Quel est le rôle du Data Protection Officer ?

Le Règlement général sur la protection des données (RGPD) a instauré en 2016 la fonction de Data Protection Officer (DPO) ou de Délégué à la Protection des Données (DPD) en français. 

Chargé de sensibiliser et former les employés d’une entreprise à la conformité et au traitement des données, le DPO sert également de point de contact principal entre l’entreprise et les autorités compétentes en matière de protection des données. C’est une fonction aujourd’hui essentielle pour la réussite des projets IA, mais surtout pour garantir la pérennité de leur succès dans le temps. Le DPO est, au final, le garant de vos données, soit la matière première de tous vos projets IA. 

Son rôle est obligatoire pour toutes les entreprises qui traitent ou collectent des données personnelles de citoyens européens. Zoom sur ce nouveau métier !

L’essentiel 

  • Un Data Protection Officer, ou DPO, est une personne chargée de gérer tout ce qui concerne la vie privée et la protection des données au sein d’une entreprise donnée.
  • Un DPO peut être un salarié de l’entreprise ou un expert externe. 
  • Les tâches du DPO sont multiples : recenser l’intégralité des traitements de données personnelles au sein d’une entreprise, garantir la sécurité des données, ainsi que sensibiliser et former le personnel de l’entreprise au RGPD.
  • Appliqué à l’intelligence artificielle, le rôle du DPO est de garantir le développement de projets ML respectueux des données.

Qu’est-ce qu’un data protection officer ?

Un Data Protection Officer (DPO), que l’on peut traduire par délégué à la protection des données en français, est un rôle de direction de la sécurité de l’entreprise requis par le règlement général sur la protection des données (RGPD).

Les DPO sont chargés de superviser la stratégie de protection des données d’une entreprise et sa mise en œuvre pour garantir la conformité aux exigences du RGPD. 

Adopté en avril 2016 et entré en vigueur en mai 2018, le RGPD est un cadre juridique qui fixe des lignes directrices pour la collecte et le traitement des informations personnelles des citoyens de l’Union européenne.

Le règlement s’applique indépendamment du lieu où les sites web sont basés et doit donc être respecté par tous les sites qui attirent des visiteurs européens, même s’ils ne commercialisent pas spécifiquement des biens ou des services aux résidents de l’UE.

Cela implique que les entreprises qui traitent les données des citoyens de l’UE sont soumises au RGPD même si elles ne sont pas situées dans l’UE. Autrement dit, des dizaines de milliers de DPO sont nécessaires pour que toutes les organisations réglementées soient conformes au RGPD !

Cette nouvelle législation européenne exige la nomination d’un DPO pour toute entreprise qui traite ou stocke des quantités importantes de données sur leurs employés ou clients européens, quel que soit leur lieu d’activité.

Des DPO doivent également être désignés dans les organisations qui saisissent, stockent ou transforment régulièrement les données de citoyens européens, quel que soit leur lieu d’activité. Toute agence non militaire qui contrôle régulièrement et systématiquement des données personnelles et qui traite des données sensibles est également tenue de se conformer à la législation.  

Comment devient-on DPO ? Quelles sont les compétences requises ?

Un examen pour devenir DPO

La Commission nationale de l’informatique et des libertés (CNIL) n’a pas défini de formation type pour devenir DPO.

Le seul pré-requis pour exercer le métier de DPO est de passer un examen certifiant auprès d’organismes de certification DPO agréés par la CNIL. Mais attention, passer uniquement l’examen ne suffit pas !

Il faut au préalable disposer d’un bagage solide en droit ou en ingénierie des données : pour suivre une des formations certifiantes DPO, il faut justifier d’une expérience d’au moins deux ans dans un domaine juridique ou technique lié à la protection des données personnelles. 

Les modalités de l’examen sont relativement simples : il s’agit d’un questionnaire à choix multiples de 100 questions. Bon à savoir également, le monde de la Data étant en constante évolution, la certification n’est valable que pendant 3 ans !

Les compétences pour devenir DPO

Outre l’examen de certification, quelles sont les compétences requises au métier de DPO ?

Un DPO doit développer une expertise en droit de la protection des données et disposer d’une compréhension complète de l’infrastructure informatique, de la technologie et de la structure technique et organisationnelle de l’entreprise pour laquelle il travaille.

Idéalement, un DPO doit posséder d’excellentes compétences en matière de gestion et être capable d’interagir facilement avec le personnel interne à tous les niveaux et avec les autorités extérieures.

Un bon DPD veillera également à la conformité interne et alertera les autorités sur les cas de non-conformité, même si l’entreprise risque de se voir infliger de lourdes amendes. C’est pourquoi il doit être à la fois fiable et indépendant, et ne pas avoir d’engagements préalables qui pourraient interférer avec les responsabilités de contrôle du rôle de DPO.

Comment un DPO est-il désigné au sein d’une entreprise ?

Il existe plusieurs options pour une entreprise qui cherche à recruter un DPO : le poste peut être pourvu en interne ou en externe, à temps plein ou à temps partiel

DPO désigné en interne

Dans le cas où le DPO est désigné parmi les salariés existants de l’entreprise, iI est possible que l’employé conserve son poste actuel sans qu’il y ait de conflit d’intérêt, mais il est préférable d’éviter ce risque.

Les rôles et responsabilités professionnels évoluent souvent, et un conflit d’intérêts peut survenir rapidement. En effet, le GDPR stipule qu’un DPO doit travailler de manière indépendante et sans instruction de son employeur, et qu’il doit être libre de tout conflit d’intérêt.

DPO externalisé

À contrario, l’option du DPO externalisé peut s’avérer être intéressante bien que plus coûteuse. Cet expert certifié en matière de protection des données n’est pas employé par votre entreprise, mais travaille pour vous en tant que prestataire de services externes.

Les DPO externes sont des experts certifiés en matière de protection des données et possèdent les qualifications nécessaires dès le premier jour – même s’ils doivent d’abord se familiariser avec vos processus opérationnels.

De plus, un DPO externe assumera toute la responsabilité en cas d’erreur liée à la protection des données, ce qui n’est pas forcément le cas du DPO interne.

Quelles sont les tâches du DPO ?

Le DPO assume un large éventail de responsabilités organisationnelles et doit rendre compte directement au plus haut niveau de direction de l’entreprise.

Informer et conseiller

Ses missions sont variées et consistent en premier lieu à informer et conseiller l’entreprise ainsi que ses employés, sur leurs obligations en vertu de la législation relative à la protection des données.

Contrôler la conformité avec le GDPR

Il doit également contrôler la conformité de l’organisation avec le GDPR et les politiques et procédures internes de protection des données au travers du suivi de l’attribution des responsabilités, de la sensibilisation et de la formation du personnel impliqué dans les opérations de traitement ainsi que d’audits connexes.

Un des autres rôles du DPO est de donner des conseils sur la nécessité ou non de mener une analyse d’impact sur la protection des données, aussi appelée DPIA (Data Protection Impact Assessment) par le RGPD.

Point de contact entre l’entreprise et les autorités de contrôle

Enfin, le DPO est surtout présent en tant que point de contact entre l’entreprise et les autorités de contrôle compétentes pour toutes les questions relatives à la protection et à la confidentialité des données (y compris le signalement des violations de données).

Autrement dit, le DPO constitue le véritable point de référence entre l’entreprise et les autorités nationales de protection des données !

Quel est le rôle du DPO dans les projets ML ?

Parce qu’il existe de nombreuses connexions entre la science des données et le Machine Learning (ML), le rôle du DPO dans les projets de ML est très important !

Pour rappel, la science des données utilise l’intelligence artificielle (IA), et donc le Machine Learning (ML) pour interpréter des données historiques, reconnaître les modèles et établir des prédictions.

À l’inverse, les algorithmes de ML se servent des données fournies par la science des données pour fonctionner de manière plus intelligentes et fournir des prédictions toujours plus précises. Un projet de Machine Learning requiert donc tout autant de l’expertise du DPO afin de garantir que la gestion de la data, son stockage, son utilisation et son exploitation répondent bien aux exigences éthiques du RGPD.

En tant que garant de la protection des données d’une entreprise, l’objectif n°1 du DPO dans un projet ML est le développement d’une IA respectueuse des données.

En définitive, un bon DPO doit être capable de regarder au-delà des responsabilités et des obligations de la fonction, pour explorer le tableau plus large de la raison pour laquelle l’organisation collecte des données…

Aujourd’hui, le succès de toute organisation dépend de sa capacité à exploiter les données non seulement pour comprendre les performances passées de l’organisation, mais aussi pour prédire et influencer les tendances futures. Il s’agit donc pour le DPO de développer des processus de données qui favorisent l’analytique à tous les niveaux de l’organisation !

Vous avez un projet ML ? Aléia est la plateforme qui permet d’accélérer et de sécuriser vos projets d’intelligence artificielle. N’hésitez pas à nous contacter pour en savoir plus.