Formation de DPO : vraiment utile pour être conforme au RGPD ?

Le 25 mai 2018, le RGPD (règlement européen sur la protection des données personnelles) entrera en vigueur au sein de l’Union européenne.

Le RGPD expliqué en deux minutes

Pour se mettre en conformité, certaines entreprises devront avoir un DPO (Data Protection Officer ou délégué à la protection de données) ; personnalité clef dans le respect de ce nouveau règlement qui vient remplacer la directive de 1995 sur la protection des données personnelles.

Les objectifs du RGPD

Comme vous le savez certainement déjà, le RGPD est le nouveau texte de référence en matière de protection de données personnelles au sein de l’Union européenne.

Il vise trois objectifs principaux :
- renforcer les droits des personnes ;
- responsabiliser les personnes ayant à charge le traitement des données ;
- et crédibiliser la régulation en renforçant la coopération entre les autorités de protection des données.  

Adopté par le parlement européen le 14 avril 2016 et promulgué le 27 avril de la même année, ce règlement qui entre en vigueur le 25 mai prochain s’appliquera aux organismes publics ainsi qu’à toute entreprise collectant ou traitant des données personnelles de résidents européens. Que ces entreprises soient installées dans un État de l’Union européenne ou non, dès lors qu'elles traitent des données personnelles de ressortissants européens, elles se doivent de respecter les exigences de ce nouveau règlement. Et les principales exigences des entreprises ayant le traitement des données pour objet principal de leur activité, il y a la désignation du DPO.

Le DPO et son rôle

Le DPO est le nouveau « Chef d’orchestre » de la conformité aux nouvelles règles en matière de protection des données.

Dans quels cas faut-il un DPO ?

La loi indique 3 cas dans lesquels un DPO est obligatoire.
-    Quand le traitement de données est fait par une autorité publique ou un organisme public
-    Quand les activités de base de la société sont des traitements de données qui du fait de leur nature ou importance exigent un suivi régulier et rigoureux des particuliers concernés.
-  Quand les activités de base de la société consistent en de gros traitements de données "sensibles" (données de santé, données biométriques, opinions politiques, convictions religieuses, données relatives à des condamnations pénales ou à des infractions).

Il résulte de ce qui précède que par exemple, quasiment tous les e-commerçants doivent avoir un DPO.

Un pouvoir unique lui est donné par le nouveau texte. Le DPO aura à s’impliquer dans toute activité relative à la protection de données. En effet, il sera inscrit dans la Politique de Sécurité du Système d’Information de l’entité pour laquelle il travaille. Son rôle consistera essentiellement à gérer le bon fonctionnement des PIA et à s’assurer de la bonne gestion de la mise en conformité. Il sera donc en interaction avec le service conformité et juridique, le RSSI et éventuellement la DSI de son organisme ou entreprise.

Il interviendra également dans les gestions de cyber-crises liées aux données personnelles et il sera le point de contact avec l’autorité de contrôle (CNIL).

En revanche, et il est très important de le souligner, le DPO n’est pas responsable de l’application du RGPD : restent responsables des manquements éventuels les personnes qui décident ou gèrent les traitements de données.

Comme vous pouvez donc le comprendre, une formation spéciale est indispensable pour devenir DPO. Et c’est ce à quoi les entreprises font face présentement.

Les offres de formation de DPO

Aujourd’hui, les formations de DPO sont bien rares. Cependant, les entreprises peuvent avoir recours à des labels de formations délivrés par la CNIL (Commission nationale de l’informatique et des libertés) ou à des écoles comme Télécom EM ou l’ISEP.  Les offres sont assez variées.

À titre d’exemple, Sciences Po Paris offre une formation certifiante de 14 jours répartis sur 5 mois. L’université Paris-II Panthéon-Assas propose également un diplôme universitaire de 120 heures — réparties sur l’année — à l’endroit des professionnels du droit, du numérique et de la compliance. Les experts qui ne désirent qu’une rapide remise à niveau de leurs connaissances peuvent, en ce qui les concerne, opter pour des offres telles que le colloque d’une journée que propose l’université de Toulouse-Capitole-I autour des bonnes pratiques du DPO.
Notons par ailleurs que certaines sociétés, se présentant comme mandatées ou labellisées par la CNIL disent proposer des prestations destinées à garantir la conformité d’une activité au RGPD. Il s’agit de propositions mensongères, car la CNIL n’a pas encore émis de certification RGPD.
Aucune certification d’expertise de DPO n’existe encore. Dans un de ses récents articles, la Commission nationale de l’informatique et des libertés (CNIL) affirmait que « les certifications seront délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation ».

Elle avait expliqué que ces certifications se délivreront sur la base de référentiels encore en cours d’élaboration. Il est donc impossible que des structures aient déjà reçu des certifications pour garantir la conformité au RGPD.

La commission a d’ailleurs lancé une campagne #StopArnaque pour éveiller la conscience des dirigeants d’entreprises par rapport à ces propositions mensongères. Il est donc important de faire attention aux diverses offres qui circulent sur le marché.
Pour finir, remarquons qu’en raison des retards qui sont en train d’être observés, la grande majorité des entreprises ne sera pas en règle à la date de 25 mai 2018. Le plus important pour elles sera donc d’avoir au moins initié une démarche de conformité au règlement européen sur la protection des données et d’être en mesure d’en prouver l’état d’avancement.