Ah oui, à quoi peut bien servir un DPO ? La question est simple, la réponse est assez complexe.
La mission du DPO
Il est assez facile de définir la mission du Data Protection Officer
Depuis 2018, toutes les organisations qui traitent des données personnelles en Europe sont assujetties à la réglementation européenne de la protection des données personnelles, dite RGPD ainsi que toutes les organisations dans le monde qui traitent des données personnelles européennes.
La mission du DPO est de s’assurer que ces données sont sécurisées et protégées en fonction de leurs impacts sur la vie privée des personnes concernées, personnes physiques.
Le DPO doit donc pouvoir gérer la conformité des usages qui sont faits des données personnelles au sein de l’organisation et en rendre compte en cas d’audit interne, externe, de contrôle ou de certification.
La conformité d’une organisation est concentrée dans le registre des traitements.
Le DPO doit donc établir ce registre. En cas d’audit, il pourrait en extraire les informations nécessaires pour démontrer aux auditeurs de la conformité de son organisation.
Le DPO est donc un garant de la conformité RGPD de l’organisation en interne comme en externe.
C’est sa mission.
La compétence du DPO
Là encore, quand on a mis en oeuvre ou gérer des conformités, la compétence majeure du DPO c’est l’audit.
C’est un gestionnaire de risques. Il doit identifier et maîtriser les risques de non conformité pour protéger les personnes physiques des impacts des non conformités dans leur vie privée et professionnelle et publique.
Pour quoi l’audit ?
L’audit est un processus qui permet d’identifier les risques et de trouver les mesures de sécurités adéquates.
Autant, il peut faire appel aux ressources internes et à des ressources externes pour trouver les mesures de sécurité, autant il est souvent seul à identifier les risques.
Le processus d’audit inclue le diagnostic.
Dans l’identification des risques, il y a des phases de diagnostics et des phases d’audit.
Quand on parle de RGPD, la phase de diagnostic est une phase de questionnement des pratiques professionnelles qui vont entrainer des traitements de données personnelles. Le processus d’audit mis en oeuvre dans ces phases est celui de l’audit participatif.
Le DPO interroge pour comprendre ce qui a été mis en place et ce qui va être mis en place et pose des questions pour interroger la conformité de ces pratiques au regard des obligations du RGPD.
Il va donc faire appel à ses connaissances pour identifier les risques, en évaluer les impacts et faire un état des lieux qui lui permettra de mettre en place une première salve de recommandations.
Ces recommandations seront faites au responsable de traitement où à la personne ressource et décisionnaire en interne qui devra les mettre en oeuvre.
Ce premier diagnostic permet la création du registre initial.
Quels sont les savoirs dont le DPO a besoin pour exercer son métier ?
Tout d’abord, il doit connaitre les obligations de conformité du RGPD, articles, considérants, lignes directrices sur les sujets en évolution. Une connaissance du droit du numérique concernant la propriété intellectuelle, le droit à l’image, le droit de la santé (Haute autorité de Santé) peuvent être important.
Il est important, néanmoins, d’être secondé par des experts dans ces domaines spécifiques si les activités de l’organisation sont orientées dans ces domaines SSI, ENS, hébergeurs de données, santé, communication, agence de développement, collectivités territoriales.
La CNIL a édité des cahiers spécifiques sur certains domaines d’activités.
Le DPO doit également avoir des compétences de communication et de pédagogie.
Le domaine de la Privacy n’est pas facile à appréhender, toutes les organisations n’ont pas les moyens de faire appel à des professionnelles de la communication ou de la formation dédiées à la compliance.
Il est souvent donné au DPO les activités de sensibilisation en interne sous forme de communication visuelle, de quizz, d’ateliers. Cette sensibilisation fait partie intégrante des obligations du RGPD, pour rappel.
LE DPO doit avoir acquis ou acquérir des connaissances organisationnelles et pouvoir intervenir pour rédiger ou aider à la redaction de procédures internes, intervenir sur des process métiers à revoir pour s’assurer de la conformité des pratiques dans les services ou l’organisation.
Le DPO doit avoir acquis ou acquérir des connaissances juridiques pour aider à la rédaction ou rédiger des éléments qui devront s’insérer dans les communications internes et externes d’information ou de contractualisation.
Le DPO doit avoir acquis ou acquérir des connaissances informatiques pour comprendre les architectures et les systèmes d’informations afin d’identifier les risques de non conformité, voir de failles de sécurité et pouvoir travailler avec les équipes à les corriger et les maîtriser.
Que doit apprendre un DPO ?
Le DPO est un acteur de la conformité qui travaille souvent seul et il a donc beaucoup de chose à apprendre pour se sentir à l’aise devant les situations qu’il a diagnostiquer.
Il peut venir de plusieurs formations mais il devra acquérir la connaissance de toutes les activités qui sont nécessaires à sa sérénité.
Seule, l’expérience sera le chemin vers l’expertise.
Quelle est la finalité de la mission du DPO ?
Fort de ses compétences et de ses connaissances, seul ou en équipe, il travaille avec tous les services de son organisation et restitue au responsable de traitement.
La finalité de sa mission est de trouver les meilleures mesures de sécurité en fonction des ressources et des moyens en place et de les améliorer pour avoir une maîtrise la plus forte possible des risques d’impacts.
C’est ce qui explique tous les avoirs nécessaires et la valeur de l’expérience.
En effet, à risque équivalent, selon l’organisation, la mesure de sécurité peut être différente.
Privanciel est conçu pour aider les DPO à l’identification des risques et propose des mesures de sécurité. Le DPO expert y verra un soutien et pourra agir plus vite, le DPO débutant formé ou peu formé y verra une aide précieuse qu’il pourra transformer en connaissance dans son apprentissage.