Data protection officer (DPO) : RGPD, Cnil, définition...
Le data protection officer ou DPO est obligatoire en France dans certaines entreprises selon le RGPD. Voici ce qu'il faut savoir sur ses relations avec la Cnil, sa formation et son salaire.
RGPD DPO
Depuis le 25 mai 2018 le règlement général pour la protection des données personnelles (RGPD) est en vigueur. Conséquence : les entreprises et les administrations qui utilisent des données à caractère personnel doivent recourir aux services d'un data protection officer (DPO). Soulignons qu'actuellement, il existe déjà dans certaines entreprises des correspondants informatique et libertés (CIL) qui font le lien entre la CNIL et les entreprises. Ils pourraient se voir requalifiés en data protection officer.
DPO obligatoire
Le RGPD rend obligatoire le métier de data protection officer dans toutes les entreprises, quelle que soit leur taille, et administrations qui sont amenées à traiter à grande échelle des données sensibles.
L'article 37 du règlement stipule que les organismes chargés de traiter des données désignent "en tout état de cause" un délégué à la protection des données lorsque :
- "Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leurs fonctions juridictionnelles"
- "Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ou"
- "Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales".
DPO Cnil
Si une entreprise ou une administration doit nommer un DPO, elle doit déclarer son identité sur le site de la CNIL via ce formulaire. En outre, le site de la Cnil comprend de nombreuses informations sur la fonction de DPO.
DPO définition
Les données sont présentes en masse dans les entreprises. Ce qui peut poser des risques en matière de sécurité mais aussi de légalité. Pour aider les entreprises, un nouveau métier a le vent en poupe dans le secteur du numérique : le data protection officer (DPO).
Sa mission est la suivante : s'assurer que son employeur ou son client respecte la législation lorsqu'il utilise les données à des fins commerciales (mailing par exemple) mais aussi à des fins internes (logiciels RH). Son rôle est donc transversal, ce qui l'amène à travailler avec de nombreux départements : direction générale, marketing, développement ou encore RH. En cas de manquement à la loi, il est tenu d'alerter sa direction dans les plus brefs délais.
Son rôle est très polyvalent. En plus de connaissances en informatique et en cybersécurité, le data protection officer est tenu de posséder une grosse culture juridique, notamment en droit des nouvelles technologies de l'information et de la communication (NTIC). Aujourd'hui, des juristes spécialistes des NTIC, des informaticiens, des ingénieurs en cybersécurité peuvent exercer des fonctions de data protection officer au sein d'entreprises ou de cabinets de conseil.
Formation DPO
Plusieurs formations permettent déjà d'accéder à un poste de data protection officer. Elles peuvent être fournies par des universités ou des écoles d'ingénieurs.
- Diplôme d'université délégué à la protection des données data protection officer (Paris II Panthéon Assas)
- Mastère de management et protection des données à caractère personnel de l'ISEP
- Mastère sécurité de l'information et des systèmes de l'ESIA
- Diplôme de correspondant informatique et libertés de l'Université de Paris Nanterre
- Diplôme universitaire de DPO / CIL de l'université de Franche Comté
- Diplôme universitaire de Délégué à la protection des données de l'Université de Technologie de Troyes
- MBA spécialisé management de la sécurité des données numériques (Institut Léonard de Vinci)
Salaire DPO
Comme bien des métiers du numérique, le poste de data protection officer est récent. Le terme n'est pas forcément inscrit sur la fiche de poste. Selon les données de l'Association française des données personnelles (AFCDP), les salariés qui exercent actuellement des fonctions correspondants à celle de data protection officer peuvent espérer un salaire mensuel brut compris entre 2 500 et 4 000 euros.
Lettre de mission DPO
La nomination d'un DPO peut être formalisée via une lettre de mission remise au DPO concerné. Cette lettre reprend les tâches confiées au DPO. Un modèle de lettre de mission se trouve sur le site de l'AFCDP.