Qui peut devenir DPO –Data Privacy Officer ? Souvent, la question est sous-estimée, regrette le professeur Jacques Folon. C’est négliger l’importance de la tâche.

Le DPO est une fonction créée par le Règlement européen sur la Protection des Données -le fameux GDPR. Il s’impose notamment aux entreprises gérant de grands nombre de données personnelles, à celles gérant des données sensibles et à toutes les organisations du secteur public. Le GDPR précise que cette personne peut être aussi bien un collaborateur de l’entreprise qu’un externe. Elle doit disposer de connaissances en droit et d’expertise en protection des données.

«Lorsque cette personne est un collaborateur de l’organisation, elle doit être indépendante. Ce qui signifie, oublient bon nombre d’organisations, qu’elle ne peut recevoir aucune instruction en ce qui concerne sa mission. Elle doit pouvoir l’exercer en toute indépendance», souligne le professeur Jacques Folon, CEO de GDPRfolder.eu

Pas de conflit d’intérêt

Le DPO doit être associé à toutes les décisions concernant les données personnelles. Et il est même recommandé qu’il soit invité au comité de direction lorsque le sujet des données personnelles est abordé. De plus, si la fonction de DPO est occupée à temps partiel par un collaborateur, il ne peut se trouver au centre d’un conflit d’intérêt entre sa mission et ses autres activités, précise encore le professeur de l’ICHEC.

«Il est important de noter que c’est aussi un rôle complexe. Et, surtout, c’est un rôle de conseil et de contrôle. Le DPO ne peut pas en même temps, d’une part, prendre ou participer à des décisions concernant des données personnelles et, d’autre part, contrôler la pertinence de ces décisions.»

Le DPO doit être indépendant !

Voici peu, Proximus s’est vue condamnée à la plus importante amende jamais décidée par l’APD -l’Autorité belge de Protection des Données. Soit 50.000 EUR. La question centrale était celle de l’indépendance du DPO qui, au sein de l’entreprise, cumulait un rôle de conseil et de participation à des prises de décisions.

Malheureusement, l’indépendance du DPO est un problème récurrent, en particulier dans les PME. En effet, au sein de ces dernières, pour des raisons de coût, la fonction de DPO est souvent confiée à un membre de la direction -parfois même le responsable de l’entreprise s’octroie ce titre.

Pas de solution de facilité

«J’ai été personnellement confronté à cette question lors d’une formation récente que je donnais à une vingtaine de DPO et candidats DPO. A l’issue d’un tour de table en début de matinée, grande fut ma surprise quand un participant se présenta en disant qu’il avait été nommé DPO et qu’il était aussi membre du comité de direction en tant que directeur financier de son organisation. Il m’avoua que sa connaissance du GDPR était très sommaire… raison pour laquelle il venait suivre cette formation. J’ai dû lui expliquer, comme le précise le GDPR, que non seulement le DPO doit être nommé sur la base de ses compétences en matière de protection des données, mais il doit être indépendant; il a une mission de contrôle et de conseil. Et que, par conséquent, pour éviter tout conflit d’intérêt, il ne peut faire partie de la direction de l’organisation.»

Il est donc important pour les entreprises qui sont confrontées à la nomination d’un DPO de ne pas privilégier la solution de facilité, qui serait de confier cette fonction au responsable informatique ou HR.

Le DPO doit être compétent

C’est un rôle qui demande une réelle compétence, qui est d’ailleurs exigée par le GDPR. Le DPO doit avoir une bonne connaissance de la règlementation en matière de protection des données, mais aussi en matière de sécurité de l’information. Si des projets ont été en discussion au sein des autorités européennes de protection des données, aucune certification ni accréditation n’existe à ce jour pour obtenir le titre de DPO. On peut d’ailleurs le regretter…

En effet, il n’est malheureusement pas rare que la direction désigne un DPO… parce qu’il le faut bien, nommant quelqu’un au hasard. «Lors d’une formation pour DPO que je dirigeais, une participante m’a avoué récemment avoir été désignée au retour de son absence pour accouchement sans même savoir ce que cette fonction recouvrait ! Il n’est pas rare aujourd’hui de constater que des DPO sont désignés un peu au hasard, regrette Jacques Folon. Certains démissionnent, d’autres renoncent à la fonction.»

Alors, DPO interne ou externe ?

La désignation d’un DPO est donc importante en vertu des qualités nécessaires à exercer la fonction. Sa désignation, effectuée par la direction, doit être motivée; elle doit démontrer que le choix a été réfléchi et que les compétences existent.

«Si le choix est laissé libre par le GDPR, je constate aujourd’hui, à l’exception des grandes organisations où un DPO full-time est indispensable, une tendance à l’externalisation de la fonction, du fait même des compétences nombreuses et spécifiques demandées. Un DPO professionnel, qui ne fait que cela, et qui peut faire profiter ses différents clients des expériences vécues, peut avoir une réelle valeur ajoutée par rapport à un DPO débutant choisi en interne et qu’il faudra former à cette lourde tâche.»

La règle des trois tiers

Qui ? Si les profils peuvent être différents, il est important, pour choisir, de vérifier l’expérience et les mandats. Et Jacques Folon d’insister sur deux compétences : la connaissance approfondie du GDPR et de la sécurité de l’information. N’oublions pas que si l’on doit regarder ce qui est nécessaire à la mise en place du GDPR, on s’accorde généralement à considérer qu’il y a un tiers de droit, un tiers de sécurité de l’information et un tiers d’organisation.

Le choix d’un avocat sans compétences en sécurité de l’information ou d’un informaticien sans compétence en GDPR ou en sécurité de l’information ou d’un consultant en organisation sans les autres compétences serait un mauvais choix.

Heureusement, il existe de nombreux DPO externes, avocats ou non, qui combinent ces compétences et ce depuis presque deux ans !

La question du DPO concerne aussi les PME

La question du DPO n’est pas liée à la taille des entreprises. Elle est, par contre, influencée par le nombre de données traitées ou son statut public. Un petit cabinet comptable, une ASBL dépendant du secteur public, une petite étude d’huissier, un web designer hébergeant les données de nombreux clients et tant d’autres PME peuvent se trouver dans des situations où ils gèrent tellement de données personnelles que la nomination d’un DPO est obligatoire.

On considère généralement qu’à partir de plus de 10.000 personnes dont on gère les données (clients, prospects, collaborateurs, contacts,…) et, en particulier si l’on gère des données sensibles, la désignation d’un DPO devient obligatoire.

«De plus, je constate également que certaines organisations, qui ne seraient pas vraiment obligées de nommer un DPO, le font quand même pour être bien conseillées dans ce domaine complexe. C’est d’ailleurs, ajoute Jacques Folon, une recommandation de l’Autorité de Protection des Données.»

DPO, un rôle stratégique

Le DPO est au centre de la gestion des données. La mise en place du GDPR, et en particulier de la sécurité de l’information, est devenu un enjeu qui est désormais sur la table des comités de direction, voire des conseils d’administration.

Le confinement a démontré que la sécurité des données, mise à mal par le télétravail, par le manque de formation des équipes et l’augmentation de la cybercriminalité, est devenue une priorité des organisations quelle qu’en soit leur taille.

«La désignation d’un DPO compétent et indépendant est devenue une opportunité pour les organisations, pour les aider à repenser la gestion de leurs données et la sécurisation de celles-ci. Aussi, conclut Jacques Folon, si ce n’est pas encore le cas, posez-vous la question en ce qui concerne votre organisation, quant au choix d’un DPO compétent et indépendant. DPO or not DPO? It is the question.»

Pour plus d’informations : jacques@gdprfolder.eu