Depuis le 25 mai 2018, il est obligatoire pour certaines entités privées et publiques de désigner un Data Protection Officer (Déterminez si vous avez l’obligation de désigner un DPO). Cet orchestre de la bonne conformité d’une entité aux règlementations relatives à la protection des données personnelles dispose de nombreuses missions et responsabilités. Se pose donc naturellement la question de ses compétences. Certaines sont d’ailleurs imposées par la loi, tandis que d’autres paraissent en pratique indispensables pour mener à bien les missions incombant à la fonction.
Les compétences requises par le RGPD
Le Règlement Général sur la Protection des Données (RGPD) n’impose pas que le DPO dispose d’une expérience minimale, de formations ou de diplômes particuliers. En revanche, son article 37 dispose :
Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
Autrement dit, le niveau de compétence du Data Protection Officer désigné doit être proportionné aux missions lui incombant au sein de l’entité concernée.
En poussant le raisonnement, nous pouvons donc considérer qu’une entité mettant en œuvre des traitements de données personnelles à grande échelle, créant un risque important pour la vie privée des personnes concernées (cas n°1), devra désigner un Data Protection Officer disposant d’une très forte expertise ; tandis qu’une entité ne mettant en œuvre que des traitements courants, sans particulière criticité (cas n°2), n’aurait pas à désigner un DPO d’un niveau d’expertise si pointu.
Afin d’illustrer les exemples précédents : dans le cas n°2 suscité, l’entité concernée pourrait faire le choix de désigner un profil de DPO junior, tandis que dans le cas n°1, l’entité devrait privilégier un profil plus expérimenté disposant d’une forte compétence et expérience en matière de conformité aux règlementations en matière de données personnelles.
Le considérant 97 du dit règlement vient par ailleurs préciser que le DPO devrait disposer de connaissances spécialisées eu égard aux opérations de traitement mises en œuvre par son entité. Autrement dit, le Data Protection Officer doit certes disposer de connaissances en matière de protection des données personnelles, mais il doit également être en mesure d’implémenter ces règles dans le contexte spécifique du secteur d’activité de son entité.
Autrement dit, le DPO doit disposer de connaissances métiers du secteur d’activité de son entité, de telle sorte à pouvoir parfaitement appréhender les enjeux de conformité de son entité et les risques que présentent les traitements mis en œuvre par son entité pour les personnes concernées.
Les compétences nécessaires en pratique pour exercer le métier de Délégué à la Protection des Données
Exerçant depuis plusieurs années des fonctions de responsable de la conformité Informatique & Libertés au sein de différents groupes français et internationaux, mon expérience me permet d’avoir une vision assez claire des compétences qui, selon moi, sont indispensables pour exercer convenablement le métier de DPO.
Ces compétences peuvent être découpées en cinq grandes catégories :
- Juridique ;
- Gestion des risques ;
- Sécurité des systèmes d’information ;
- Pilotage ;
- Connaissances métiers du secteur d’activité de l’entité concernée.
Chacune de ces compétences est un métier à part entière. Le Data Protection Officer sera d’ailleurs très souvent issu d’une formation et/ou d’une carrière spécialisée dans l’une de ces compétences. Mais dans son rôle de DPO, il doit dépasser ce cloisonnement de compétences et parvenir à maîtriser ces différentes compétences.
Compétences juridiques du DPO
C’est la seule compétence formellement citée et requise par le RGPD, puisque le DPO doit être désigné notamment sur la base de “ses connaissances spécialisées du droit et des pratiques en matière de protection des données”.
Le Data Protection Officer doit maîtriser les concepts du système juridique et judiciaire français et européen. Une formation juridique, et notamment un Master spécialisé en droit des nouvelles technologies, est un excellent moyen d’acquérir une telle compétence.
Le DPO disposant de compétences juridiques appréhendera parfaitement les dispositions du RGPD ainsi que celles des différentes lois nationales relatives à la protection des données personnelles (en France, notamment, la loi informatique et libertés, ses décrets d’application, ainsi que différentes lois comportant des dispositions relatives à certains traitements de données sectoriels). Il saura également interpréter les dispositions de ces règlementations à la lumière des interprétations des différentes autorités de contrôle, de l’European Data Protection Board (regroupant les différentes autorités de contrôle au niveau européen) et de la jurisprudence française et européenne.
Le Data Protection Officer devra cependant faire l’objet d’une appréciation de la règlementation par les risques. La mise en œuvre concrète des grands principes édictés par les textes règlementaires nécessite souvent une interprétation, ainsi qu’une prise de décision, parfois de risque, dans l’implémentation de concepts juridiques dans la vie réelle. Cette interprétation dépasse le cadre purement règlementaire et nous amène naturellement sur des compétences de gestion des risques.
Compétences de gestion des risques du DPO
La mise en application concrète des grands principes de la protection des données personnelles nécessite de réaliser en permanence des évaluation de risques.
Le Règlement Général sur la Protection des Données ainsi que les différentes lois nationales de protection des données personnelles fixent de grands principes qu’il convient d’interpréter en pratique. Cette interprétation nécessite de réaliser une balance entre plusieurs intérêts : le coût de mise en œuvre vs le niveau de sécurisation ; une durée de conservation limitée vs des opportunités commerciales ; etc.
Le Data Protection Officer devra également faire preuve de compétences en matière de gestion des risques dans le cadre de la réalisation des analyses d’impact relative à la protection des données (EIVP) telles que prévues à l’article 35 du RGPD. Ces analyses doivent être réalisées en amont de la mise en œuvre de certains traitements de données considérés comme risqués et consistent principalement en une évaluation des risques pour les droits et libertés des personnes concernées par le traitement de données envisagé.
Le DPO doit donc maîtriser a minima les concepts de base de l’analyse de risque et pourra à cet effet se baser sur le cadre de référence COSO 2 (Enterprise Risk Management Framework) ou la méthode EBIOS.
Compétences en sécurité des systèmes d’information du DPO
Tous les professionnels de la protection des données personnelles le savent : la sécurisation des données personnelles est capitale dans une optique de conformité. Une entité traitant des données personnelles doit mettre en œuvre des “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque” du traitement de données concerné (article 32 du RGPD). Dans le cadre de ses missions, le Data Protection Officer doit être en mesure d’évaluer si son entité met en œuvre des mesures qui sont adaptées aux enjeux de sécurité conformes à l’état de l’art.
Cette évaluation de la sécurité suppose en pratique des compétence en informatique (comprendre comment fonctionnent des systèmes d’informations) ainsi qu’en Système de Management de la Sécurité de l’Information (SMSI) : gestion des habilitations et des accès, chiffrement des flux et des données, politiques de mises à jour, gestion des prestataires SaaS, etc.
Une formation d’ingénieur en sécurité informatique est un excellent moyen d’obtenir de telles compétences. L’obtention d’une certification ISO 27 001 (Lead Implementer) est également un très bon moyen d’acquérir et de faire reconnaître ses compétences en la matière.
Compétences en pilotage de projets du DPO
Le Data Protection Officer est un véritable chef d’orchestre de la conformité au sein d’une entité. Des données personnelles sont généralement traitées à tous les niveaux d’une entité. A ce titre, le DPO a un rôle extrêmement transverse, puisqu’il est en charge de la conformité d’un sujet qui impacte quasiment toutes les strates d’une entité.
Le DPO est ainsi amené à collaborer avec de nombreuses Directions sur des sujets très variés. Il doit être en mesure de coordonner des projets afin de les mener à bien et en assurer leur bonne conformité.
Cette transversalité nécessite que le DPO soit organisé, rationnel et qu’il sache gérer un projet de mise en conformité : évaluation de la criticité, gestion du budget, gestion des ressources internes, coordination des équipes, réunions de pilotage, reporting, etc.
Cette compétence peut s’acquérir dans le cadre de formations professionnelles (de nombreuses entités proposent à leurs salariés d’acquérir des compétences en matière d’organisation de projet).
Les Data Protection Officer sachant maîtriser ces différentes compétences sont des perles rares. Elles font appel à des connaissances qui sont rarement acquises conjointement dans le cadre de formations initiales. L’expérience et la volonté de dépasser sa fonction initiale (juriste, avocat, ingénieur informatique, expert en sécurité informatique, etc.) sont clés. Pourtant, ce sont bien de telles compétences qui permettront au DPO de remplir ses missions et ainsi respecter les dispositions du RGPD.
N’oublions cependant pas que le Data Protection Officer pourra également compter sur les expertises présentes au sein de son entité, si elles existent : le RSSI en matière de gestion de la sécurité informatique, le responsable des risques afin de l’assister dans la mise en place d’une méthode d’EIVP, etc. Il pourra également s’entourer de conseils externes, à l’instar de DPO externes indépendants, de cabinets d’avocats ou de consultants spécialisés.
Vous avez trouvé le profil idéal à nommer en qualité de DPO ? Quelle chance ! Découvrez comment désigner officiellement un Data Protection Officer.
