Il n’est pas encore là, mais tout le monde en parle. Le futur DPO (Data Protection Officer) arrive…
«Parmi les évolutions prévues du nouveau règlement européen sur les traitements de données à caractère personnel, dont l’adoption devrait en principe intervenir au printemps 2016, on note l’arrivée du DPO, explique Frédéric Connes, directeur juridique & Senior Manager, HSC. On en reparlera, car d’une fonction l’on pourrait rapidement passer à une véritable profession, exerçable tant en interne qu’en externe.»
Première mission : veiller au respect des exigences juridiques en matière de protection des données personnelles. Ce qui veut dire informer, sensibiliser et conseiller, mais aussi veiller à la réalisation des analyses d’impact sur la vie privée (PIA – Privacy Impact Assessment), à l’intégration de la protection des données personnelles dès la phase projet (privacy by design), à la tenue et à la centralisation de la documentation et des preuves, et à la gestion des violations de données personnelles. Il devra être informé de tout projet impliquant des données personnelles.
«Un phrasé juridique dont le mérite est de laisser la porte ouverte à d’autres possibilités», estime Frédéric Connes. Pour exercer sa fonction, le DPO pourra exiger l’accès aux données de l’entreprise, entretenir ses connaissances spécialisées, avoir des ressources financières, humaines, logistiques et techniques. Il pourra être interne ou externe, exécuter d’autres missions et tâches, être mutualisé. Il fera rapport au niveau le plus élevé de la direction du responsable de traitement.
Son nom sera obligatoire sur tous les documents et il sera également le point de contact. Attention, précise Frédéric Conne, «si le DPO sera ‘beaucoup de chose’, il ne sera pas un commissaire aux données à la manière d’un commissaire aux comptes !» Bref, il ne sera pas là pour dénoncer. Indépendant, il sera soumis au secret professionnel ou à une obligation de confidentialité. Côté Justice, il n’aura aucune responsabilité civile, sauf s’il est externe, donc soumis à une responsabilité contractuelle. Sur le plan pénal, sa responsabilité sera assez faible, excepté en cas de complicité ou de violation du secret professionnel.
Enfin, comme le souligne Frédéric Connes, «si sur le plan judiciaire, ses risques sont assez limités, en revanche, sa responsabilité d’image liée à celle de l’organisme en matière de protection des données privée est énorme, responsabilité qui justifie à elle seule une rémunération élevée de la position. Aux Etats-Unis on parle de salaire à six chiffres !»