MT : Certification DPO : Assurer une excellente protection des données
MD : Certification DPO : Depuis le 25 mai 2018, les entreprises privées et publiques doivent désigner un DPO ou Data Protection officer.
Le DPO est une personne qui se charge de faire respecter les dispositions du règlement général RGPD, en ce qui concerne le traitement des données personnelles. Il est en charge de conseiller l’organisme sur une éventuelle analyse d’impact à effectuer et d’en vérifier la bonne exécution. Coopérant avec les autorités de contrôle, il assure la sécurité des données.
Ce que le RGPD impose pour le DPO
Le règlement général sur la protection des données à caractère personnel, n’impose pas une expérience professionnelle précise, une formation initiale particulière ou des diplômes spécifiques pour exercer en tant que DPO. Selon l’article 37 toutefois, il doit avoir des connaissances en droit et en protection des données à caractère personnel. Son niveau de compétence doit donc être proportionnel aux missions qu’il devra effectuer.
Par exemple, une entreprise mettant en marche un traitement de données à caractère personnel à grande-échelle, doit désigner un DPO ayant une forte expertise. Pour des traitements de données courant, le niveau d’expertise n’est pas si important.
Les compétences professionnelles requises pour exercer le métier de DPO
Responsable de la conformité des opérations de traitement des données à caractère personnel, le DPO doit avoir certaines connaissances et compétences pour exercer dans le domaine. On en retrouve 5 catégories :
- Des compétences juridiques ;
- La gestion des risques ;
- Le pilotage ;
- La sécurité des systèmes d’information ;
- Les connaissances métiers.
Toutes les compétences acquises sont un métier à part entière. D’ailleurs, le DPO doit certifier les compétences ci-mentionnées via un organisme accrédité ou un centre d’information.
Lire cet article pour en savoir plus sur la certification DPO.
Les compétences juridiques requises dans la gestion des données sensibles
C’est la seule compétence formelle requise par le RGPD. Le DPO, en tant que prestataire certifié pour prendre en charge la mise en conformité du RGPD par les entreprises, doit maîtriser le système juridique et judiciaire européen et français.
Pour acquérir une certification, il doit prouver d’une formation juridique et d’un master spécialisé en droit des nouvelles technologies. Ainsi, il doit maîtriser les dispositions du RGPD sur les droits des personnes ainsi que celles des diverses lois nationales sur la protection des personnes concernées et de leurs données, conformément à la loi informatique !
Une compétence dans la gestion des risques
Avec l’assistance des responsables de traitement et des sous-traitants, le DPO doit réaliser en permanence des évaluations de risques. Pour ce faire, ils devront effectuer des analyses d’impact relatives à la protection des données à caractère personnel. Ces analyses doivent se faire en amont du traitement des données. Elles vont constater les risques de violation et les enjeux pour les droits et libertés des personnes physiques concernées.
Une qualification en termes de pilotage de projet
Grâce à sa formation certifiante, le DPO répond à tous les critères de qualité pour assurer la conformité au RGPD dans une entreprise.
Il saura amener à collaborer avec les diverses entités de l’entreprise pour mener à bien son audit et pour assurer la mise en place d’un traitement de données respectueux des personnes. Cela nécessite que le DPO soit bien organisé et qu’il sache gérer un projet : coordination des équipes, gestion des ressources en interne, gestion du budget…
Bien évidemment, cette compétence peut s’acquérir sur certification par un organisme professionnel.
Une compétence en termes de sécurité
Le sous-traitant, le responsable du traitement, le DPO et tous les acteurs de l’entreprise savent à quel point la sécurisation des données personnelles est un point capital. Pour ce faire, il met en œuvre des mesures techniques et organisationnelles pour attester un niveau de sécurité adapté au risque.
Il faut qu’il ait des compétences en informatique ainsi qu’en système de Management de la Sécurité de l’Information.
Une formation d’ingénieur en sécurité informatique est idéale pour détenir de telles compétences ; ainsi qu’une certification ISO 27 001.