Les défis de la fonction DPO : compétences hybrides et disponibilité permanente
L’étude récente « RGPD – Le métier de DPO – 1 an après – Premiers Résultats » [1] menée par l’AFPA[2] avec l’AFCDP[3] et la CNIL[4], a dressé le portrait type des DPO d’aujourd’hui : parmi eux, 33% sont de formation ingénieur et 31% sont de formation juridique. « Deux compétences indispensables pour l’exercice de la fonction de DPO, mais difficilement conciliables pour une même personne tant les formations requises semblent éloignées l’une de l’autre », confie Nicolas Courtier, avocat spécialiste en droit des technologies de l’information et contributeur de la practice RGPD au sein de DPOSystem. Avant que des formations hybrides ne se développent, les organisations (publiques ou privées) se retrouvent donc face à une difficulté de recrutement. Même après cela, dans la plupart des organisations, les DPO resteront isolés.
Les grands groupes sont évidemment favorisés. S’ils sont dotés d’une équipe conformité regroupant plusieurs types de profils, alors ils sont en mesure de répondre en interne aux obligations légales. En revanche, les plus petites organisations ou les collectivités ont davantage de difficultés à faire face aux exigences réglementaires.
Un autre défi : celui de la continuité. Comment mettre en œuvre une disponibilité forte du DPO en cas de panne des systèmes informatiques ou de contrôle inopiné de la CNIL ? Encore une fois, un grand groupe doté d’une équipe solide pourra faire face, ce qui ne pourra être le cas des plus petites organisations.
Un marché qui se développe : l’assistance aux DPO, voire l’externalisation.
Face à ces deux défis (compétences hybrides et disponibilité forte), un nouveau marché est en train de voir le jour en France : celui de l’assistance et de l’externalisation de la fonction DPO avec plusieurs types d’accompagnement.
- La mise en conformité. Cette étape consiste à auditer les différents services de l’organisation afin d’inventorier les traitements de données à caractère personnel et les risques associés notamment à l’aide d’une cartographie des traitements et d’une cartographie applicative. Lors de cet audit, une attention particulière est portée sur les moyens de sécurité présents pour protéger les données à caractère personnel. Ce processus permet d’analyser les écarts entre la situation actuelle et la cible de conformité visée et d’obtenir ainsi une feuille de route. Cette dernière est adaptable au rythme de l’entreprise et elle induit les mesures juridiques, techniques et organisationnelles à mettre en œuvre. Une fois cette mise en conformité réalisée, le DPO doit faire vivre la conformité.
- L’assistance aux DPO. Le DPO en place dans l’organisation souhaite un appui juridique, technique ou méthodologique dans l’exercice courant de ses fonctions. L’équipe d’assistance va l’aider dans les domaines qui complèteront ses compétences, telles que la réalisation de l’étude d’impacts, l’assistance en cas de contrôle de la CNIL, ou pour répondre à des demandes d’exercices de droits, etc. Pour les demandes juridiques complexes, le centre de services DPOSYSTEM travaille avec des cabinets d’avocats spécialisés.
- L’externalisation, lorsqu’il n’y a pas de DPO nommé dans l’organisation. DPOSYSTEM est à même de prendre en charge le rôle de DPO dans toute sa diversité.
[1]https://afcdp.net/media/documents/RGPD-metier-DPO-premiers-resultats-Valid-_.pdf
[2]L’Agence nationale pour la formation professionnelle des adultes
[3]L’Association Française des Correspondants à la protection des Données à caractère Personnel
[4] Commission nationale de l’informatique et des libertés
