Le DPO, fonction pivot du RGPD au sein d’organisations bien préparées
Afin de garantir la mise en application du Règlement Général sur la Protection des Données (RGPD), le DPO (Data Protection Officer) fait son entrée dans les organisations. Ayant une fonction pivot, la qualité de sa formation garantira la bonne mise en conformité de l’entreprise avec la loi. Toutefois, la sensibilisation de l’ensemble des collaborateurs aux enjeux du RGPD sera indispensable pour lui permettre de mener à bien ses missions.
Instaurer une culture de la donnée au sein de l’entreprise
Tout d’abord, il est important de rappeler que l’emploi d’un DPO est obligatoire dans 3 cas de figure : lorsque le traitement des données est effectué par une autorité publique, au sein des organismes privés traitant des informations faisant l’objet d’un suivi régulier et à grande échelle, ainsi que chez ceux qui gèrent des données sensibles.
S’il n’existe pas de profil type pour ce poste, le DPO devra néanmoins posséder de bonnes connaissances juridiques et techniques. Surtout, ses qualités premières seront ses capacités à communiquer et à savoir faire preuve de diplomatie. En tant que superviseur de la bonne gouvernance du RGPD au sein de l’organisme, il est en effet soumis à d’importants enjeux stratégiques. Le présenter comme le successeur du CIL (Correspondant Informatique et Libertés) est donc beaucoup trop réducteur, même si ce dernier pourra être amené, dans le cadre d’une évolution de ses compétences, à occuper cette fonction.
La formation du DPO intègrera donc nécessairement toutes les dimensions de ce nouveau métier. Quant à ceux qui lui rendront directement compte au sein de l’entreprise (référents RGDP, top managers…), ils devront également faire l’objet d’un accompagnement spécifique. En s’assurant que les enjeux autour du nouveau règlement sont bien compris de tous et en instaurant une véritable culture de la donnée, l’entreprise permet à son DPO de mener à bien ses missions.
Formation certifiée : une assurance pour l’entreprise
Pour cadrer cette nouvelle fonction, au carrefour entre divers domaines de compétences et dimensions stratégiques, les offres de formation se multiplient. Mais, force est de constater que toutes ne se valent pas ! Au moment de faire son choix, l’entreprise n’a pourtant pas le droit à l’erreur. Si son DPO ne prend pas la pleine mesure de sa mission, c’est toute sa politique de protection des données personnelles qui risque d’être compromise. Et le prix à payer peut se révéler très élevé : entre 20 et 30 millions d’euros d’amende et jusqu’à 4% de son chiffre d’affaires mondial.
Heureusement, il existe aujourd’hui une certification établie par Bureau Veritas, en partenariat avec l’UDPO (Union française des DPO), qui garantit la qualité des formations DPO dispensées au sein d’organismes accrédités. Celle-ci donne droit également à l’obtention d’une carte professionnelle, véritable assurance pour le futur employeur. Charge ensuite à l’entreprise d’engager son DPO dans une démarche de formation continue, rendue elle aussi obligatoire par le RGPD.
Xavier Leclerc, Président de DPMS et de l’UDPO
et
Jean-Noël Portugal, Directeur Général de Daesign