Le portrait-robot du DPO idéal
  • Actu RH
  • 22/05/2018

Le portrait-robot du DPO idéal

Vous êtes déjà au courant que le Règlement Général sur la Protection des Données (RGPD) entre en vigueur le 25 mai prochain ! Et vous êtes certainement en train de finaliser les dernières actions pour mettre votre entreprise en conformité... Mais alors ? Avez-vous trouvé votre Data Protection Officer alias Délégué(e) à la Protection des Données personnelles (DPO) ?

Si ce n’est pas le cas, pas de panique ! La rédaction a dressé le portrait-robot du DPO idéal pour vous aider dans vos recherches.

Commençons par la définition

Nous pourrions imager le DPO par un « shérif » de la data au sein de l'entreprise. Il s’assure du respect du RGPD au sein de sa société ou celle de son client et est impliqué dans tous les processus en lien avec le traitement des données à caractère personnel.

A le goût du risque 

Le poste de DPO est principalement un poste de gestion des risques. En effet, le futur responsable du RGPD sera amené à faire des préconisations et des recommandations à l’entreprise pour assurer sa conformité. C’est l'évaluation du risque qui doit déterminer la conduite du DPO et l’aider à prioriser ses actions. Il a un rôle d’informateur, de conseiller et de contrôleur.

Autoritaire, mais pas trop !

Le DPO doit avoir l’autorité nécessaire pour faire asseoir ses décisions et la mise en pratique de ses préconisations à l’ensemble des services. Pour cela, plus que d’avoir le caractère et les épaules, l’organisation doit lui permettre de disposer de l’autorité et l’accès aux dirigeants.

Accessible

Le DPO est accessible : par les personnes concernées en interne mais aussi par l’autorité de protection des donnés à caractère personnel. C’est-à-dire que ses coordonnées sont facilement accessibles en interne comme à l’extérieur mais aussi qu’il parle la/les langues utilisées en interne et par l’autorité de contrôle par exemple.

Son entreprise n’a aucun secret pour lui

Cela va de soi, le DPO doit avoir une connaissance du secteur d’activité de l’entreprise concernée. Que ce soit pour cartographier les données de l’entreprise ou définir le cadre légal.

Le roi des procédures

Le ou la délégué(e) à la protection des données personnelles doit être rigoureux(se)et organisé(e). D’autant plus qu’il est en lien avec tous les services de l’entreprise : administration, communication, marketing ou encore service technique. Les procédures sont alors essentielles pour les étapes de validation et pour une organisation optimale.

Incollable sur le droit et pratiques en matière de protection des données

Bien évidemment pour accomplir ses missions, le ou la délégué(e) se doit d’avoir des compétences en droit de protection des données.

Indépendant

Le RGPD précise que le DPO ne peut pas faire l’objet de sanction ni recevoir d’instructions pour l’exercice de ses tâches. Chose que le contrat entre l’employeur (ou client) et le ou la DPO doit stipuler. Dans le cas où le DPO occupe un autre poste, il peut alors être sanctionné pour un motif extérieur à sa mission. Il conviendra alors de prévoir une procédure renforcée pour qu’il n’y ait pas de suspicion possible sur les raisons de la sanction.

A condition de lui donner les moyens !

Eh oui ! Pour être au top à son poste, l’employeur doit mettre à disposition les moyens nécessaires au DPO. Il doit disposer des moyens techniques, humains et compétences. Cela signifie lui fournir un budget, du matériel mais aussi une équipe et des formations. Enfin, pour que son autorité soit respectée, la direction de l’entreprise se doit de mettre en place la communication nécessaire.

Tout travail mérite salaire

Un Data Protection Officer peut prétendre un salaire mensuel de 2 500 à 4 000 euros brut.

Un DPO n’est pas toujours là où on le cherche

L’intitulé DPO n’est pas encore totalement entré dans le langage courant. D’autres intitulés de poste correspondent aux mêmes missions : ingénieur cybersécurité, consultant data privacy ou encore juriste NTIC.