Quelles sont les 3 compétences nécessaires pour un DPO ?
La fonction de délégué à la protection des données (DPO) est un nouveau métier de plus en plus plébiscité par les entreprises et organisations. Nombreuses sont en effet ces sociétés qui souhaitent aujourd'hui garantir la conformité de leurs traitements de données. Le délégué à la protection des données est le garant légal dans les entreprises en ce qui concerne les traitements opérés sur les données à caractère personnel. Pour mener à bien ses différentes missions, le DPO doit posséder un certain nombre de compétences. Découvrez ici 3 compétences indispensables pour un délégué à la protection des données.
1- Les compétences d'ordre organisationnel
Le Data Protection Officer ou DPO est un professionnel chargé de superviser la gestion des données d'entreprise en veillant à ce que cela respecte le cadre juridique du RGPD (règlement général sur la protection des données). Le DPO doit ainsi avoir plusieurs compétences d'ordre organisationnel. Son rôle sera d'accompagner l'entreprise dans la mise en place des traitements de données conformes au RGPD. Il apporte son expertise pour aider à la mise en œuvre d'une gouvernance des données RGPD-friendly. Même si de plus en plus de professionnels exercent le métier de DPO, il est difficile de trouver un véritable délégué à la protection des données pour réaliser de manière efficace les tâches confiées.
Selon la CNIL (Commission nationale de l'informatique et des libertés), les entreprises doivent choisir leur DPO en tenant compte de son expertise et de sa formation. Il est important d'opter pour un DPO disposant d'une certification RGPD et DPO. Pour les personnes qui souhaitent devenir CDPO, Certified Data Protection Officer, il existe de nombreux organismes de formation professionnelle reconnus mondialement et accrédités par tous les acteurs majeurs du secteur. Ces organismes de formations possèdent le plus souvent des réseaux de formateurs efficaces pour fournir aux entreprises des formations en fonction de leurs besoins. Vous pouvez également bénéficier d'une formation RGPD.
Il est possible d'opter pour des classes virtuelles en session de 3 ou 5 h avec des formations interentreprises et des formations intraentreprises. Grâce à une formation certifiante, le délégué à la protection des données pourra acquérir de nouvelles connaissances et des compétences en matière de conduite du changement et de gouvernance d'entreprise. Il sera également en mesure de piloter les diagnostics de conformité.
2- Les compétences en informatique/techniques
Pour garantir aux entreprises la mise en conformité au RGPD, le DPO aura à effectuer de nombreuses tâches d'ordre technique :
- diagnostic IT,
- cartographie des données et des flux,
- mise en place des règles de sécurité,
- réalisation des tests,
- création du registre des traitements,
- mise à jour des modes de collecte et de recueil des consentements,
- conception des procédures en cas de violation des données, etc.
Le DPO doit donc disposer de compétences techniques, principalement en matière de sécurité des systèmes d'information. Il s'agit d'un aspect important pour une mise en conformité au RGPD.
Une entreprise qui traite des données personnelles doit pouvoir mettre en œuvre des mesures techniques appropriées pour un niveau de sécurité efficace et adapté aux risques. Les compétences d'un DPO lui permettent d'évaluer si l'entreprise met en œuvre des mesures adaptées aux enjeux de sécurité actuels. En pratique, cette évaluation suppose des compétences techniques notamment en informatique et en système de management de la sécurité de l'information (chiffrement des flux et des données, gestion des habilitations et des accès, gestion des prestataires SaaS politiques de mises à jour, etc.).
3- Les compétences d'ordre juridique
Le délégué à la protection des données doit être un fin juriste. Il doit connaître sur le bout des doigts les textes juridiques associés au RGPD. Le DPO aide les entreprises à élaborer des contrats conformes à la loi avec des sous-traitants, partenaires et autres fournisseurs de données. Ce professionnel joue le rôle d'interlocuteur privilégié de la CNIL en cas de contentieux en lien avec la gestion des données personnelles. Un Data Protection Officer doit avoir une très bonne maîtrise du droit des données personnelles. Les compétences d'ordre juridique sont les seules compétences requises et formellement citées par le RGPD. La loi stipule que le délégué à la protection des données doit être désigné sur la base de ses connaissances spécialisées des pratiques et du droit et en matière de protection des données.
Le DPO doit avoir une parfaite maîtrise des concepts du système juridique et judiciaire français et européen. L'idéal serait de posséder un master spécialisé en droit des nouvelles technologies. Cela permettra au DPO d'appréhender plus vite les différentes lois nationales relatives à la protection des données personnelles et les dispositions du RGPD. Le délégué à la protection des données saura ainsi interpréter les dispositions du RGPD à la lumière de l'European Data Protection Board (EDPB) et des différentes autorités de contrôles.