L’échéance du 25 mai se rapproche à grand pas et les entreprises mettent tout en œuvre pour tâcher de se conformer au nouveau Règlement Général sur la Protection des Données (RGPD) mis en place par l’Union européenne. Parmi les nouvelles dispositions imposées, l’obligation de nommer un responsable de la protection des données. Un ‘job tendance’ à l’ère de la digitalisation de notre économie… mais déjà en pénurie.
Au carrefour des fonctions IT, juridique, qualité et ressources humaines, le DPO (Data Protection Officer) veillera à implémenter une véritable culture de la gestion des données au sein de son organisation. Le DPO doit fournir une réponse à l’exigence de transparence grandissante en provenance de toutes les parties prenantes (autorités, clients, collaborateurs, fournisseurs, organisations etc.).
Quelles entreprises doivent engager un Data Protection Officer?
A priori, toutes les organisations sont concernées par cette nouvelle fonction. Cependant, la décision de créer un poste de travail proprement dit dépendra de la taille de l’entreprise, de la complexité ou du caractère sensible des données, du nombre de données traitées ou de l’activité de l’entreprise. Autre critère à prendre en compte, l’évaluation et la gestion du risque. La récente crise ‘Cambridge Analytica’, qui a mis Facebook dans la tourmente, a montré à quel point le sujet est devenu sensible et pouvait mettre rapidement la réputation de l’entreprise en danger.
Quelles sont les missions du DPO ?
Si l’article 37 du Règlement RGPD impose l’identification formelle d’une personne en charge des questions liées à la protection des données, le texte ne fournit pas un descriptif de fonction exhaustif, mais en définit les contours. En résumé, le DPO est le bras droit de la direction pour toutes ces matières mais également le point de contact officiel entre l’entreprise et les autorités compétentes – et à partir du 25 mai il s’agira de l’Autorité de la protection des données. Geert Vaerenberg, directeur d’Experis Belgium (ManpowerGroup) explique: « Les responsabilités du DPO sont assez larges. Le Responsable de la protection des données devra implémenter une culture garantissant une parfaite conformité dans le domaine de la protection des données. Cela inclut des conseils stratégiques au niveau de la direction, et au niveau de l’ensemble du personnel la mise en place d’audit, de processus et des actions de formation et de sensibilisation. Mais le rôle ne se limite pas à l’interne, le DPO sera également l’interlocuteur auprès de toutes les parties prenantes de l’entreprise afin de pouvoir répondre à toute demande liée à la transparence, le transfert de données, et le droit à l’oubli. Parmi les obligations imposées, on peut citer l’obligation de communiquer tout incident lié à la protection des données en effectuant une déclaration auprès des autorités et en informant les personnes concernées si leurs données risquent de devenir publiques. »
Quel est le profil idéal ?
Ce rôle pourra être rempli par un collaborateur à temps partiel ou à temps plein – spécialement formé – ou par un consultant externe. Tout le processus du RGPD en général, et le rôle du Data Protection Officer en particulier se situe au carrefour de différents départements, à savoir l’IT, le juridique, la qualité et l’audit ainsi que les ressources humaines. Au-delà des questions techniques que ce nouveau profil devra maîtriser, le Data Protection Officer devra également posséder des qualités interpersonnelles indispensables. « La récente enquête de ManpowerGroup consacrée à la digitalisation de l’économie a mis en évidence l’importance des soft skills. Et cela se confirme dans le profil du ou de la Responsable de la Protection des Données. Puisque la « data protection » nécessite en premier lieu une prise de conscience et un changement des habitudes de chaque collaborateur individuel d’une entreprise, le rôle devra faire face avant tout à un projet de transformation de la culture de l’entreprise et non à un projet technique en informatique comme certains pourraient le croire ». Donc, il ou elle devra certes faire preuve d’une excellente connaissance de la législation et de compétences en audit et en gestion de projet. Mais en plus, par son caractère multidimensionnel, le DPO devra faire preuve d’une grande empathie, une grande capacité à collaborer et à communiquer, auxquels s’ajoute un sens de l’éthique et une
intégrité irréprochable.
Un métier déjà en pénurie ?
Il est difficile d’estimer le nombre de postes de DPO qui seront effectivement créés. Une étude menée en 2016 avait tablé sur la création de 28.000 jobs en Europe. « Notre expérience sur le terrain montre que la fonction de DPO est déjà sous tension et se rapproche d’un métier en pénurie. Ce n’est pas étonnant car le rôle demande un large éventail de compétences. A qui confier un projet multidimensionnel ? Comment faire pour trouver le bon profil DPO capable d’initier avec succès la transformation de la culture de son entreprise et de faire en sorte que les mesures prises aient un effet durable à travers les processus en vigueur ? » explique encore Geert Vaerenberg.
Source : ManpowerGroup