Désigner un délégué à la protection des données (DPO)
Alors que chacun s'interroge sur le profil idéal de son futur Délégué à la Protection des Données (Data Protection Officer), la CNIL récapitule dans cet article les 3 conditions à réunir pour rentrer dans le costume de ce mouton à cinq pattes.
Les compétences.
"Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen)."
Un profil juridique ? Oui mais que ce dernier doit aussi disposer d'une bonne connaissance du fonctionnement de sa structure, des traitements réalisés dans son ou ses systèmes d'information, être un bon communiquant doublé d'un animateur, ne pas être en conflit d'intérêt avec ses autres missions et être en capacité d'interagir avec la direction générale. Des qualités relativement proches de celles attendues pour un RSSI, bien que les missions soient différentes. D'ailleurs les profils hybrides RSSI-DPO voient le jour, dans la continuité des profils RSSI-CIL qui existaient auparavant.
Tant et si bien qu'il semble difficile d'externaliser cette fonction vers un prestataire lambda. Certains seront tenté de le faire mais ils ne couperont pas à l'obligation de désigner en interne un correspondant voir de constituer un groupe de correspondants dans la mesure où trouver cette diversité de compétences en une seule et même personne apparaît illusoire.
Les moyens dédiés à sa mission
Qu'elle soit à temps partiel ou complet, effectuée par une seule personne ou répartie sur plusieurs, la mission du DPO nécessite du temps. La première phase obligatoire est de nommer officiellement un délégué à la protection des données et de lui affecter (dans sa fiche de poste) une quotité de temps. Il devra travailler de concert avec le RSSI, en amont des projets pour s'assurer que les exigences de conformité au RGPD soient respectées. En fonction de la taille et du nombre de projets, il devra s'outiller et disposer pour cela d'un budget spécifique.
L'indépendance
Un point particulier qui conditionne le positionnement hiérarchique du DPO. Ce dernier ne doit pas être sanctionné dans l'exercice de ses missions, ni recevoir d’instruction dans le cadre de l’exercice de ses missions. Cette autonomie d'action milite en faveur d'une affection sur un poste transversal rattaché à la direction générale ou du moins que la place dans l'organisation du futur délégué puisse lui donner accès directement à l'équipe dirigeante sans passer pas l'aval d'un mille-feuille administratif.
Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).