Le délégué à la protection des données est une fonction qui est au centre de la mise en vigueur du règlement européen sur la protection des données.
La fonction du délégué à la protection des données est essentielle à tout organisme de tout type du secteur privé ou public.
Chaque organisme est obligé de vérifier le statut, les compétences et les moyens du délégué à la protection des données avant de l’engager à son service.
La loi européenne entrée en vigueur depuis mai 2018 exige des compétences et atouts bien spécifiques pour définir le profil du délégué à la protection des données.
La définition
Le délégué à la protection des données est la personne responsable de la protection des données personnelles au sein de n’importe quel type d’organisation.
La fonction du délégué à la protection des données a été crée par la loi RGPD et est entrée en exercice le 25 mai 2018.
La désignation d’un délégué à la protection des données est primordiale pour chaque organisme public ou entité privée.
La fonction du délégué à la protection des données peut être exercée par un salarié en interne de la société ou par une personne en externe agissant sur la base d’un contrat de service.
Les spécificités
Le délégué à la protection des données peut être un membre du personnel, c’est-à-dire qu’ il peut être un agent public pour une collectivité, ou exercer ses fonctions au moyen d’un contrat de service.
Il est le remplaçant direct du correspondant Informatique et Libertés. Il présente des connaissances spécialisées en droit et connaît les pratiques adaptées à la profession.
Le délégué ne reçoit aucune instruction lorsqu’il exerce ses missions. Il rédige ses rapports et rend compte directement à la direction du responsable du traitement.
Quand le DPO est un agent public, il est rattaché directement à la direction générale. Il peut cumuler une activité de délégué avec une autre, à condition que ces deux activités n’entravent pas l’activité du délégué.
Le plus souvent, la personne chargée des données personnelles est le responsable qualité au sein de l’organisme.
Le délégué à la protection des données ne peut exercer la fonction du responsable de traitements lui-même.
Les missions selon la RGPD
Les principales missions du DPO sont fixées par l’article 39 de la RGPD.
Elle consistent:
- à conseiller et informer son organisation
- à contrôler le bon respect par son organisation des réglementations sur la protection des données personnelles
- à être un point de relais entre son organisation et l’autorité de contrôle surtout ce qui touche le traitement des données personnelles mis en œuvre par son organisation
Les difficultés du métier
Les missions du DPO sont diverses. Selon une étude, les profils issus des domaines de la finance, de l’administratif, la comptabilité et de l’audit sont diversifiés.
La fonction du délégué à la protection est perçue comme stressante mais dynamique. 60% des DPO sont satisfaits par leurs missions et estiment qu’ils sont soutenus par leur hiérarchie.
En revanche, un bon nombre d’entre eux déclarent que le manque des moyens et la difficulté d’accès à l’information leur rendent la tâche difficile.
Les avantages du poste
La désignation d’un délégué à la protection des données au sein d’une société public ou du secteur privé présente beaucoup d’avantages:
- un renforcement de la sécurité juridique
- une amélioration du système informatique
- un renforcement de la confiance entre les clients ou autre vis à vis de la société
La désignation d’un délégué à la protection des données est la preuve d’un engagement éthique et d’une valorisation du patrimoine informationnel.
Le salaire
Une étude du marché américain indique que les DPO peuvent gagner jusqu’à 300.000 dollars par an pour 5% d’entre eux, alors qu’1% seulement des DPO touchent 200.000 dollars.
Une étude réalisée sur le marché Européen indique que les DPO gagnent entre 150 000 $ et 200 000 $ par an, pour 9 % d’entre eux, et entre 100 000 $ et 150 000 $ pour 26 %, contre 50 000 $ et 100 000 $ pour 49 %.
L’évolution dans une société
L’évolution de la carrière d’un délégué à la protection des données est comme suit:
- Le poste de DPO devient indispensable dans plusieurs cas
- Les sous-traitants doivent aussi engager un DPO
- Les groupes de sociétés auxquelles il sera plus accessible de désigner un seul délégué à la protection des données, qui exécutera les tâches et missions de toutes les entreprises composantes du groupe
- Il est possible que les responsables du traitement désignent une personne en externe à la société alors que ce choix n’est possible que pour les organismes de moins de 50 collaborateurs
Les peines en cas d’infraction du RGPD
Les organismes qui ne désignent pas un DPO doivent payer une amende de 50 000€.
Jusqu’en 2018, l’amende augmente de 2% du chiffre d’affaires annuel global de la société.
L’autorité de surveillance se réserve le droit d’accorder les sanctions qu’elle juge adéquates pour toute transgression des règles du RGPD.
Les délégués à la protection des données doivent démontrer des qualifications différentes et suivre de près les innovations technologiques.
La formation continue et la compétence juridique sont primordiales.
Les sociétés du traitement des données doivent collaborer avec le délégué à la protection des données et lui soumettre toutes les données nécessaires à l’accomplissement de ses tâches, garantissant ainsi la probité et la compétence de leur gestion des données.
Le RGPD met en place des lois qui régissent le licenciement ou la cessation d’emploi d’un délégué à la protection des données pour les autorités publiques et organismes privés.
Les DPO sont protégés par la loi contre le licenciement, le devoir de confidentialité et le droit de refuser de témoigner.