluer les fournisseurs
- Le benchmark sécurité pour évaluer et améliorer le niveau de sécurité des organisations
- La sensibilisation à la sécurité avec un casque de réalité virtuelle
- L’Observatoire de la Sécurité de l’Internet des Objets (OSIDO), outil de veille et des offres de recrutement.
- Démo Label sécurité IoT et Master Class failles IoT : en parallèle du stand, démonstration technique de Thomas Gayet, directeur du CERT-UBIK sur le label de sécurité de l’IoT (mardi 23/01 de 18h à 18h30) et Master Class sur le thème ‘’Les 50 milliards de faille IoT’’ dispensée par Thomas Gayet et Julie Juvigny, chargée d’études et de veille cybersécurité (mercredi 24/01 à 12h00).