DPO : quel est le rôle du data protection officer ?

Chargé de la bonne application du RGPD (règlement général sur la protection des données), le data protection officer (DPO) occupe un poste devenu crucial dans les entreprises. Evelyne Héard, DPO au sein d’Altice France, nous parle des enjeux de cette fonction.

  • Temps de lecture: 5 min
dpo

En France, 72 % des internautes se disent préoccupés par l’enregistrement de leurs activités en ligne (Insee, 2022). Un chiffre élevé, au regard du nombre conséquent de sociétés françaises qui collectent chaque jour les données à caractère personnel de 545 individus en moyenne, selon le baromètre Global Security Mag et Brainwave. Pour encadrer la collecte, le stockage et la transmission des données au niveau européen, un règlement sur la protection des données (RGPD) est entré en application en 2018.

Parallèlement, la fonction de Data Protection Officer (DPO) a officiellement fait son apparition dans les entreprises, remplaçant alors le Correspondant Informatique et Libertés (CIL). « En France, le CIL, qui précédait le DPO n’avait pas exactement le même rôle ni la même ampleur », précise par ailleurs Evelyne Héard. Après une formation en droit et sécurité des systèmes d’information, cette experte en protection des données personnelles exerce aujourd’hui la fonction de DPO au sein d’ Altice France (SFR, BFM, RMC, …). Elle a suivi les évolutions du métier depuis sa création. 

Qu’est-ce qu’un data protection officer (DPO) ?  

Données personnelles et RGPD

« La philosophie du RGPD est de protéger les personnes des traitements qui sont faits de leurs données personnelles », précise Evelyne Héard. Pour rappel, une donnée personnelle correspond à tout type d’information permettant d’identifier une personne physique : nom, prénom, numéro de téléphone, date de naissance, etc. Parfois sensibles (données de santé, ou bancaires par exemple), ces informations nous concernant font aujourd’hui l’objet de nombreux échanges entre différentes entreprises ou institutions, et doivent être suffisamment protégées .

C’est ainsi qu’est apparu le règlement sur la protection des données (RGPD), en 2018, afin « d’harmoniser les différents droits européens » en matière de traitement des données, explique la DPO. « Nous avions déjà en France un cadre légal qui régissait l’utilisation des données personnelles. Cependant, le RGPD a ajouté d’autres dispositions en plus de celles du droit français, pour harmoniser le cadre européen en termes de protection des personnes physiques sur l’utilisation de leurs données personnelles », poursuit-elle.

Un dispositif réglementaire nécessaire au regard de la quantité de données stockées et traitées par les entreprises de toute taille. Un dispositif également dissuasif, notamment en considérant les sanctions qu’il prévoit. En effet, la sanction la plus élevée peut atteindre jusqu’à 4 % du CA mondial d’une société, une première. « L’une des forces du RGPD, c’est qu’il s’applique à de grands acteurs, très concernés par les données personnelles au-delà des frontières de l’UE », indique Evelyne Héard, faisant référence à l’amende record s’élevant à 1,2 Md€ infligée au groupe Méta (Facebook) il y a peu. Un travail mutualisé entre experts de la protection des données, mettant en lumière son champ d’application.

Définition du périmètre d’actions du DPO

Engagé à faire respecter les dispositions du RGPD au sein des entreprises, le DPO exerce un rôle désormais stratégique. « Nous avons cette mission de s’assurer de la conformité de l’entreprise concernant la protection des données à caractère personnel. Cette approche passe notamment par du conseil, tant auprès de l’instance dirigeante que des collaborateurs », déclare la DPO du groupe Altice France. Si la désignation du DPO n’est pas obligatoire, elle est fortement recommandée, notamment dans les grandes entreprises.

Véritable point d’entrée de la CNIL (Commission nationale de l'informatique et des libertés), qui est l’autorité française de la protection des données personnelles, le DPO est indépendant au sein de l’organisation qui l’emploie. « Nous faisons des préconisations et agissons en toute indépendance selon ce qu’on estime nécessaire pour être conforme au droit français et au RGPD », précise Evelyne Héard. Un statut tout à fait inédit, qui engendre forcément de multiples missions :

  • sensibiliser et former les collaborateurs;
  • effectuer une analyse de conformité de traitements de données à caractère personnel ;
  • traiter les demandes d’exercice de droit des personnes ;
  • échanger avec d’autres DPO ;
  • réaliser les formalités nécessaires comme tenir à jour les registres de traitement ;
  • intervenir dans le cas d’une violation de données.

« Ce qui est intéressant c’est que les journées du DPO se suivent mais ne se ressemblent pas. Elles ont cependant en commun d’être très chargées », s’amuse la DPO. Des missions variées, qui laissent place à une évolution de la profession.

Data protection officer, un métier en pleine expansion

Devenir DPO

« Il n’est pas nécessaire d’être juriste, en revanche il est indispensable d’avoir un intérêt pour les données personnelles. Il faut être passionné, parce que ce sont des sujets très spécifiques, quelles que soient la taille et l’activité de l’entreprise », témoigne Evelyne Héard. De fait, l'hétérogénéité observée chez les DPO est une réalité : de juristes à ingénieurs en passant par d’anciens RH ou communicants, « il y a plein de diversités dans les parcours, ce qui rend cette fonction très riche », poursuit-elle.

Un métier passionnant, qui se heurte cependant parfois à quelques difficultés logistiques avec les équipes opérationnelles. Toute l’agilité réside dans le fait d’être impliqué dans tous les process de décision et de fonctionnement. « Il ne faut pas que l’on soit associé au moment ultime de rendre une décision, c’est toute la difficulté de notre approche », souligne la DPO d’Altice France. De quoi imaginer des conditions de travail pérennes pour ce poste nécessaire.

Le DPO est-il obligatoire ?

Toutes les entreprises n’ont pas l’obligation de désigner un Data Protection Officer. En effet, le RGPD définit le périmètre et les organismes qui doivent nommer un DPO :

  • les autorités et organismes publics ;
  • les instituts dont les activités requièrent un suivi régulier et permanent des personnes, à grande échelle (banques, assurances, …) ;
  • les entreprises ou organismes traitant des données dites sensibles.

Sans obligation légale, Evelyne Héard recommande néanmoins la présence d’une personne experte sur le sujet : « certaines petites structures peuvent être concernées par des enjeux forts en termes de protection de données personnelles. Selon la CNIL, il est conseillé de désigner quelqu’un en charge de ces sujets ».

Enclin à de nombreuses évolutions, en lien avec l’augmentation constante du partage de données, généré par l’IA par exemple, le DPO n’a pas fini de faire parler de lui.

elc
Emma-Louise Chaudron Rédactrice Web