Ils sont aujourd’hui plus de 19 000 à avoir été désignés par des entreprises, selon les chiffres donnés par l’avocat Jérôme Deroulez lors de l’édition 2020 de Campus Avocats. Eux, ce sont les délégués à la protection des données, ou data protection officer (DPO) en anglais. Une fonction mise sur le devant de la scène il y a un peu plus de deux ans, juste après l’entrée en vigueur du règlement général sur la protection des données (RGPD). Elle a depuis été largement encouragée par la CNIL en France, et a été rendue obligatoire au sein des autorités et organismes publics, des sociétés traitant des données sensibles (technologie, santé…), et plus largement dans toute organisation dont l’activité nécessite de collecter des informations sur la vie privée des personnes et de réaliser un suivi à grande échelle.

Chef d’orchestre
Le DPO joue un rôle essentiel dans la mise en conformité de l’entreprise à laquelle il est rattaché ; il veille ainsi au bon respect du RGPD par le responsable de traitement, sensibilise et conseille sur les obligations en termes de protection des données personnelles, supervise la réalisation des analyses d’impact et alerte en cas de dysfonctionnement. Le tout en vue d’éviter les éventuelles sanctions de la CNIL, pouvant représenter des sommes très importantes. «Le DPO est un chef d’orchestre qui doit impérativement nouer une relation de confiance avec son client, mais ne doit en aucun cas se substituer à lui dans le cadre de sa mise en conformité, par exemple lors de la mise en place du registre ou de la documentation RGPD», expose Jérôme Deroulez, avocat et DPO à Paris. Véritable clé de voûte de la sécurité juridique, le rôle a naturellement attiré dans ses rangs bon nombre d’avocats qui exercent aujourd’hui la fonction de DPO externalisé – les organisations pouvant également choisir de nommer un DPO interne. «Cette mission requiert beaucoup de souplesse et de diplomatie, mais aussi une vision à 360° des enjeux en matière de données personnelles et une certaine expertise juridique. C’est pourquoi l’avocat a une vraie plus-value par rapport aux autres professions pouvant exercer cette fonction (consultants, experts…). En droit social, par exemple, les demandes de droits d’accès dans le cadre d’un licenciement sont nombreuses», poursuit Jérôme Deroulez. «L’avocat me paraît être le profil le plus adapté pour cette fonction de DPO, car il procède naturellement à une recherche des équilibres dans toutes les missions qui lui sont confiées. C’est un véritable atout pour l’entreprise», abonde Gérard Haas, associé fondateur du cabinet Haas Avocats qui propose également ses services en tant que DPO externalisé.

Un marché qui se structure
Pour l’avocat-DPO, la seule connaissance des textes juridiques est cependant insuffisante. Le rôle implique en effet également un travail de veille important et une bonne maîtrise de sujets plus techniques tels que le marketing digital, les politiques générales de protection des données ou encore le privacy by design. «S’il n’y a pas vraiment de profil type, il est important que le DPO ait suffisamment de compétences en matière de protection des données personnelles, mais aussi de connaissance de l’environnement technique et technologique de son client pour être en mesure de connaître ses process et de comprendre ses enjeux», souligne Jérôme Deroulez.
Si, pour l’heure, aucune formation n’est obligatoire pour exercer la fonction de DPO, celle-ci apparaît donc comme un plus pour les avocats désireux de se lancer dans cette activité. Et depuis quelque temps, les MOOC et autres sessions de formation dispensés par différents organismes (l’EFB, le Cercle Montesquieu, l’Anssi, l’Afnor…) se multiplient, parfois agréés par la CNIL en application de son référentiel en matière de certification des compétences du DPO. De quoi amener progressivement la fonction vers un cadre réglementé ? «La commission européenne pousse afin que l’on ait une vraie reconnaissance et une certification des DPO, pour renforcer leur formation et leur montée en compétences, affirme Jérôme Deroulez. Le marché est en train de se structurer et de se professionnaliser.» Pour les avocats, c’est donc le moment ou jamais de s’engouffrer dans la brèche. D’autant que la fonction devrait avoir encore de beaux jours devant elle… «Après la mise en place du RGPD, nous avons cru qu’il s’agissait d’un phénomène d’aubaine, se souvient Gérard Haas. Mais dans les faits, il y a encore de réels besoins. Le RGPD est aujourd’hui devenu un véritable outil du contentieux.»