18 mai 2018 • FED Legal • 5 min

Le règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 18 mai 2018. Si son article 37 impose la nomination d’un data protection officer (DPO) pour certaines structures uniquement (organismes publics, activités exigeant un suivi régulier et systématique ou traitant de données sensibles et à caractère personnel), le G29 préconise la nomination systématique d’un DPO. Quelles sont ses missions et comment les exerce-t-il ? Quel est le meilleur profil pour incarner cette nouvelle fonction ? Retour sur notre Matinale de l'été. 

1. Les missions du DPO définies par l’article 39 du RGPD : DPO vs CIL ?

L’article 39 du RGPD énonce les grandes missions du DPO : informer et conseiller en interne, contrôler le respect du règlement et des dispositions du droit européen, dispenser des conseils dès lors que la protection des données personnelles est en jeu, coopérer avec l’autorité de contrôle et être le référent sur ces questions.
Selon Aurélie Banck, responsable pédagogique du DU DPO à l’Université Paris 10, le « DPO est un CIL avec une fonction de contrôle ». Il est vrai que les missions du Correspondant Informatique et Libertés (en vert sur le schéma) sont augmentées de celles du DPO (en violet), qui font prendre une nouvelle dimension à la fonction.
Pour autant, Merav Griguer, avocate associée du cabinet Bird & Bird, estime quant à elle que « le CIL n’est pas en l’état un DPO. Si la transition du CIL vers le DPO est tout à fait logique, cohérente et fait sens, le DPO doit avoir une approche « compliance ». Son rôle consiste pour l’essentiel à informer et conseiller. Il doit donc alerter et ne pas faire. Ce n’est pas un exécutant. Qui mieux que le CIL pour devenir DPO ? La transition est parfaite, mais il s’agit avant tout d’une transformation et il doit de fait être formé et coaché. »

2. Quel profil pour être DPO ?

Les attentes vis-à-vis du DPO sont assez proches de celles que les entreprises peuvent avoir pour leur compliance officer : un mélange de savoir-faire technique et de savoir-être impliquant leadership, pédagogie et capacité de coordination, mais aussi une indépendance permettant un quasi rôle de lanceur d’alerte. 
Aurélie Banck estime qu’« il n’y a pas de profil type : devenir DPO implique une addition de compétences qui vont dépendre de la structure. ».
Outre l’importance indéniable du savoir-être, devenir DPO nécessite une formation dispensée au sein d’universités, comme c’est déjà le cas à Nanterre, Paris II ou encore Sciences-Po Paris. Une telle formation est indispensable, indépendamment de son métier initial (juriste, CIL, DSI…), afin d’appréhender les enjeux pour sa société et d’y répondre plus efficacement.

3. Où positionner le DPO au sein de la société afin qu’il soit pleinement efficace ?

  • Un rattachement au plus haut niveau

 Le positionnement du DPO doit être central au sein de l’entreprise afin d’éviter tout conflit d’intérêts. Il peut être rattaché à différentes directions (Direction SI, financière, juridique, générale …), selon l’organisation de la société. Cependant, il est recommandé de le rattacher à la direction générale afin de garantir son indépendance et lui donner les moyens d’exercer ses fonctions.

Selon Daniele Nguyen, DPO et CIL chez Schneider Electric, « le DPO doit travailler de concert avec la direction générale afin d’évaluer au mieux les risques en amont. » Une chose est sûre : indépendamment de son rattachement hiérarchique, le DPO ne peut pas et ne doit pas fonctionner seul. Il doit créer un réseau au sein de sa société, avec de vrais relais internes.

Merav Griguer estime que « les CIL apparaissent aussi comme les parfaits relais du DPO, dont la première action doit consister à mettre en place une gouvernance efficace et cohérente au regard de la structure et de la taille de son entreprise. »
 

  • La possibilité d’un DPO externalisé

Si le G29 préconise la désignation d’un DPO au sein de toutes les entreprises, certaines envisagent néanmoins d’externaliser la fonction auprès d’experts ou avocats.
L’article 37 du RGPD dispose de plus que le DPO peut être mutualisé « à la condition [qu’il] soit facilement joignable à partir de chaque lieu d’établissement ». Qu’il soit externalisé et/ou mutualisé, il ne faut pas oublier qu’un DPO externe ne pourra pas intervenir pour deux structures dans le même secteur d’activité en raison d’un conflit d’intérêt certain et d’une indépendance qui pourrait devenir défaillante.
Merav Griguer est convaincue qu’« il est dans l’intérêt des entreprises de désigner un DPO en interne et lui attribuer les moyens nécessaires à la réalisation de ses missions. Un DPO internalisé est un vecteur de confiance tant vis-à-vis de sa clientèle, de ses partenaires que de ses employés ». 

4. Marché et perspectives de la fonction

La finance est beaucoup plus mature que les autres secteurs quant à la nomination d’un DPO. Depuis novembre 2016, 49% des recrutements confiés à FED Legal l’ont été par des groupes bancaires, l’industrie et les services étant plus en retard sur le sujet. 50% de nos candidats recrutés ont au moins 8 ans d’expérience et tous sont issus d’un parcours professionnel juridique avec une spécialisation en IP, IT et/ou données personnelles.
Aurélie Banck conclut que devenir DPO est « un beau challenge ; cette fonction auparavant dans l’ombre devient aujourd’hui une fonction prisée avec d’importantes opportunités d’évolution de carrière », ce que nous ne pouvons que confirmer au regard de notre vision du marché.