Le droit à la protection de la vie privée représente un des droits et libertés fondamentaux des individus. Ainsi, de par son rôle de garant de la protection des données de ses citoyens, l’Union Européenne a adopté un règlement général sur la protection des données (RGPD) qui est entré en vigueur en 2018. Dès lors, toute entreprise dont l’activité implique un traitement de données à caractère personnel doit assurer la conformité du traitement au règlement.
Un métier créé par un nouveau règlement européen
Le RGPD édicte un certain nombre de mesures visant à garantir la sécurité informatique des données collectées et traitées. Outre les dispositions concernant la durée de conservation des données ou encore celles sur le droit des personnes concernées (droit d’accès, droit à l’effacement ou à la rectification), une des grandes nouveautés apportées par le RGPD est l’institution du métier de délégué à la protection des données (plus communément appelé DPO pour Data Protection Officer).
De l’obligation de nommer un DPO
Le RGPD fixe trois cas pour lesquels la désignation d’un DPO est obligatoire, il s’agit :
- De toute autorité publique ou tout organisme public ;
- De tout organisme dont l’activité principale consiste en un traitement de données dont les finalités exigent un suivi régulier et systématique à grande échelle ;
- De tout organisme dont l’activité principe consiste en un traitement de données dites sensibles (origine raciale ou ethnique, orientation sexuelle, appartenance syndicale…) ou relatives à des condamnations pénales et infractions.
Même si pour les autres structures, désigner un délégué n’est pas obligatoire, il reste fortement recommandé d’en désigner un. Les DPO sont plus que de simples consultants, il s’agit de spécialistes bénéficiant de la qualification professionnelle nécessaire afin de piloter la démarche de conformité de tout organisme.
Des missions du DPO
Être désigné DPO d’un organisme implique de lourdes responsabilités partagées avec le responsable du traitement. Son rôle s’apparente en quelques sortes à celui de l’ancien correspondant informatique et libertés. A la différence que le RGPD précise les qualifications nécessaires pour désigner un délégué DPO ainsi que la nécessité d’assurer une formation continue.
Ce lien vous permettra d’en savoir plus sur la formation dpo.
Son rôle est principalement de conseiller et de sensibiliser le responsable du traitement aux nouvelles obligations qui lui incombent. Mais il participe également activement à la mise en conformité, en particulier dans le cadre de toute analyse d’impact relative à la protection des données. Tout en collaborant avec l’autorité de contrôle, il est donc le gardien du respect des lois nationales et des règlements internationaux.
Suivre une formation pour l’obtention de la certification DPO de la CNIL
S’agissant d’une profession relativement nouvelle, il n’existe encore que peu de parcours de formation universitaires, au sens classique du thème. En effet, le nombre de formation initiale sanctionnée par un diplôme de l’Université spécifique à la profession est encore relativement faible.
Malgré cette absence de formation dpo universitaire, le rôle du DPO étant une combinaison à la foi d’un technicien supérieur en informatique et d’un juriste, avoir acquis de l’expérience professionnelle dans l’un ou l’autre de ces domaines peut-être une ouverture. Et même si le RGPD ne pose pas de condition spécifique sur la formation dpo à suivre, toute reconversion professionnelle passera par des formations spécialisées.
La Commission nationale de l’informatique et des libertés (CNIL) – autorité de contrôle française – accompagne à la fois les responsables de traitement et les DPO. Ainsi, outre la mise en place d’une formation à distance dispensée par la CNIL, elle propose également des certifications de compétences de DPO. Elles se requièrent sur une base volontaire, mais leurs délivrances sont soumises à des exigences accrues en termes de compétences techniques et juridiques.