Quel est le rôle du DPO ?

Le DPO intervient pour assurer la conformité du stockage et des traitements des données. Il veille à ce que le traitement des données soit effectué en évitant les risques pour les personnes et pour l’image de l’entreprise. Véritable chef d’orchestre de la conformité, il devra être consulté en matière de sécurité informatique, de sécurité juridique et contribuera à la valorisation de la donnée. Il assure par ailleurs le lien avec l’autorité de contrôle, à savoir la Cnil.

Est-ce un nouveau métier ?

Les entreprises très réglementées, comme les sociétés d’assurance, fonctionnent avec un DPO depuis quelques années. Les règles liées au respect de la vie privée et le contrôle exercé par la Cnil ont en effet déjà posé un cadre légal strict. Mais face à l’importance et à l’accroissement de l’utilisation des données personnelles, il était nécessaire d’officialiser ce statut et de lui conférer des missions bien définies. L’entrée en vigueur du règlement européen va renforcer la demande de DPO.

Quel est le profil du DPO ?

Le DPO doit avant tout parfaitement connaître l’activité de son entreprise et la manière dont elle fonctionne. Une bonne compréhension des processus de travail et des systèmes informatiques qui les supportent est indispensable. De plus, il doit évidemment maîtriser les textes juridiques inhérents aux données personnelles. Enfin, des compétences en communication sont également utiles. Une bonne pédagogie est en effet nécessaire pour décrire simplement des processus complexes. Le correspondant informatique et libertés devrait pouvoir naturellement endosser ce rôle. Des formations visant à faciliter cette conversion sont d’ailleurs en train d’émerger.

Comment se positionne-t-il par rapport au directeur juridique ?

L’aspect réglementaire de son activité rattache naturellement le DPO à la direction juridique. Il devra ainsi rendre compte de son activité au directeur juridique par le biais notamment de la rédaction d’un bilan annuel, et échanger avec lui sur les éventuels manquements au respect de la vie privée. D’un point de vue légal, le directeur juridique peut d’ailleurs parfaitement endosser le rôle de DPO. C’est une solution envisageable pour les petites structures. Pour les grandes entreprises, par contre, l’importance des enjeux implique de scinder ces deux fonctions.

Sa responsabilité peut-elle être engagée ?

La responsabilité juridique du DPO ne peut théoriquement pas être engagée, cependant, la législation n’étant pas mise en application, il est difficile d’être catégorique sur la question. Actuellement, le risque continue de reposer sur le dirigeant sur un plan pénal, civil, administratif et surtout médiatique. C’est également lui qui encourt des sanctions pécuniaires qui ont d’ailleurs été renforcées par les dispositions du règlement européen. D’où l’intérêt pour le chef d’entreprise de sécuriser son système d’information et d’encadrer son utilisation par des dispositifs techniques incombant au DPO.

Les entreprises ont-elles commencé à recruter des DPO ?

Les grandes entreprises, notamment les enseignes de luxe, commencent à recruter. Nous constatons que plus l’impact du «risque réputationnel» est important plus les entreprises cherchent à se protéger. En effet, si un client d’une marque prestigieuse constate un partage de ses données, il perdra confiance, et se tournera vers un concurrent. Aussi, ces structures cherchent à recruter les meilleurs DPO dès à présent. Mais les recrutements risquent d’être difficiles. Les personnes qualifiées sont peu nombreuses et les besoins considérables. C’est pourquoi nombre d’entreprises vont devoir former des personnes en interne sur cette fonction.