En ce moment En ce moment

[Tribune] Data Protection Officer : avez-vous nommé le vôtre ?

Publié par le - mis à jour à
[Tribune] Data Protection Officer : avez-vous nommé le vôtre ?

Le règlement général sur la protection des données (RGPD) impose à certaines entreprises, notamment les plus grandes, la création d'un poste de Data Protection Officer (DPO). Un rôle important, même dans les petites structures.

  • Imprimer

À compter du 25 mai 2018, la désignation d'un Data Protection Officer (DPO) devient obligatoire pour bon nombre d'entreprises compte tenu de l'entrée en application du Règlement Général sur la Protection des Données (RGPD). Depuis quelques semaines, la CNIL permet d'ailleurs de procéder à sa désignation via un formulaire web dédié .

Êtes-vous concerné ? Certainement. De très nombreuses entités sont soumises à cette obligation :

- L'ensemble des organismes publics ;

- Les entités traitant à titre d'activité principale à grande échelle des données sensibles (données de santé, relatives aux opinions politiques, philosophiques, religieuses, données de condamnations pénales, etc.) ;

- Les entités réalisant à titre d'activité principale à grande échelle un suivi régulier et systématique d'individus.

Il convient d'être vigilant sur l'interprétation de ces notions. Le G29, regroupant les différentes autorités de protection des données européennes, conçoit de manière étendue la notion de "grande échelle". Ainsi, les données de clientèle détenues par un coiffeur indépendant ne seraient à priori pas considérées comme étant constitutives d'un traitement à "grande échelle" , à la différence de celles traitées par une chaîne nationale de salons de coiffure.

Rien n'empêche les entreprises ne remplissant pas ces critères de désigner volontairement un DPO. C'est d'ailleurs une pratique très vivement encouragée par les différentes autorités de protection des données en Europe .

Pour pallier toute problématique liée aux ressources d'une entreprise, le RGPD autorise l'externalisation et la mutualisation de l'activité du Data Protection Officer, ce qui peut sembler particulièrement opportun pour les besoins des TPE et PME ou pour ceux des entités publiques. Les DPO indépendants sont de plus en plus nombreux à proposer des solutions adaptées aux besoins des entreprises de tous secteurs d'activité.

Le DPO doit disposer de compétences variées : être un spécialiste de la règlementation relative aux traitements de données personnelles, disposer de compétences en analyses de risques et maîtriser les concepts de sécurité des systèmes d'information. La pédagogie est par ailleurs une qualité essentielle pour la transmission des bonnes pratiques et la diffusion d'une culture d'entreprise autour de la protection des données.

Le Data Protection Officer, tel que décrit par le RGPD, se caractérise par sa "capacité à agir en toute indépendance" et n'est donc pas censé recevoir d'instruction dans l'exercice de ses missions. Bien qu'il puisse réaliser d'autres activités que celles strictement liées à la protection des données personnelles, ces missions ne doivent pas générer de conflit d'intérêts avec son rôle de DPO. C'est ainsi qu'un directeur général ne pourra pas prétendre à exercer la fonction de DPO à titre accessoire puisqu'il ne sera pas présumé comme pouvant exercer cette fonction de manière indépendante.

Les nouvelles obligations du RGPD doivent conduire chaque chef d'entreprise à se questionner sur la nécessité ou la pertinence de désigner un DPO. Cette désignation peut déboucher sur la création d'une forte valeur ajoutée pour l'entreprise comme pour ses clients, dans un contexte où le lien de confiance autour de la protection des données personnelles n'a jamais été aussi décisif pour les utilisateurs.

Bio

Florent Gastaud est le Data Protection Officer (DPO) du Groupe OVH. Il est responsable de la conformité des activités d'OVH aux enjeux de protection des données à caractère personnel. Diplômé de l'Université Paris II Panthéon-Assas, disposant de plusieurs années d'expériences dans le domaine du droit des nouvelles technologies, Florent Gastaud était précédemment responsable de la conformité d'un grand groupe d'assurance.

Florent Gastaud, Data Protection Officer chez OVH

La rédaction vous recommande

Flotte mobile : un levier de productivité et de performance
Flotte mobile : un levier de productivité et de performance

Flotte mobile : un levier de productivité et de performance

Par Bouygues Telecom

Le mobile est en passe de devenir le premier device pour les entreprises bien avant lordinateurEn effet les nouveaux usages et les innovations [...]

Sur le même sujet

Pour ou contre les cadeaux d'affaires ?
RH - Management
Pour ou contre les cadeaux d'affaires ?

Pour ou contre les cadeaux d'affaires ?

Par Véronique Meot

Faut-il motiver et fidéliser ses clients ou ses commerciaux en leur offrant des cadeaux ? La méthode, courante, a semble-t-il fait ses preuves, [...]

La rémunération n'est plus le premier levier de motivation
RH - Management
La rémunération n'est plus le premier levier de motivation
Junial Enterprises - Fotolia

La rémunération n'est plus le premier levier de motivation

Par La rédaction

En Europe, les salariés accorderaient plus d'importance à l'équilibre entre vie privée et vie professionnelle qu'à la rémunération, selon une [...]

Comité social et économique : guide pour réussir sa mise en place
RH - Management
SPENDESK
Comité social et économique : guide pour réussir sa mise en place

Comité social et économique : guide pour réussir sa mise en place

Par SPENDESK via Marketme

Le Comité social et économique remplace les représentants élus du personnel dans les entreprises, et fusionne tous les anciens comités et instances [...]