Le délégué à la protection des données (DPD) est un poste relativement nouveau pour de nombreuses entreprises. Le rôle, la responsabilité et la structure hiérarchique d’un DPO sont largement définis par le règlement général sur la protection des données (RGPD) de l’Union européenne (UE). Le GDPR a été adopté le 14 avril 2016 et est devenu exécutoire à partir du 25 mai 2018. Outre les membres de l’UE, il est important de noter que toute entreprise qui commercialise des biens ou des services aux résidents de l’UE, quel que soit son emplacement, est soumise au règlement. Découvrez dans cet article les avantages logiciel dpo et comment devenir un délégué à la protection des données.
Étapes pour devenir un délégué à la protection des données
Une combinaison d’éducation et d’expérience est nécessaire pour devenir un délégué à la protection des données. Une combinaison couramment demandée d’éducation, d’expérience, de parcours de carrière et de certifications professionnelles est présentée ci-dessous :
Éducation
Un diplôme BA ou BS en sécurité de l’information, en informatique ou dans un domaine similaire. Alternativement, un baccalauréat ou un J.D. ou une expérience professionnelle équivalente dans le domaine de la protection de la vie privée, de la conformité, de la sécurité de l’information, de l’audit ou d’un domaine connexe sera souvent pris en considération.
Parcours de carrière
Une promotion au poste de DPO peut raisonnablement être recherchée après 10+ ans d’expérience dans les diverses disciplines de la vie privée (ex, programme et politique de protection de la vie privée, droit de la vie privée, gouvernance de l’information, réponse aux incidents, sécurité de l’information, formation et sensibilisation, etc.).
Certifications professionnelles
Une ou plusieurs certifications de l’Association internationale des professionnels de la protection de la vie privée (IAPP) telles que CIPP/E, CIPP/US et/ou CIPM peuvent être requises. Les certifications ISACA en matière de gouvernance et de gestion des risques (par exemple CRISC, CGEIT, etc.) peuvent parfois être préférées.
Expérience
L’expérience professionnelle souhaitée peut inclure 5+ ans dans des postes de gestion des risques liés à la vie privée et/ou à la conformité. Souvent, d’autres domaines pertinents seront pris en considération (c’est-à-dire la finance, l’administration des affaires, les technologies de l’information, etc.) tant que le candidat peut démontrer la pertinence de ce rôle basé sur la sécurité de l’information.
Qu’est-ce qu’un délégué à la protection des données ?
Le délégué à la protection des données est le gardien de la mise en œuvre de la protection des données et de la stratégie de confidentialité des données au sein d’une organisation. Ils sont chargés de faciliter une culture de la protection des données dans l’ensemble de l’entreprise. Ils assurent la conformité à l’échelle de l’entreprise. Bien que l’introduction du GDPR ait apporté une visibilité internationale à l’idée d’un poste officiel de DPO, le concept existe depuis un certain temps dans plus de quelques organisations soucieuses de la protection de la vie privée.
Un DPO gère la protection des données organisationnelles et, comme indiqué précédemment, ce rôle de direction de l’entreprise est requis pour la conformité au GDPR pour certaines entreprises. La nomination d’un DPD est obligatoire pour les autorités publiques et les entreprises qui traitent de grandes quantités de catégories spéciales de données personnelles.
Le langage du GDPR indique que la taille d’une organisation n’est pas ce qui oblige à avoir un DPD, mais plutôt la taille et la portée du traitement des données. Malheureusement, le GDPR ne définit pas spécifiquement ce qui doit être considéré comme un traitement de données « à grande échelle ». Bien qu’il n’y ait pas de directives exactes autour de l’échelle du traitement des données, il est généralement admis que la plupart des petites entreprises ne seront pas tenues d’embaucher un DPO, sauf si leur objectif principal est la collecte ou le stockage de données.
Compétences et expérience du délégué à la protection des données
En premier lieu, le candidat au poste de DPO doit être en mesure d’afficher une solide compréhension du GDPR. Même s’ils ne recherchent pas un candidat qui maîtrise le GDPR en tant que tel, la compréhension de cette norme de facto en matière d’exigences relatives à la confidentialité des données est ce que de nombreux employeurs utiliseront pour mesurer l’aptitude à occuper ce poste. Un nombre croissant d’employeurs recherchent des DPO dans le but exprès de répondre aux exigences du GDPR.
L’article 37 du GDPR stipule : « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances expertes du droit et des pratiques en matière de protection des données et de sa capacité à remplir les tâches… ». De nombreux experts s’accordent à dire qu’un DPO doit être un avocat agréé qui a une connaissance suffisante non seulement du GDPR, mais aussi des autres lois sur la protection de la vie privée qui sont importantes pour l’employeur. Au minimum, une formation juridique est utile pour comprendre et interpréter les exigences juridiques complexes entourant la confidentialité des données. En plus de savoir ce que disent les différentes lois et réglementations, un DPO doit également avoir des connaissances sur la manière dont ces lois sont interprétées et appliquées dans la jurisprudence.
Que font les délégués à la protection des données ?
Le délégué à la protection des données s’assure, de manière indépendante, qu’une organisation applique de manière appropriée les lois protégeant les données personnelles. Les DPD sont chargés de sensibiliser l’entreprise et ses employés à la conformité, de former le personnel impliqué dans le traitement des données et de mener des audits de sécurité réguliers. Les DPO servent également de point de contact entre l’entreprise et toute autorité de surveillance (AS) qui supervise les activités liées aux données.
Un DPO est l’évangéliste de la protection des données et de la vie privée d’une organisation. Cela signifie souvent que le DPO peut être placé à un poste qui peut être en contradiction avec les indicateurs de performance clés et les agendas des autres chefs de service de l’entreprise. Pour réussir à ce poste, une personne doit avoir à la fois une forte volonté et être capable de négocier et de trouver un terrain d’entente avec d’autres dirigeants.
