L’essor du métier de Data Protection Officer, le garant de nos données

28 ene 2019

7 min

L’essor du métier de Data Protection Officer, le garant de nos données

Après avoir travaillé près de sept ans pour la Commission Nationale de l’Informatique et des Libertés (CNIL), Elise Latify, 39 ans, est aujourd’hui installée à son compte en tant que consultante en protection des données personnelles et Data Protection Officer externe. Son rôle : aider ses clients, qu’ils s’agissent de start-up, de banques ou de toute organisation privée ou publique, à se mettre en conformité avec les exigences du Règlement Général sur la Protection des Données (RGPD), qui est entré en application en mai 2018.

Quel parcours as-tu suivi pour devenir Data Protection Officer (DPO) ?

Après une prépa littéraire et des études de droit, avec une spécialisation en droit public et droit européen, j’ai travaillé pendant deux ans pour l’Ordre des avocats de Paris. Depuis très longtemps, j’avais envie d’intégrer une autorité administrative indépendante qui défende les libertés fondamentales. Et j’ai eu l’opportunité de rejoindre le service des contrôles de la Commission Nationale de l’Informatique et des Libertés (CNIL) où je suis restée pendant deux ans et demi. Ma mission était alors de contrôler la conformité des organisations (entreprises, ministères, collectivités territoriales) avec la loi Informatique et Libertés. J’ai adoré cette première expérience qui a été un moyen formidable de découvrir les entreprises de l’intérieur et de comprendre comment appliquer cette loi en tenant compte des spécificités de chaque cœur de métier.

J’ai ensuite été détachée à Bruxelles auprès de la CNIL européenne (le contrôleur européen de la protection des données) qui a en charge le respect de la réglementation relative à la protection des données personnelles par les institutions européennes. Je suis arrivée au moment où se négociait le Règlement Général sur la Protection des Données (RGPD) qui a été adopté en 2016 et est entré en application en mai 2018. J’ai ensuite réintégré la CNIL française et ai notamment travaillé sur les modalités d’application de ce nouveau règlement européen et sur l’accès des services de renseignement aux données personnelles traitées par le secteur privé.

Finalement, après avoir travaillé pour les régulateurs pendant près de sept ans, j’ai eu envie de voir comment la protection des données était appliquée par les organisations et notamment les entreprises. J’ai donc rejoint un cabinet de conseil, TNP Consultants, puis j’ai décidé de créer ma propre structure. Aujourd’hui, je travaille en tant que consultante indépendante auprès de différents profils de clients (start-up, banques, fondations…) et interviens en tant que DPO externe pour l’un d’entre eux.

En quoi consiste concrètement le métier de DPO ?

Le DPO (en français « délégué à la protection des données ») est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. Il est donc l’interlocuteur clé au sein de l’entreprise chargé de s’assurer de la protection des données personnelles et de l’application de la réglementation en la matière.

Son rôle consiste à sensibiliser les collaborateurs à l’existence de cette réglementation et à les accompagner dans l’élaboration et la mise en œuvre d’un plan d’action de mise en conformité avec les exigences du RGPD.

Le rôle du DPO consiste à sensibiliser les collaborateurs à l’existence de cette réglementation et à les accompagner dans l’élaboration et la mise en œuvre d’un plan d’action de mise en conformité avec les exigences du RGPD.

Il implique donc de solides connaissances juridiques et techniques ?

Tout à fait. Il faut avoir de solides bases juridiques pour bien comprendre la réglementation et ses implications mais avoir également des connaissances techniques pour être en mesure de comprendre comment appliquer ces règles d’or de la protection des données à chacune des entreprises avec lesquelles on va travailler. Sur tout l’aspect numérique et technique, je me suis formée sur le tas et notamment à la CNIL où lors des opérations de contrôle, je travaillais toujours en binôme avec un ingénieur en informatique. Puis j’ai suivi des formations en sécurité informatique et je m’informe en permanence pour m’assurer d’être bien à jour sur les dernières innovations technologiques et juridiques en la matière.

Concrètement, comment se déroule une mission dans une entreprise ?

Pour commencer, le client m’explique son activité dans le détail pour que je comprenne bien à quel moment, comment et pour quelle finalité il utilise des données personnelles. Utilise-t-il des outils d’intelligence artificielle ? Le ciblage marketing constitue-t-il son cœur de métier ? Ou traite-t-il des données RH, des données relatives aux transactions bancaires ou autres ? A-t-il un dispositif de sécurité de ses locaux via un système de vidéosurveillance ou de contrôle d’accès par badge ? Comment gère-t-il son recrutement ?

La deuxième étape consiste en un audit sur place au cours duquel je m’entretiens avec les personnes clés de l’entreprise : celles qui sont chargées du produit, des ressources humaines, de la finance, du marketing, de la communication, de la sécurité informatique… Chacune me raconte son histoire et la manière dont elle travaille pour que je puisse avoir un aperçu global et détaillé de la manière dont sont traitées les données au sein de l’entreprise, pour que je puisse savoir comment et à quel moment elles sont collectées, comment les employés, les clients, les partenaires de l’entreprise sont informés du fait que leurs données personnelles sont traitées, comment l’entreprise s’organise pour permettre à ces personnes d’exercer leurs droits, comment elle archive toutes ces données…

Sur la base de toutes ces informations, je dresse un état des lieux qui me permet de lister un certain nombre de recommandations que je vais détailler dans un plan d’action.

Accompagnes-tu tes clients sur le long terme ou exerces-tu uniquement des missions de diagnostic ?

Dans certaines entreprises, ma mission s’arrête une fois le plan d’action proposé car elles estiment qu’elles disposent des ressources en interne et d’une connaissance suffisante de la législation pour comprendre comment mettre mes recommandations en œuvre. Mais la plupart du temps, j’accompagne mes clients sur le long terme. Je suis alors chargée de déployer, en partenariat avec une personne de l’entreprise qui est désignée comme mon interlocuteur privilégié, ces actions avec chaque service concerné.

En termes d’organisation, certaines entreprises me demandent d’être présente à temps plein pendant trois mois environ puis d’intervenir de manière ponctuelle tandis que d’autres préfèrent que je sois présente un ou deux jours par semaine ou par mois, et ce sur le long terme. Quoi qu’il en soit, la protection des données personnelles est un secteur en perpétuelle mutation, qui évolue en fonction des avancées technologiques, des nouveaux projets que l’entreprise met en place et qui impliquent de nouveaux modes de traitement des données, donc il est difficile de dire que le projet se termine à un moment précis.

La protection des données personnelles est un secteur en perpétuelle mutation, qui évolue en fonction des avancées technologiques, des nouveaux projets que l’entreprise met en place.

Le DPO est-il un métier nouveau ?

Non, c’est un métier qui existait déjà sous le nom de “correspondant Informatique et libertés”, mais dont les prérogatives et les missions se sont considérablement accrues. Avant l’entrée en application du RGPD, la loi française prévoyait, pour les entreprises qui ne respectaient pas la réglementation, des amendes allant de 150 000 euros pour un premier manquement à 300 000 euros de réitération, puis jusqu’à 3 millions d’euros. Désormais, le montant des sanctions pécuniaires peut atteindre les 20 millions d’euros, ou 4% du chiffre d’affaires. Ce nouveau niveau de sanctions a renforcé la prise de conscience de l’importance de la protection des données pour les entreprises ce qui a permis au DPO de devenir un poste clé et stratégique. Le DPO fait d’ailleurs souvent aujourd’hui partie du comité exécutif de l’entreprise.

Ce nouveau niveau de sanctions a renforcé la prise de conscience de l’importance de la protection des données pour les entreprises ce qui a permis au DPO de devenir un poste clé et stratégique. Le DPO fait d’ailleurs souvent aujourd’hui partie du comité exécutif de l’entreprise.

Comment envisages-tu l’avenir de cette profession ?

C’est un métier qui est aujourd’hui très recherché et donc un secteur qui va fortement embaucher ces prochaines années. Il évolue en permanence avec les nouveaux projets de l’entreprise impliquant le traitement de données personnelles et n’a donc pas vocation à disparaître, même lorsque l’ensemble des entreprises françaises se seront mises en conformité avec la réglementation. En revanche, l’engouement exceptionnel qu’il a suscité depuis l’entrée en application du RGPD va probablement s’essouffler mais cela concerne principalement les cabinets de conseil qui se sont spécialisés dans la mise en conformité de base.

Le DPO a-t-il une responsabilité légale en cas de non-respect de la réglementation par l’entreprise ?

S’il est salarié, le DPO a la même responsabilité que n’importe quel autre collaborateur de l’entreprise. Sa responsabilité peut être engagée pour faute lourde ou manquement à ses obligations contractuelles mais s’il a tracé sa recommandation, et qu’elle n’a ensuite pas été mise en œuvre par la direction, la responsabilité du manquement à la réglementation incombe au représentant légal de l’entreprise. En tant que DPO externe, j’ai quant à moi souscrit une assurance de responsabilité civile professionnelle spécifique à mon activité qui me couvre face à ce risque.

Quelles qualités requiert selon toi le métier de DPO ?

Avant tout, de la curiosité, de l’écoute et un profond sens de la pédagogie, car le métier de DPO implique de former et de sensibiliser les collaborateurs de l’entreprise en interne à la protection des données personnelles. Il doit faire preuve d’inventivité pour s’adapter à son public, être capable de vulgariser des informations souvent techniques tout en rappelant les règles fondamentales et en expliquant comment elles doivent et peuvent s’appliquer à chaque domaine d’activité. Il doit également être patient car la mise en œuvre de projets de conformité prend parfois du temps et n’est pas toujours la priorité des services opérationnels.

Par ailleurs, ce métier implique d’avoir envie d’apprendre et de se former en permanence. On ne devient pas DPO en six mois, la protection des données est une matière complexe, qui évolue très vite et qui demande de la réflexion. Le DPO doit donc de lui-même se mettre à jour régulièrement en lisant beaucoup, en s’informant sur ce qui se fait ailleurs, sur les nouvelles jurisprudences, sur les nouvelles technologies qui émergent pour être en mesure de conseiller au mieux ses clients.

On ne devient pas DPO en six mois, la protection des données est une matière complexe, qui évolue très vite et qui demande de la réflexion.

C’est ce qui te plaît dans ton métier ?

Oui car j’ai le sentiment de continuer à apprendre en permanence et c’est quelque chose de fondamental pour moi. Au-delà de la mise en conformité des entreprises à la réglementation, je travaille aussi sur de grandes réflexions sur l’éthique de l’intelligence artificielle, sa complémentarité avec la protection des données, sur le design de la protection des données… Ce sont des sujets transversaux et de prospective qui me passionnent. Et puis, le fait de voir concrètement les résultats des recommandations que je propose est un élément très satisfaisant !

Suivez Welcome to the Jungle sur Facebook et abonnez-vous à notre newsletter pour recevoir chaque jour nos meilleurs articles !

Photo by WTTJ