Article réservé aux abonnés Archimag.com

RGPD un an après : tout savoir sur le métier de DPO

  • rgpddpo_unan.jpg

    "La principale difficulté des organisations est de trouver des personnes formées et compétentes", Albine Vincent, Cnil. (Gremlin/iStock)
  • Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en application, s’imposant dans le secteur privé comme dans le secteur public. Un an après, quel est le chemin parcouru par les organismes et les délégués à la protection des données (DPO) pour se mettre en conformité ? La Commission nationale de l'informatique et des libertés (Cnil) dresse un bilan. Des délégués répondent, issus de différents domaines : protection sociale, ressources humaines, collectivités territoriales. Rappel sur les principaux points du règlement, indications sur les formations à la fonction de DPO et signalement d’outils d’aide à la mise en conformité closent ce dossier.

    Sommaire du dossier :

     

    Albine Vincent est responsable du service des délégués à la protection des données (DPO) au sein de la Commission nationale de l’informatique et des libertés (Cnil). Nombre de DPO en exercice, profils, compétences... : elle répond aux questions d’Archimag.

    Libelle banniere.gif

    Un an après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), combien la France compte-t-elle de DPO ?

    En France, nous estimons que 80 000 organisations sont concernées par le caractère obligatoire de la désignation, notamment parce que tous les organismes publics doivent désigner un DPO. Mais nous observons également des cas de désignation volontaire, que nous encourageons.
    Il faut distinguer le nombre d’organismes qui ont désigné un DPO et le nombre de personnes DPO en activité. Un DPO peut en effet être délégué au profit de plusieurs organismes.  À ce jour, 51 000 organismes ont désigné un délégué à la protection des données ce qui représente 18 000 personnes physiques.

    Rappelons qu’un organisme doit communiquer les coordonnées du DPO auprès de l’autorité de contrôle, en l’occurrence la Cnil pour la France. Cette obligation est prévue par le Règlement européen sur la protection des données.

    Quel est le profil des DPO ?

    Une enquête du ministère du Travail sur le profil des DPO est en cours de réalisation. Selon les premiers résultats, environ un premier tiers des DPO présente un profil technique issu de la filière numérique. Un deuxième tiers est issu du monde juridique. Quant au troisième tiers, il n’est pas caractérisé par un profil particulier. Dans l’attente des résultats définitifs de l’enquête, on peut penser que l’on trouvera dans cette troisième catégorie des documentalistes, des qualiticiens…

    Comme dans le cas des anciens correspondants informatique et libertés (Cil), les DPO assurent cette fonction à temps partiel pour une partie d’entre eux. Ainsi, un juriste, un documentaliste ou un archiviste pourraient parfaitement remplir leur fonction traditionnelle tout en occupant la fonction de délégué à la protection des données.

    Quelle est la part des DPO externes ?

    Selon les chiffres dont nous disposons, environ 700 structures (des cabinets d’avocats, des syndicats mixtes qui proposent des services informatiques aux collectivités…) commercialisent des prestations dédiées à la protection des données personnelles. Ce chiffre est en progression régulière depuis un an. 

    Environ 1 100 personnes font office de DPO dans le cadre de la désignation personne morale. Elles proposent en général d’autres services de conseil, d’audit, de cartographie des traitements de données personnelles.

    Précisons qu’un DPO externe peut être amené également à travailler pour plusieurs organismes.

    Quel soutien la Cnil apporte-t-elle aux DPO ?

    La Cnil est l’une des rares structures en Europe à disposer d’un service dédié à l’accompagnement des délégués à la protection des données. Notre équipe crée des contenus spécifiques pour l’exercice du métier. Nous accompagnons les DPO dans les différentes phases : désignation, formation, conseil… Nous avons par ailleurs travaillé à l’élaboration de référentiels pour mettre en place un schéma de certification des compétences du DPO.
    Cette équipe a également pour objectif de fédérer les réseaux par métier, par secteur géographique et par secteur d’activité. Nous avons par exemple signé une convention de partenariat avec l’Assemblée des départements de France. Cette convention a débouché sur la mise en place d’un réseau d’experts au bénéfice des DPO des départements. Cela permet à ceux-ci d’avoir un premier niveau d’échange pour trouver leur réponse. Seuls les sujets non résolus par le collectif nous sont ensuite transmis.

    Nous proposons également une permanence téléphonique et une adresse électronique réservées aux DPO.

    Signalons enfin le lancement récent d’un Mooc qui répond aux questions fondamentales du RGPD. Ce Mooc n’est d’ailleurs pas réservé aux délégués à la protection des données : tout internaute peut s’inscrire et suivre les leçons. Au mois d’avril 2019, soit un mois après son lancement, environ 27 500 personnes étaient déjà inscrites.

    Les entreprises sont-elles confrontées à des problèmes particuliers lors de la nomination d’un DPO ?

    Les situations sont très variées selon les entreprises ou les organismes publics. Leur principale difficulté est de trouver des personnes formées et compétentes sur ces sujets. Le marché du travail se caractérise en effet par un manque de personnes qualifiées. Hormis dans les grands groupes et les grandes collectivités où les DPO exercent généralement leur fonction à plein temps, les délégués doivent exercer cette fonction en plus de leur activité professionnelle traditionnelle.
    La difficulté est donc bien de trouver la personne formée, apte à connaître les codes de l’organisme, ses modes de fonctionnement interne et l’environnement de l’activité de l’entreprise ou de la collectivité. Ce type de profil est finalement assez rare.

    Existe-t-il une certification ou un référentiel des compétences des DPO ?

    Que ce soit pour valoriser des acquis professionnels ou pour se distinguer sur un marché, il existe le modèle de certification des compétences du DPO proposé par la Cnil, dont la démarche est facultative et non obligatoire pour être désigné auprès de la Cnil. Ouvert aux DPO ainsi qu’à tout professionnel ayant deux ans d’expérience, le modèle est constitué de deux référentiels. Le premier décrit les modalités pour obtenir la certification des compétences avec notamment les conditions de recevabilité des candidatures et la liste des dix-sept compétences et savoir-faire attendus pour prétendre à cette certification.
    Le second fixe les critères applicables aux organismes qui souhaitent être agréés par la Cnil pour faire passer la certification sur la base du référentiel élaboré par la Cnil. Plusieurs structures ont manifesté leur intérêt pour la démarche.
    Dans ce schéma, l’organisme qui fait passer l’examen ne peut pas être l’organisme qui forme, pour éviter tout risque de conflit d’intérêts.
    Attention cependant au terme « certification » qui revêt de nombreuses significations sur le marché car il peut désigner des diplômes, des formations longues, des formations courtes… Il entraîne de la confusion.

    Un an après l’entrée en application du RGPD, la Cnil a-t-elle identifié des points de friction ?

    Nous avons en effet identifié un fort besoin d’accompagnement notamment au sein des collectivités locales. À ce jour, seul un tiers des communes a désigné un DPO alors que toutes les communes sont concernées par la désignation obligatoire d’un délégué à la protection des données.
    En 2019, la Cnil va donc concentrer ses efforts sur les collectivités.

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    RGPD
    Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en application, s’imposant dans le secteur privé comme dans le secteur public. Un an après, quel est le chemin parcouru par les organismes et les délégués à la protection des données (DPO) pour se mettre en conformité ?
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    C'est le nombre de dossiers médicaux partagés ouverts par les assurés.
    Publicité

    Data 2020.PNG