Ce poste est devenu hautement stratégique depuis la mise en place du règlement européen sur la protection des données il y a dix mois. Choisir un DPO, en interne ou en externe, est une décision sensible, car il s’agit de trouver une personne à qui l’on est prêt à déléguer des fonctions majeures et qui saura utiliser son pouvoir à bon escient. Certains font le parallèle avec la nomination d’un directeur général de filiale, c’est dire l’importance du choix. Les conseils qui suivent s’appuient sur les recommandations d’experts et le témoignage précieux de , présidente de la Commission nationale pour la protection des données.
Le DPO hérite de trois missions principales: informer et conseiller la direction générale de l’entreprise et de ses salariés sur la protection des données, contrôler en interne le respect du règlement européen en la matière, coopérer avec l’autorité de contrôle. Ce collaborateur doit donc savoir s’imposer au sein de l’entreprise, aussi bien auprès de la direction que des services qui traitent ou ont un impact sur le traitement des données personnelles des salariés et des clients de l’entreprise.
En bon contrôleur de la gouvernance des données, le DPO doit rester indépendant de toute pression en interne afin de conserver la capacité d’accomplir ses missions. Il ne peut être tenu responsable de la non-conformité au RGPD. Ses responsabilités se bornent à sensibiliser, conseiller et contrôler. Ce qui représente déjà une certaine gageure.
Les missions du DPO
Le DPO peut être directement rattaché à la direction générale si on le souhaite, pour lui donner un maximum de latitude et de poids. Mais attention à ne pas trop l’éloigner des métiers. Il doit être au courant de tous les projets et actions susceptibles d’impacter le traitement des données de l’entreprise. Il n’existe pas encore de profil-type pour ce poste. Pour dénicher le parfait DPO, on doit chercher du côté des compétences mixtes: à la fois juridiques, informatiques et métiers.
La présidente de la CNPD recommande en outre de ne pas négliger l’expérience du candidat. Un bon DPO pourrait être par exemple une personne qui a déjà travaillé en relation avec l’autorité de contrôle. Il convient de ne pas négliger les soft skills lors de la procédure de recrutement. Éthique, résilience, intégrité professionnelle élevée sont indispensables.
Ce n’est pas un poste facile. Il faut tout à la fois avoir l’oreille de la direction générale pour la prise de décision, savoir échanger de manière constructive avec l’autorité de contrôle, résister aux pressions des services en interne, tout en s’en faisant des alliés au quotidien.
Alors, où trouver cette perle rare? En interne, peut-être, quitte à envoyer l’heureux élu se former à la protection des données. Il est également possible d’externaliser cette responsabilité auprès d’un sous-traitant. Le modèle idéal dépend de la façon dont l’entreprise est déjà organisée.
(1) Le recrutement d’un DPO est obligatoire si l’activité de base de l’entreprise la conduit à suivre régulièrement et de manière systématique des personnes à grande échelle, à traiter des données sensibles (santé, orientations politiques…) ou relatives à des condamnations pénales et infractions.