Depuis le 25 mai 2018, le règlement général européen pour la protection des données personnelles (RGPD) est entré en vigueur. Il oblige les administrations et les entreprises employant des données à caractère personnel à recourir aux services d'un DPO (Data Protection Officer en anglais, et délégué à la protection des données en français). Cette fonction remplace celle du Correspondant Informatique et Libertés (CIL) créé en 2004. Voyons plus en détails ce qu'est exactement un DPO, ce que dit le RGPD et quelle formation il faut suivre pour pouvoir exercer cette profession...
Définition du métier de DPO
Les entreprises travaillent avec de nombreuses données et cela peut poser des problèmes de légalité et de sécurité. Aussi, pour aider ces entreprises, un nouveau métier a été créé par le RGPD : le DPO. Le DPO a alors pour mission de s'assurer que son client ou employeur respecte parfaitement la législation en vigueur lorsqu'il utilise les données pour des fins internes (logiciels de ressources humaines par exemple) ou pour des fins commerciales (exemple du mailing). Il va donc travailler avec plusieurs départements de l'entreprise, aussi bien le marketing, que la direction générale, que les ressources humaines ou que le développement. Et s'il constate un manquement à la loi, il doit obligatoirement alerter sa direction au plus vite. Le DPO a donc vraiment un rôle polyvalent. C'est pourquoi en plus de s'y connaître en cybersécurité et en informatique, il doit aussi avoir une excellente culture juridique, en particulier en droit des nouvelles technologies de l'information et de la communication (NTIC). Il est donc courant de trouver à ce poste aujourd'hui des informaticiens, des ingénieurs en cybersécurité et des juristes spécialistes des NTIC qui exercent en cabinets de conseils ou entreprises. Pour en apprendre plus sur ce nouveau métier et trouver une formation RGPD pour l'exercer, rendez vous vite sur dpms.eu.
Ce que dit le RGPD
Le Parlement Européen a publié le 26 avril 2016 un règlement sur les données personnelles. Ce RGPD (règlement général sur la protection des données) rend obligatoire la présence d'un DPO dans toutes les administrations et entreprises qui traitent des données sensibles à grande échelle. A cet égard, l'article 37 précise que les structures chargées du traitement des données doivent désigner "en tout état de cause" un DPO lorsque : - ce traitement est réalisé par un organisme public ou une autorité publique (sauf les juridictions travaillant dans l'exercice de leurs fonctions juridictionnelles) ; - les activités de base du sous-traitant ou du responsable de ce traitement comportent des opérations demandant un suivi systématique et régulier des personnes concernées (de par leurs finalités, leur nature ou leur portée, comme le profilage ou le ciblage publicitaire) ; - ou les activités de base du sous-traitant ou du responsable de ce traitement représentent un travail à grande échelle de certaines données à caractère personnel relatives à des condamnations pénales. Donc, en résumé, les sociétés devant avoir un DPO sont celles qui traitent des données personnelles, sans aucun plancher de taille, y compris les très petites entreprises qui rentrent dans les critères énoncés.
Formation nécessaire pour devenir DPO
Il existe plusieurs formations RGPD pour accéder au poste de délégué à la protection des données. Elles sont dispensées par les écoles d'ingénieurs ou les universités. Il y a ainsi : - le diplôme universitaire de délégué à la protection des données, Data Protection Officer (à Paris II Panthéon ASSAS) ; - le diplôme universitaire de DPO/CIL de l'université de Franche-Comté ; - le diplôme universitaire de délégué à la protection des données de l'université de technologie de Troyes ; - le diplôme universitaire de Correspondant Informatique et Libertés (CIL) de l'université de Paris Nanterre ; - le Mastère Management et protection des données à caractère personnel de l'ISEP ; - le Mastère Sécurité de l'information et des systèmes de l'ESIA ; - le MBA spécialisé Management de la sécurité des données numériques (Institut Léonard de Vinci).