Avec l’essor de l’e-business, la masse de données personnelles manipulée par les entreprises augmente de jour en jour. Face à cette situation, les autorités européennes ont estimé la nécessité d’une réglementation adaptée pour prévenir et limiter les abus. C’est pourquoi l’Union européenne a adopté le règlement 2016/679 (RGPD) relatif à la protection des données personnelles. L’un des points essentiels de ce règlement est l’obligation pour certaines entreprises de désigner un ​délégué à la protection des données ou ​DPO (Data Privacy Officer) ​avant le 25 mai 2018. Mais le choix s’avère difficile puisqu’il​ ​faut​ ​prendre​ ​en​ ​compte​ ​de​ ​nombreux​ ​critères.

Vérifier​ ​si​ ​la​ ​personne​ ​a​ ​une​ ​formation​ ​pour​ ​DPO

Le premier critère à prendre en compte pour choisir un DPO est la formation suivie par le candidat. Il doit avant tout avoir une large connaissance des législations se rapportant à la protection des données. Donc, de préférence, issu d’une formation initiale en droit avec une spécialisation pour le droit des nouvelles technologies. Notons toutefois qu’il n’existe pas de profil type. Après, le suivi d’une formation pour le métier de DPO serait aussi un grand plus. Ce type de formation permet de renforcer les connaissances acquises durant la formation initiale et de mieux s’informer sur les réalités du monde de la protection des données. Outre sa maîtrise des textes, le ​délégué à la protection des données devra également avoir une bonne connaissance du secteur d’activité de l’organisme​ ​dans​ ​lequel​ ​il​ ​sera​ ​amené​ ​à​ ​travailler. De plus, vous pouvez être certifié par Bureau Veritas Certification. Pour cela il faut pouvoir prouver avoir suivi un minimum de 6 jours de formation dans le domaine, avoir une expérience minimum de 2ans (ou plus selon le niveau d’études) et réussir à l’examen de certification. Par ailleurs, la personne certifiée, en adhérant à l’UDPO se verra octroyé une carte professionnelle. Le maintien de la certification (valable 3 ans) se fait via la preuve d’une formation continue minimale

Où​ ​le​ ​délégué​ ​doit​ ​être​ ​localisé ?

Pour des raisons pratiques et pour faciliter les échanges, il est préférable de choisir un délégué habitant dans un État membre de l’Union européenne. Pour les organismes qui n’ont pas d’établissement dans l’Union, ils peuvent choisir un délégué n’habitant pas l’Union. Toujours dans cette​ ​optique​ ​de​ ​facilitation​ ​des​ ​échanges​ ​et​ ​d’efficacité​ ​au​ ​travail.

Comment​ ​organiser​ ​la​ ​fonction​ ​de​ ​délégué​ ​à​ ​la​ ​protection​ ​des​ ​données ?

La fonction de ​délégué à la protection des données est une tâche difficile. C’est pourquoi l’entreprise doit prendre plusieurs mesures avant de désigner son délégué. Cela dans le but de faciliter le travail de ce dernier. Tout d’abord, il faut prendre connaissance des nouvelles directives décrites dans le règlement européen. On devra notamment s’appuyer sur les lignes directrices du G29, dont celles qui portent sur l’autorité chef de fil, la portabilité des données et l’analyse d’impact. Une fois qu’on aura passé cette étape d’information, on confiera au CIL ou au futur ​délégué à la protection​ ​des​ ​données​,​ ​s’il​ ​est​ ​déjà​ ​identifié,​ ​plusieurs​ ​missions :

  1. Faire le point sur le processus de traitement des données personnelles de l’entreprise : un inventaire​ ​des​ ​traitements.
  2. Procéder à une évaluation du processus et élaborer de nouvelles procédures (notification en cas​ ​de​ ​violation​ ​des​ ​données,​ ​procédures​ ​de​ ​traitement​ ​des​ ​plaintes,​ ​privacy​ ​by​ ​design…).
  3. Faire​ ​le​ ​point​ ​sur​ ​les​ ​risques​ ​associés​ ​à​ ​la​ ​procédure​ ​de​ ​traitement​ ​des​ ​données
  4. Sur la base des constatations issues des précédentes étapes, mettre en place une politique de​ ​protection​ ​des​ ​données​ ​personnelles
  5. Mettre en place un réseau de référents dans les filiales, les départements métiers ou sensibles et créer un comité piloté par le DPO avec notamment le juridique, la DSI, la RH…
  6. Enfin,​ ​informer​ ​les​ ​personnes​ ​concernées​ ​sur​ ​les​ ​nouvelles​ ​obligations

Quand​ ​choisir​ ​un​ ​délégué ?

La procédure à suivre pour désigner un DPO est relativement simple. Il suffit de remplir un formulaire en ligne disponible sur le site de la CNIL. Actuellement, ce formulaire est disponible pour les correspondants informatique et libertés, il devrait être disponible pour les Data Privacy Officer en mai 2018. Il faut rappeler que la désignation d’un délégué sera obligatoire​ ​après​ ​le​ ​25​ ​mai​ ​2018.