DPO : une évolution de la fonction pour s’adapter aux défis de la protection des données
Le métier de Délégué à la Protection des Données (DPO) est en constante évolution, en raison de l'environnement réglementaire en mutation permanente. Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, le rôle du DPO s'est considérablement étoffé et complexifié dans les entreprises.
Extension du champ d’application de la fonction, missions élargies, collaboration accrue avec les différentes parties prenantes… l’émergence de nombreuses réglementations autour de la data et l’accélération des projets de digitalisation des organisations poussent les DPO à adopter une nouvelle posture.
Quelles sont les principales évolutions observées ? Quelles compétences doivent mobiliser les DPO aujourd’hui pour faire face à ces évolutions ? Des interrogations auxquelles nous répondons dans cet article.
D’une approche déclarative à la compliance
La fonction de DPO a connu une transformation majeure ces dernières années, passant d’une approche déclarative à une culture de la compliance. L’approche déclarative, caractéristique d’une époque révolue (qui a fait ses débuts avec la première loi de protection des données de 1978), se focalisait sur la simple complétion de registres de données. Un exercice formel consistant à vérifier si les traitements de données de l’entreprise correspondaient aux exigences réglementaires en vigueur. Cette approche plutôt passive, limitait la portée de la protection des données à une simple formalité administrative.
L’avènement du RGPD en 2018 a marqué un tournant décisif pour les DPO en instaurant un paradigme de compliance, où les entreprises ne peuvent plus se contenter de déclarer leur conformité. Elles doivent désormais démontrer activement qu’elles ont mis en œuvre toutes les mesures nécessaires pour protéger les données personnelles qu’elles traitent. Cela implique que les DPO doivent s’interroger sur les modalités et les raisons précises de la collecte de chaque donnée : qui, où, comment, quand, pourquoi, quelle base légale ? Tous ces éléments, qui visent à expliquer la finalité de traitement des données, sont aujourd’hui à compiler dans un registre de traitement, registre qui n’existait pas aux prémices des réglementations et qui demandent aux DPO d’avoir une vision transversale du sujet.
Ce changement de paradigme a propulsé le DPO au cœur de la gouvernance des données des entreprises. Le DPO n’est plus un simple déclarant, mais un acteur stratégique qui accompagne l’organisation dans sa démarche de conformité au RGPD.
Être DPO aujourd’hui : des compétences transversales
Les DPO ont dû également élargir leurs compétences et adopter une approche transversale pour répondre aux exigences croissantes de la protection des données.
Loin de se limiter à une expertise juridique, le rôle du DPO s’est enrichi de compétences en gestion de projet et en leadership pour répondre à la complexité croissante des réglementations. Ils doivent désormais piloter des projets, mais aussi savoir mobiliser et fédérer différentes parties prenantes au sein de l’organisation.
Au-delà des aspects de management, les DPO doivent monter en compétences et maintenir un lien étroit entre les compétences techniques liées aux systèmes d’information, aux réseaux, etc., et les expertises juridiques en matière de protection des données personnelles. Les aspects techniques, tels que la mise en place de mesures de sécurité adéquates, doivent être guidés par une compréhension fine des exigences juridiques. Inversement, le cadre juridique doit s’appuyer sur une connaissance concrète des systèmes d’information et des pratiques de traitement des données.
Cette évolution de la fonction souligne donc l’importance d’une approche pluridisciplinaire et transverse du sujet. La réglementation RGPD ne s’adresse plus uniquement aux juristes, mais concerne l’ensemble des métiers de l’entreprise, du système d’information aux ressources humaines, en passant par le marketing et la communication.
Les enjeux RGPD des opérateurs télécoms
L’essor du numérique et l’utilisation croissante des appareils connectés poussent les organisations à accélérer leurs projets d’infrastructures réseaux pour garantir une connectivité fluide aux utilisateurs. C’est le cas notamment dans les aéroports, qui déploient le Wi-Fi gratuit mais aussi très prochainement, dans les transports en commun (projet du Grand Paris Express).
Si le projet du Grand Paris Express offrira une meilleure expérience aux usagers en termes de connectivité, elle pose des défis majeurs en matière de gestion des données. En effet, la collecte de données sera très fréquente (les transports en commun sont empruntés quasi quotidiennement) et la prise de conscience des usagers sur l’exploitation de leurs données poussera les opérateurs à trouver des solutions pour répondre aux nombreuses demandes d’accès ou de rectification.
La mise en place du RGPD a bouleversé la fonction en consacrant le DPO comme un acteur central de la gouvernance des données. Loin d’être de simples experts techniques ou juridiques (comme ils pouvaient l’être il y a 4 ans), les DPO se positionnent comme de véritables chefs d’orchestre.
Face à tous ces challenges, il est essentiel de faire évoluer leurs pratiques et veiller à monter en compétences au rythme des évolutions du RGPD. La formation continue, la veille réglementaire et l’union des compétences juridiques et des compétences techniques sont des clés essentielles de réussite.
*Grant Thornton : https://grant-thornton-france.powerappsportals.com/Telechargement-etude-DPO/
