[Tribune] Data Protection Officer : avez-vous nommé le vôtre ?

À compter du 25 mai 2018, la désignation d'un Data Protection Officer (DPO) devient obligatoire pour bon nombre d'entreprises compte tenu de l'entrée en application du Règlement Général sur la Protection des Données (RGPD). Depuis quelques semaines, la CNIL permet d'ailleurs de procéder à sa désignation via un formulaire web dédié .

Êtes-vous concerné ? Certainement. De très nombreuses entités sont soumises à cette obligation :

- L'ensemble des organismes publics ;

- Les entités traitant à titre d'activité principale à grande échelle des données sensibles (données de santé, relatives aux opinions politiques, philosophiques, religieuses, données de condamnations pénales, etc.) ;

- Les entités réalisant à titre d'activité principale à grande échelle un suivi régulier et systématique d'individus.

Il convient d'être vigilant sur l'interprétation de ces notions. Le G29, regroupant les différentes autorités de protection des données européennes, conçoit de manière étendue la notion de "grande échelle". Ainsi, les données de clientèle détenues par un coiffeur indépendant ne seraient à priori pas considérées comme étant constitutives d'un traitement à "grande échelle" , à la différence de celles traitées par une chaîne nationale de salons de coiffure.

Rien n'empêche les entreprises ne remplissant pas ces critères de désigner volontairement un DPO. C'est d'ailleurs une pratique très vivement encouragée par les différentes autorités de protection des données en Europe .

Pour pallier toute problématique liée aux ressources d'une entreprise, le RGPD autorise l'externalisation et la mutualisation de l'activité du Data Protection Officer, ce qui peut sembler particulièrement opportun pour les besoins des TPE et PME ou pour ceux des entités publiques. Les DPO indépendants sont de plus en plus nombreux à proposer des solutions adaptées aux besoins des entreprises de tous secteurs d'activité.

Le DPO doit disposer de compétences variées : être un spécialiste de la règlementation relative aux traitements de données personnelles, disposer de compétences en analyses de risques et maîtriser les concepts de sécurité des systèmes d'information. La pédagogie est par ailleurs une qualité essentielle pour la transmission des bonnes pratiques et la diffusion d'une culture d'entreprise autour de la protection des données.

Le Data Protection Officer, tel que décrit par le RGPD, se caractérise par sa "capacité à agir en toute indépendance" et n'est donc pas censé recevoir d'instruction dans l'exercice de ses missions. Bien qu'il puisse réaliser d'autres activités que celles strictement liées à la protection des données personnelles, ces missions ne doivent pas générer de conflit d'intérêts avec son rôle de DPO. C'est ainsi qu'un directeur général ne pourra pas prétendre à exercer la fonction de DPO à titre accessoire puisqu'il ne sera pas présumé comme pouvant exercer cette fonction de manière indépendante.

Les nouvelles obligations du RGPD doivent conduire chaque chef d'entreprise à se questionner sur la nécessité ou la pertinence de désigner un DPO. Cette désignation peut déboucher sur la création d'une forte valeur ajoutée pour l'entreprise comme pour ses clients, dans un contexte où le lien de confiance autour de la protection des données personnelles n'a jamais été aussi décisif pour les utilisateurs.

Bio

Florent Gastaud est le Data Protection Officer (DPO) du Groupe OVH. Il est responsable de la conformité des activités d'OVH aux enjeux de protection des données à caractère personnel. Diplômé de l'Université Paris II Panthéon-Assas, disposant de plusieurs années d'expériences dans le domaine du droit des nouvelles technologies, Florent Gastaud était précédemment responsable de la conformité d'un grand groupe d'assurance.