EDITO - Nouveau règlement, nouveau métier

Avec tout le battage qui est fait autour, si vous ne savez pas que dans moins de 90 jours entrera en vigueur le RGPD (Règlement Général sur la Protection des Données), c'est probablement que vous avez passé les 18 derniers mois sur la planète Mars. Et avec ce règlement, les DPO (Data Protection Officer), acteurs centraux du dispositif, feront leurs armes.

Car l'une des grandes nouveautés du RGPD, c'est la suppression de l'obligation de déclaration à la CNIL, remplacée par la preuve de conformité en cas de contrôle. Autrement dit, il appartient désormais à l'entreprise de faire la preuve de sa conformité à la loi alors qu'auparavant il incombait à la CNIL de démontrer la non-conformité. Pour cela, entre autres, le règlement introduit aussi l'obligation, pour tous les organismes publics et toutes les entreprises dont l'activité de base les amène à traiter des données à grande échelle, de nommer un DPO, ou délégué à la protection des données personnelles (cf. articles 37 à 39 du règlement). Seules les entreprises de moins de 250 collaborateurs dont le métier n'est pas le traitement de données personnelles sont dispensées de cette nomination (mais pas, bien sûr, de se mettre en conformité avec le RGPD).

Qui sont ces DPO ? De manière très schématique, on pourrait dire que le DPO remplace l'ancien CIL (Correspondant Informatique et Libertés). Mais le rôle du DPO va bien au-delà de celui de l'ancien CIL et devient stratégique pour l'organisation. Il ne se résume pas à servir de point de contact pour l'autorité de contrôle, mais est le véritable chef d'orchestre de tout le dispositif. Il coordonne les actions à la fois en interne et en externe. Il est surtout en charge de la communication, de la sensibilisation et de l'information sur les nouvelles obligations. Son rôle comporte également une dimension conseil du responsable de traitement et des sous-traitants et, plus généralement, de tous les collaborateurs de l'organisation. Il gère l'inventaire des données personnelles et la tenue du registre. En revanche, le DPO n'est pas responsable de la conformité au RGPD, en particulier si ses recommandations ne sont pas suivies : c'est le responsable de traitement qui le reste dans tous les cas.

Comment recruter son DPO ? Son choix doit répondre à un certain nombre de critères de compétences et d'éthique. En particulier, il doit être indépendant et ne pas être placé en situation de conflit d'intérêts, ce qui ne plaide pas en faveur d'un DPO interne. Car le DPO peut être interne ou externe à l'organisation. Il peut aussi être mutualisé et/ou être affecté à d'autres missions. Il doit bien connaître le fonctionnement de l'organisation, ce qui ne plaide pas en faveur d'un DPO externe... Souvent juriste, mais pas obligatoirement, il doit bien sûr connaître le RGPD sur le bout des doigts ainsi que les pratiques nationales en matière de protection des données, mais aussi posséder des connaissances techniques et informatiques... Bref, une sorte de mouton à cinq pattes.

Le RGPD et les DPO suscitent des vocations chez les éditeurs de logiciels, à l'instar de Foederis, par exemple. Tous, de Sage à Coheris, de Cegid à Talentia, ont intégré le règlement dans leur offre, y compris des start-up du cloud comme Platform.sh, qui propose un service d'hébergement en déploiement continu. Certains vont plus loin et proposent des solutions logicielles complètes au service du DPO, à l'instar de CaptainDPO, une suite collaborative dans le cloud destinée à permettre aux DPO de mener à bien leur mission. Même les avocats s'y mettent : le cabinet Staub et associés s'est rapproché de l'éditeur de cartographie de SI Atep Services pour créer et proposer la solution Privacy on Track, qui fait peu ou prou la même chose que la précédente.

Les acteurs du marché ne s'y sont pas trompés : la mise en conformité RGPD est bien un projet d'entreprise, qui concerne toutes les directions, et le DPO est au centre de ce projet. D'après le syndicat Syntec Numérique, ces projets vont générer de l'ordre d'un milliard d'euros de chiffre d'affaires cette année en France. Le CXP Group, quant à lui, a misé sur un trio d’experts : un cabinet d’avocat, un expert du projet et un DPO. Et vous, où en êtes-vous ?
 

Commentaires

Publier un nouveau commentaire