Interviews

Paul-Olivier Gibert, Président de l'AFCDP : « les DPO doivent trouver rapidement leur positionnement ».

Paul-Olivier Gibert, Président de l'AFCDP, tenait hier 24 mai un séminaire sur le thème du big bang, à la veille de l'entrée en vigueur du RGPD (photo AFCDP).

Le RGPD se met en place avec un nouvel acteur, le DPO, qui doit rapidement trouver sa place entre RSSI, DSI et juristes.

PublicitéEn ce 25 mai 2018, le RGPD est entré en vigueur la nuit dernière dans l'Union européenne. Tout le monde n'est pas forcément prêt. Informaticiens, juristes, gestionnaires de données sont en première ligne, mais le pivot de l'opération, c'est le DPO, le Data protection officer. Dans la plupart des cas, les anciens CIL, Correspondants informatique et libertés, deviennent DPO. La réalité est moins simple. Le DPO assurant une fonction beaucoup plus large que celle du CIL, comme le montre Paul-Olivier Gibert, Président de l'AFCDP, l'Association Française des Correspondants à la protection des Données.

CIO : Combien la France compte-t-elle de DPO ?

Paul-Olivier Gibert : Beaucoup de chiffres circulent, mais aucune statistique globale n'est possible. La CNIL explique que globalement le nombre de CIL sera multiplié par 4 ou 5 (il en existe un peu moins de 5 000) et deviendront DPO. Pour nous, à l'AFCDP, une autre source apparaît avec notre job board qui est un bon marqueur de l'activité. Il a enregistré 440 offres pour des postes de DPO en 2017, 36 par mois, sans aucune démarche marketing de notre part, donc spontanément.

CIO : Côté rémunération, ce poste de DPO va-t-il devenir attractif, autant que ceux de data scientists ou data analysts dont plusieurs études montrent le sort très enviable ?

Paul-Olivier Gibert : Là encore nous n'avons pas de chiffre, d'évaluation, mais on peut observer deux mouvements. La fonction de data scientist est en plein essor depuis 5 ans avec le développement du big data. Toutes les formations en statistiques se rebaptisent formations big data. L'effet de buzz est réel. Pour les DPO cet effet ne joue pas, mais on arrive peut être à une tension sur les salaires à ce poste. Les offres proposées sur notre job board ont beaucoup évolué, on est passé de la recherche d'un stagiaire pour GDPR à celle de spécialistes en CDI. Et parallèlement, on est passé de postes situés essentiellement en région parisienne à des postes sur toute la France. Toutes ces évolutions annoncent peut-être une autre évolution, sur les salaires des DPO, dans les prochaines années.

CIO : Quel est le profil idéal pour devenir DPO ?

Paul-Olivier Gibert : Il faut déployer plusieurs capacités pour assumer un tel poste. J'en vois trois. D'abord, une dimension juridique, c'est quand même la base. Ensuite, comme c'est un règlement qui s'applique au traitement de l'information, il faut comprendre comment fonctionne ce traitement des données. Enfin, l'aspect managérial de la fonction s'impose, il appartient au DPO de le développer pour que les messages passent correctement. Au DPO de trouver l'équilibre entre ces trois et d'assurer au quotidien son indépendance.

PublicitéCIO : Les CIL deviendront-ils tous DPO ?

Paul-Olivier Gibert : La grande majorité va basculer dans ce nouveau monde. Mais ces jobs ne sont pas évidents à tenir. Le DPO doit également se faire connaître, éviter les éléments de blocage, faire évoluer le traitement des données, tout en veillant aux risques sur les droits de la personne. Une mission qui sera permanente, dans un environnement peu stable. Avec l'expérience de la fonction CIL, les DPO vont bénéficier de cette expérience.

CIO : Quel est son positionnement ? Dépend-t-il/elle du DSI, de la direction juridique, du secrétariat général ? Est-il attendu avec des fusils ?

Paul-Olivier Gibert : C'est une vraie question. On construit aujourd'hui des enjeux de pouvoir autour de sa désignation. Son rattachement est important, il doit pouvoir accéder au plus haut niveau de la hiérarchie de manière à ce que les problèmes ne puissent être enterrés. Une fonction de mise en oeuvre dans un contexte qui peut être celui d'une grande tension, où il faut alerter la direction et éviter une amende. Le risque se situant à hauteur de 4% du chiffre d'affaires, on voit clairement que le DPO doit remontre certaines informations rapidement au plus haut niveau, être crédible par son indépendance au sein de son organisation. Rappelons-nous ces cas rendus publiques d'Airbus ou de Lafarge en Irak, les questions de conformité peuvent aller très loin. Le DPO doit trouver rapidement son positionnement.

CIO : Le Règlement ouvre la possibilité de sous-traiter la fonction DPO, est-elle utilisée ?

Paul-Olivier Gibert : La règlementation ancienne bloquait la possibilité de recourir à des DPO dans les entreprises de moins de 50 utilisateurs. Cette limite a sauté. La solution du DPO externalisé est intéressante pour certaines entreprises, pas forcément les plus petites, en s'appuyant sur des plateformes spécialisées. Beaucoup d'entreprises, par exemple, n'ont pas de volumétrie suffisante pour occuper un DPO à temps plein.

10 idées fausses à propos du DPO

Afin d'accompagner la désignation de DPO, l'Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) publie les « 10 idées fausses à propos du DPO » :

1. Le DPO est un salarié protégé : FAUX
2. Le DPO est le représentant de la CNIL au sein de l'organisation : FAUX
3. Le DPO à une obligation de dénonciation de son employeur à la CNIL s'il constate des irrégularités : FAUX
4. Si je désigne un DPO, il n'y a plus jamais aucune démarche à effectuer auprès de la CNIL : FAUX
5. Si je désigne un DPO, les pouvoirs de contrôle de la CNIL sur mon organisation sont limités : FAUX
6. Le DPO est nécessairement un employé de l'organisation : FAUX
7. Après sa désignation, le DPO est irrévocable : FAUX
8. Le responsable de traitement peut imposer ses instructions à son DPO : FAUX
9. Le DPO est obligatoirement un juriste : FAUX
10. Le DPO est obligatoirement un informaticien : FAUX