Data protection officer
Data protection officer
Le Data protection officer (DPO), ou délégué à la protection des données, est une fonction clé au sein des organisations publiques et privées, particulièrement depuis l’entrée en vigueur du RGPD en mai 2018. Ce professionnel veille au respect des droits des personnes en matière de données personnelles et conseille les organismes dans la mise en œuvre des obligations légales issues de la législation en matière de protection des données.
Définition et cadre juridique
Le poste de DPO est défini principalement par le Règlement (UE) 2016/679, qui s’applique à l’ensemble des États membres de l’Union européenne. En France, des adaptations spécifiques sont encadrées par la CNIL et la loi informatique et libertés.
Certaines entités, notamment les organismes publics, sont obligées de désigner un DPO. Cela inclut notamment les collectivités territoriales, les ministères, les hôpitaux publics, mais aussi certains établissements publics à caractère administratif.
Missions principales
Le DPO a un rôle transversal, mêlant conseils, accompagnement et contrôle. Ses responsabilités principales incluent :
- Informer et conseiller le responsable du traitement (responsable de traitement) ou le sous-traitant ainsi que les employés concernant leurs obligations issues du RGPD et d'autres législations.
- Contrôler le respect du RGPD, de la Loi informatique et libertés et des politiques internes de l’organisme.
- Conseiller sur la réalisation d’analyse d’impact sur la protection des données (AIPD).
- Coopérer avec l’autorité de contrôle, en France la CNIL.
- Être le point de contact de la CNIL pour toute question relative au traitement des données personnelles.
Positionnement au sein des organismes publics
Dans la fonction publique, le DPO occupe souvent une position stratégique et indépendante. Il peut être rattaché à la direction générale, à la direction juridique, ou encore au service des systèmes d'information.
La désignation d’un DPO peut s’effectuer en interne parmi les agents de l’organisme, ou en recourant à un DPO externe, notamment via une prestation de service. L’indépendance, la confidentialité, et l'absence de conflit d'intérêts sont des impératifs pour cette fonction, précisés par la CNIL et le CEPD.
Compétences et formation
Le DPO doit maîtriser :
- Le droit des données personnelles et la cybersécurité
- La gestion des risques
- Les principes d’organisation et de gouvernance des données
- La pédagogie et la communication
La CNIL recommande une formation adaptée et propose un référentiel national de certification. Des formations universitaires ou certifiantes sont proposées, par exemple le Certificat Data Protection Officer délivré par des universités ou organismes spécialisés.
Relations avec les acteurs clés
Le DPO interagit régulièrement avec :
- Responsable de traitement
- Sous-traitant
- RSSI
- Encadrant de service
- CIL (prédécesseur du DPO)
- Représentant du personnel
Il est également amené à sensibiliser les agents publics à la protection des données à travers des formations et des campagnes d’information.
Obligations spécifiques dans la fonction publique
L’obligation de désignation d'un DPO s’adresse à tous les organismes publics, ce qui inclut entre autres :
| Type d’organisme | Obligation de DPO |
|---|---|
| Ministère | Oui |
| Commune | Oui |
| Etablissement hospitalier | Oui |
| Établissement d'enseignement | Oui |
| Office public de l’habitat | Oui |
| Collectivité territoriale | Oui |
Des mutualisations sont possibles, permettant à plusieurs communes ou établissements de partager un même DPO via des groupements, comme les centre de gestion.
Processus de désignation
La désignation du DPO doit être notifiée à la CNIL. La procédure comprend :
- La rédaction d’une décision de nomination (souvent un arrêté)
- La transmission des informations via le formulaire dédié sur le site de la CNIL
- La publication éventuelle de l’information au sein de l’organisme
Rémunération et évolution de carrière
La rémunération du DPO varie selon le niveau de responsabilités, la taille de la structure, et le statut (fonctionnaire ou contractuel). Dans la fonction publique de l'État, le DPO peut être un attaché d'administration, un ingénieur informaticien, voire un cadre supérieur dans des organismes de grande taille.
La spécialisation dans la protection des données ouvre des perspectives vers des fonctions d’expert en sécurité de l'information, urbaniste des systèmes d'information ou encore vers des responsabilités de chef de projet SI.
Liste partielle d'organisations et textes clés associés
- CNIL
- Ministère de la Transformation et de la Fonction publiques
- Union européenne
- RGPD
- Loi informatique et libertés
Ressources complémentaires
Voir aussi
- Sécurité informatique
- Responsable de traitement
- Données personnelles
- CIL
- Cybersécurité
- Gestion des risques