DPMS vous conseil pour choisir votre prochain délégué à la protection des données (DPO)
Avec l’essor de l’e-business, la masse de données personnelles manipulée par les entreprises augmente de jour en jour. Face à cette situation, les autorités européennes ont estimé la nécessité d’une réglementation adaptée pour prévenir et limiter les abus. C’est pourquoi l’Union européenne a adopté le règlement 2016/679 (RGPD) relatif à la protection des données personnelles. L’un des points essentiels de ce règlement est l’obligation pour certaines entreprises de désigner un délégué à la protection des données ou DPO (Data Privacy Officer) avant le 25 mai 2018. Mais le choix s’avère difficile puisqu’il faut prendre en compte de nombreux critères.
Vérifier si la personne a une formation pour DPO
Le premier critère à prendre en compte pour choisir un DPO est la formation suivie par le candidat. Il doit avant tout avoir une large connaissance des législations se rapportant à la protection des données. Donc, de préférence, issu d’une formation initiale en droit avec une spécialisation pour le droit des nouvelles technologies. Notons toutefois qu’il n’existe pas de profil type. Après, le suivi d’une formation pour le métier de DPO serait aussi un grand plus. Ce type de formation permet de renforcer les connaissances acquises durant la formation initiale et de mieux s’informer sur les réalités du monde de la protection des données. Outre sa maîtrise des textes, le délégué à la protection des données devra également avoir une bonne connaissance du secteur d’activité de l’organisme dans lequel il sera amené à travailler. De plus, vous pouvez être certifié par Bureau Veritas Certification. Pour cela il faut pouvoir prouver avoir suivi un minimum de 6 jours de formation dans le domaine, avoir une expérience minimum de 2ans (ou plus selon le niveau d’études) et réussir à l’examen de certification. Par ailleurs, la personne certifiée, en adhérant à l’UDPO se verra octroyé une carte professionnelle. Le maintien de la certification (valable 3 ans) se fait via la preuve d’une formation continue minimale
Où le délégué doit être localisé ?
Pour des raisons pratiques et pour faciliter les échanges, il est préférable de choisir un délégué habitant dans un État membre de l’Union européenne. Pour les organismes qui n’ont pas d’établissement dans l’Union, ils peuvent choisir un délégué n’habitant pas l’Union. Toujours dans cette optique de facilitation des échanges et d’efficacité au travail.
Comment organiser la fonction de délégué à la protection des données ?
La fonction de délégué à la protection des données est une tâche difficile. C’est pourquoi l’entreprise doit prendre plusieurs mesures avant de désigner son délégué. Cela dans le but de faciliter le travail de ce dernier. Tout d’abord, il faut prendre connaissance des nouvelles directives décrites dans le règlement européen. On devra notamment s’appuyer sur les lignes directrices du G29, dont celles qui portent sur l’autorité chef de fil, la portabilité des données et l’analyse d’impact. Une fois qu’on aura passé cette étape d’information, on confiera au CIL ou au futur délégué à la protection des données, s’il est déjà identifié, plusieurs missions :
- Faire le point sur le processus de traitement des données personnelles de l’entreprise : un inventaire des traitements.
- Procéder à une évaluation du processus et élaborer de nouvelles procédures (notification en cas de violation des données, procédures de traitement des plaintes, privacy by design…).
- Faire le point sur les risques associés à la procédure de traitement des données
- Sur la base des constatations issues des précédentes étapes, mettre en place une politique de protection des données personnelles
- Mettre en place un réseau de référents dans les filiales, les départements métiers ou sensibles et créer un comité piloté par le DPO avec notamment le juridique, la DSI, la RH…
- Enfin, informer les personnes concernées sur les nouvelles obligations
Quand choisir un délégué ?
La procédure à suivre pour désigner un DPO est relativement simple. Il suffit de remplir un formulaire en ligne disponible sur le site de la CNIL. Actuellement, ce formulaire est disponible pour les correspondants informatique et libertés, il devrait être disponible pour les Data Privacy Officer en mai 2018. Il faut rappeler que la désignation d’un délégué sera obligatoire après le 25 mai 2018.