L’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD) applicable depuis le 25 mai dernier impose désormais aux entreprises privées comme aux collectivités publiques territoriales, une protection accrue des données personnelles qu’elles sont susceptibles de collecter. Garant du respect du droit, un nouveau métier a fait son entrée dans les collectivités.
Celui de délégué à la protection des données (DPD ou en anglais DPO). Selon les organisations, le poste est aujourd’hui occupé par d’anciens conseillers informatique et liberté (CIL) qui voient leur domaine de compétences élargi ou des candidats recrutés en interne ou en externe.
Conditions de recrutement
Selon le référentiel de certification des compétences demandées aux délégués à la protection des données publié au journal officiel du 11 octobre 2018, quel que soit son origine, l’agent en charge de ces questions doit pouvoir justifier d’une expérience professionnelle d’au moins deux ans dans des projets, activités ou tâches en lien avec la protection des données personnelles. Il doit sinon pouvoir justifier d’une expérience professionnelle d’au moins deux ans ainsi que d’une formation d’au moins 35 heures en matière de protection des données personnelles reçue par un organisme de formation.
Des compétences juridiques
Bon connaisseur du cadre juridique relatif à la sous-traitance en matière de traitement de données personnelles, le délégué doit avoir identifier l’existence de transferts de données hors Union européenne et déterminer les instruments juridiques de transfert susceptibles d’être utilisés. Il lui faut également gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier). Le délégué doit élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données.
Une connaissance large des systèmes d’information
Le délégué est capable d’organiser et de participer à des audits en matière de protection des données. Il prend part à l’identification des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement. Il sait identifier les violations de données personnelles nécessitant une notification à l’autorité de contrôle et celles nécessitant une communication aux personnes concernées. Il est à même de dispenser des conseils en matière d’analyse d’impact relative à la protection des données, et il sait en vérifier l’exécution.
Communicant
En lien aussi bien avec les prestataires qu’avec les autorités de contrôle, il sait gérer les relations avec ces dernières en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier). Le délégué doit également élaborer, mettre en œuvre et dispenser des programmes de formation et de sensibilisation du personnel et des instances dirigeantes en matière de protection des données.