Le DPO de demain

Profil de DPO

À l’image du Règlement général sur la protection des données, la fonction de délégué à la protection des données nécessite une transversalité de compétences. Qu’elles soient juridiques, organisationnelles, relatives à la sécurité logique et physique, à la lumière des chantiers à mener, elles apparaissent aujourd’hui comme incontournables pour répondre aux enjeux de cette fonction.

Le règlement 2016/679, dit Règlement général sur la protection des données (RGPD), a consacré au sein de l’Union européenne (UE) le métier de délégué à la protection des données (DPD) ou Data Protection Officer (DPO).

Considéré comme un nouveau métier, il convient de rappeler néanmoins que le «  Datenschutzbeauftragter  » était, dès 1977 en Allemagne, une fonction obligatoire pour les organismes de plus de dix salariés.

La directive 95/46/CE du 24 octobre 1995 a ensuite permis que cette fonction se généralise au sein de l’Union européenne, ouvrant la possibilité aux organisations publiques et privées de désigner une personne chargée de la protection des données à caractère personnel (DCP). Transposant cette directive en 2004 dans la loi Informatique et Libertés, la France avait créé la fonction de Correspondant informatique et libertés (CIL), dont la désignation était facultative.

À l’époque, la loi prévoyait que le correspondant soit une personne qui «  bénéficiait des qualifications requises pour exercer ses missions  », sans autre indication. Ces compétences devaient porter tant sur l’informatique et les nouvelles technologies que sur la réglementation relative à la protection des données à caractère personnel. Elles devaient également avoir trait au domaine d’activité dans lequel il exerçait ses fonctions.

 » En décembre 2020, le métier de Data Protection Officer se hissait à la première place des métiers les plus recherchés sur LinkedIn « 

Consacré par le RGPD qui en réglemente la désignation, les fonctions, les missions et la certification, le métier de DPO est aujourd’hui considéré comme un métier d’avenir. En effet, en décembre 2020, le métier de Data Protection Officer se hissait à la première place des métiers les plus recherchés sur LinkedIn en France avec 32 fois plus de professionnels  recensés sur ce réseau social professionnel qu’en 2015.

Paradoxalement, les ressources relatives aux compétences attendues restent sommaires. Le guide du délégué à la protection des données publié par la Cnil en novembre 2021 évoque une expertise juridique et technique en matière de protection des données ainsi qu’une connaissance du secteur d’activité, de la réglementation sectorielle et de l’organisation de la structure pour laquelle il est désigné.

Le délégué doit également présenter les qualités personnelles nécessaires à cette fonction comme l’intégrité, un haut niveau d’éthique professionnelle, une capacité à communiquer, à vulgariser et à convaincre.

Depuis 2016, beaucoup de dirigeants se sont posé la même question. Quel profil faut-il posséder pour être DPO ?

Selon l’étude réalisée par la direction prospective métier de l’Afpa, à la demande du ministère du Travail, de l’Emploi et de l’Inclusion (DGEFP), en partenariat avec la Cnil et l’AFCDP en 2020, environ 28 % des DPO ont un profil informatique, et le même pourcentage un profil juridique, les 43 % restants proviennent de fonctions administratives, financières, relatives à la conformité, à l’audit, etc.

Présenté comme un chef d’orchestre, le DPO doit, dans le cadre d’une démarche de mise en conformité, inexorablement être en mesure de gérer un portefeuille de projets.

Cette première compétence nous amène à la question suivante. Quel DPO êtes-vous ?

Il existe trois types de DPO : le DPO «  qui fait à la place  », le DPO «  qui fait avec  » et le DPO «  qui fait faire  ».

Outre le fait que le premier est celui qui s’épuisera le plus vite, notre bon samaritain passera à côté de l’objectif principal. En effet, le métier de DPO est également synonyme de leadership, il doit réussir à impliquer les différentes directions dans leur propre démarche de conformité. L’objectif principal est de lancer une dynamique au sein de l’organisation qui l’a désigné jusqu’à ce que les métiers puissent être autonomes sur le sujet.

Le DPO «  qui fait avec  », vulgarise, sensibilise, conserve une posture de support et peut, une fois que le sujet est maîtrisé au sein des services, «  faire faire  » afin d’assurer le maintien de la conformité dans le temps.

En tout état de cause, quelle que soit la posture adoptée par le DPO, il devra, a minima, être en mesure de s’assurer du bon déroulement des différents chantiers nécessaires pour répondre aux attendus du cadre réglementaire.

En effet, pour le DPO, le chemin vers la conformité peut s’apparenter à une forme de pèlerinage vers l’Adequacy (l’adéquation de la privacy).

Entamer une démarche responsable débute souvent par un état des lieux afin de définir une feuille de route. Pour cet exercice, la méthode Ebios paraît aujourd’hui être la démarche permettant de couvrir le spectre le plus large et le plus adapté à la problématique.

En effet, la méthode Ebios (Expression des besoins et identification des objectifs de sécurité) est une méthode d’évaluation des risques en informatique, développée en 1995 par la Direction centrale de la sécurité des systèmes d’information (DCSSI) et maintenue par l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui lui a succédé en 2009.

Cette méthode a été adaptée au contexte Informatique et libertés par la Cnil afin de structurer la démarche d’Analyse ­d’impact relative à la protection des ­données (AIPD).

Pour le DPO, Ebios est comme un fil rouge, l’ensemble des points de contrôle relatifs aux différentes mesures possibles pour assurer une conformité à la hauteur des attendus sont couverts par la démarche. Juridiques, organisationnelles, relatives aux mesures de sécurité logiques et physiques, ces mesures permettent de toucher l’ensemble des sujets, des principes fondamentaux jusqu’à la sécurité des données concernées.

Adaptées pour mener un état des lieux, ces mesures permettent également d’harmoniser la démarche d’accountability lors de la réalisation de la cartographie des activités de traitement et de capitaliser ce recensement pour les analyses d’impact relatives à la protection des données.

Chez Infhotep, nous pensons que le DPO de demain pourrait avoir un profil juridique avec une excellente compréhension des problématiques de sécurité informatique ou un profil informatique qui maîtrise les principes juridiques inhérents à la matière. Quoiqu’il arrive, il devra avoir plusieurs cordes à son arc.

Il devra avoir des compétences d’orateur pour sensibiliser, du leadership et de la patience pour la réalisation du registre des activités de traitement, une vision analytique pour documenter l’ensemble des procédures nécessaires, une maîtrise du management des risques pour assurer la vérification du bon déroulement des analyses d’impact relatives à la protection des données, une intelligence de situation pour assurer la sécurité juridique de son organisation dans le cadre de la revue des contrats et, à défaut, être un négociateur de talent pour obtenir le budget lui permettant de réunir l’ensemble de ces compétences.