Formation

Data protection officer

Un niveau d’expertise élevé
en droit

Un niveau d'expertise élevé en droitL’alinéa 5 de l’article 37 du Règlement général sur la protection des données ne spécifie pas précisément le nombre d’années ni l’intitulé du domaine de formation idoine pour devenir un data protection officer. Tout au plus, le texte insiste sur des « qualités professionnelles [issues] de ses connaissances spécialisées du droit et des pratiques en matière de protection des données« .

On comprend d’emblée que la matière juridique doit être parfaitement maîtrisée par le futur délégué à la protection des données. En ce sens, à minima le texte communautaire et la loi nationale (dans le pays où le DPO exerce) relatifs aux données personnelles ne doivent plus avoir de secrets pour lui.

Mais il est écrit aussi, en complément de cet alinéa 5, que le data protection officer doit être en « capacité [d’]accomplir les missions [qui lui incombent] ». Ce petit bout de phrase peut raisonnablement faire penser que les techniques informatiques ne sauraient être un obstacle pour le futur délégué. Par exemple, l’utilisation et la compréhension du fonctionnement d’une base de données seraient un plus indéniables dans la réussite de ses missions.

 

 

L’éclairage du G29
sur les qualités professionnelles attendues

L'éclairage du G29 sur les qualités professionnelles attenduesDevant le manque de précision du RGPD, le groupe de travail « Article 29 » sur la protection des données, le G29, composé de représentants de toutes les CNIL de l’Union Européenne, est venu comme souvent éclairer la situation.

Ainsi, dans ses « Lignes directrices concernant les délégués à la protection des données (DPD) » adoptées le 13 décembre 2016 et revues en avril 2017, le G29 nous dit que les « compétences et expertise nécessaires à la fonction sont :

expertise relative aux législations nationale et européenne en matière de protection des données, y compris une connaissance approfondie du RGPD,
compréhension des opérations de traitement effectuées,
compréhension des technologies de l’information et de la sécurité des données,
connaissance du secteur d’activité et de l’organisme,
capacité à promouvoir une culture de protection des données au sein de l’organisme. »

Ainsi, les profils types doivent comporter des doubles voire des triples compétences, avec des fondamentaux juridiques solides. En effet, les « législations nationale et européenne en matière de protection des données » sont nombreuses et en constante mutation. Le candidat idéal pourrait être diplômé de droit, spécialisé en droit du numérique ou des affaires, et avoir une expérience de CIL (correspondant informatique et libertés) ou en conduite de projet web ayant forcément inclus les dimensions relatives à la protection de la vie privée et des données personnelles.