Back to Blog

Data Protection Officer – Comment choisir son DPO et bien le positionner ?

Maxime JAILLET

Le Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. La protection des données doit devenir une priorité de l’entreprise et plus encore un facteur de créations de valeurs. Pour cela, vous pouvez vous appuyer sur des solutions telles que la CMP d’Axeptio. On vous en parle. C’est notre product news du jour.

Qu’est-ce qu’un Data protection Officer et pourquoi devez-vous en désigner un ?

En France, pendant longtemps, nous avons eu le CIL, le Correspondant Informatique et Libertés. Un expert juriste avec une fonction de conseil pour accompagner la mise en conformité de son entité.

Depuis, il y a eu le RGPD et désormais, on parle de DPO ou Data Protection Officer. Le DPO est le référent-clé sur la mise en conformité RGPD de l’entreprise. Il ne prend pas la responsabilité des activités d’exploitation de données personnelles mais il aide chaque direction à mettre en conformité ses traitements.

Il a donc une fonction :

  • de conseil pour aider l’entreprise à remplir ses obligations légales ;
  • de contrôle, pour s’assurer que les choses sont bien faites en pratique. Attention ! Le DPO, ce n’est ni la police ni un agent de la CNIL.

Désigner un Délégué à la Protection des Données peut être obligatoire dans certains cas :

  • Pour les autorités publiques (collectivités territoriales, établissements publics, services de l’administration centrale de l’État…) ;
  • Pour les entreprises dont l’activité consiste à faire du suivi et de l’exploitation des données à grande échelle. Ce sont notamment toutes les entreprises technologiques (GAFAM, Opérateurs de réseaux de télécommunication, régies de publicité géolocalisée…) ;
  • Pour les entités qui traitent des données sensibles à grande échelle (hôpitaux, hébergeurs de données de santé…).

Dans les autres cas, la désignation est facultative mais elle est clairement recommandée. Pourquoi ? Le DPO est un facilitateur, c’est donc un must-have pour toute entité qui démarre son plan de conformité RGPD, une mairie par exemple.

Comment désigner son DPO et quel est son rôle ?

Bien choisir son DPO, c’est LA question délicate par excellence. Précédemment, nous vous avons donné des conseils pour recruter le bon profil.

Car c’est l’enjeu. Data Protection Officer, ce n’est pas un poste facile. De la capacité de cette personne à agir efficacement dépend le succès de la démarche de conformité RGPD de l’entreprise. Une erreur de casting a donc un vrai impact et changer de profil en cours de route n’est pas aisé.

Le DPO a un rôle clé dans l’entreprise :

  • Il devient un acteur partie prenante de la démarche de transition digitale de l’entreprise en s’efforçant de diffuser une culture de la protection des données et de la sécurité. Actions de sensibilisations, formations des nouveaux entrants, elearning… constituent une partie non négligeable de ses missions ;
  • Par son action, il intègre la politique de sécurité de l’entreprise (PSSI) : il veille au bon déroulement des DPIA quand ils sont conduits, il audite la conformité RGPD des applications informatiques et des traitements de données ;
  • Il prend part aux cellules de crise chargées de détecter et gérer les incidents de sécurité donnant lieu à des violations de données personnelles ;
  • Il interagit avec les autres services transverses chargés de veiller à la conformité des activités de l’entreprise : direction juridique, direction de la compliance, DSI… ;
  • Il est l’interlocuteur référent de l’autorité de protection des données, coordonne la réponse de l’entreprise en cas de demandes d’observations, de contrôles ou de procédures de sanction.

Où positionner votre DPO ?

Le Délégué à la Protection des Données est souvent rattaché à la Direction Juridique ou la Direction Technique.

Le plus important est de faire reconnaître ses missions au sein de l’entreprise :

  • Il doit être positionné à un niveau hiérarchique lui permettant d’adresser un bilan de ses difficultés et de l’état de conformité de l’entreprise aux instances de direction ;
  • Son travail doit bénéficier du soutien au plus haut niveau pour devenir une priorité de l’entreprise. Cela suppose donc qu’il dispose des moyens nécessaires pour réaliser ses missions.
  • Evidemment, le DPO devra aussi faire en sorte de bien collaborer avec les services et ne pas être perçu comme un facteur de contraintes.

Comment faire collaborer le DPO avec les autres services ?

C’est souvent toute la difficulté. Faire comprendre l’importance de la protection des données pour que la conformité-RGPD soit embarquée dès l’étape de conception des projets, des applications et des fonctionnalités.

Le Data Protection Officer ne peut se démultiplier partout. Il devra compter avec l’aide des autres. Pour cela, il va :

  • s’appuyer sur d’autres services qui porteront ses spécifications : le RSSI au moment de vérifier la sécurité IT des applications ; la compliance ; l’audit des risques afin de minimiser le risque de non conformité de l’entreprise ; la RSE au moment d’évaluer l’empreinte carbone de l’entreprise et d’essayer de l’optimiser…
  • déployer un réseau de Relais Informatiques et Libertés, c’est-à-dire de profils métiers bien intégrés dans leurs directions et qui coordonneront efficacement la mise en conformité concrète des traitements.

L’enjeu aujourd’hui, c’est de montrer que la conformité RGPD n’est pas qu’une question d’obligation légale. C’est aussi un facteur de différenciation et de création de valeurs. Un moyen pour cela est de s’appuyer sur des outils qui reflètent une vraie vision.

Axeptio propose par exemple une Consent Management Platform très particulière. Elle permet bien entendu une gestion conforme des cookies d’un site web mais pas seulement :

  • Elle contribue à une gestion optimale des performances du site et de la qualité de l’UX. Elle soumet en effet à un principe de consentement préalable tous les cookies non nécessaires du site. Le déploiement d’une CMP est donc l’occasion de supprimer les tags obsolètes ou de remplacer certains outils surdimensionnés ou trop gourmands au regard du besoin.
  • Elle est un moyen pratique de concrétiser les valeurs d’une entreprise. L'éthique n’est pas qu’un discours car une entreprise qui installe cette CMP fait une transparence totale sur les cookies déposés, les finalités d’utilisation et le fonctionnement technique du site web.
  • Elle aide l’entreprise à s’améliorer continuellement. Une CMP affiche en sorte la liste des ingrédients du site. Elle vous pousse par conséquent à vous améliorer en supprimant les cookies trop intrusifs, à faire mieux en collectant moins.
  • Elle permet d’enrichir l’expérience utilisateur en proposant une fonctionnalité de gestion de la vie privée. C’est une vraie réponse à l’inquiétude croissante des utilisateurs qui demandent plus d’éthique, de transparence et de contrôle.
  • Elle aide à approfondir la relation utilisateur et fait prendre le virage du marketing choisi. Comment ? En créant, dès la visite du site web, une première interaction forte. Elle vous pousse donc à mieux communiquer avec votre audience et c’est exactement ce que demandent vos utilisateurs.

Conclusion : Choisissez un DPO multi-compétences, business-oriented mais avec une vraie éthique

Les entités ont passé un cap. Fini le temps où pour montrer sa préoccupation pour la vie privée, on désignait un profil idoine.

Désormais les entreprises sont sommées, au-delà des discours, de faire la preuve de leur éthique. Le Data Protection Officer est donc devenu une fonction-clé parce que son rôle est de veiller à ce que l’entreprise respecte une réglementation pensée d’abord pour répondre à la préoccupation des utilisateurs.

Choisir le bon profil, multi-compétences et adapté au fonctionnement de l’entreprise, est donc un enjeu clé. Mais une fois désigné, il faut lui faciliter la vie :

  • Lui donner une capacité d’influence forte en montrant un niveau de soutien élevé par la direction générale ;
  • Lui donner les moyens d’agir.

Le DPO ne doit pour autant pas passer pour un empêcheur de tourner en rond et encore moins un gendarme. Pour qu’il soit perçu comme pro-business, la protection des données doit elle-même être considérée comme créatrice de valeurs.

Pour y parvenir, vous pouvez vous appuyer sur des solutions dédiées qui ont une vraie vision. Axeptio séduit un nombre très élevé et toujours en augmentation de clients, en France mais également dans le monde.

Car une CMP n’est pas qu’un outil technique pour gérer des tags dans des codes sources. Ni une solution légale pour répondre au RGPD. C’est un vrai moyen d’enrichir l’expérience utilisateur. Autrement dit, c’est une façon incontournable, 100 % conforme et crashtestée par les régulateurs, de faire du RGPD une vraie préoccupation marketing.

On s’en parle ?

Ne partez pas si vite ... 

Axeptio a participé à la Créalia’s Cup

Le 24 juin dernier, Axeptio a pris part à la 8è edition de la Créalia’s Cup. Nous nous sommes défendus vaillamment puisque nous finissons 5e.

Lire la suite

HttpOnly, Secure… Comment sécuriser vos cookies et votre site web ?

Mettre votre site web en conformité RGPD, c’est aussi sécuriser vos cookies. Les cookies sont indispensables au fonctionnement du site et de ses fonctionnalités. Mais ils sont vulnérables aux attaques. D’où l’intérêt d’une politique sécurité… et d’utiliser les attributs HttpOnly et Secure.

Lire la suite

Vos utilisateurs souffrent de consent fatigue et voici pourquoi

Vos utilisateurs souffrent-ils de consent fatigue ? A force de voir des bannières sur les sites, on peut penser que beaucoup acceptent les cookies par défaut. Pourquoi il faut s’en préoccuper ? Comment lutter ? On vous dit tout.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.