Data : quel rôle pour les correspondants informatique et libertés au sein des entreprises ?

ON VOUS EXPLIQUE. Avec l’entrée en application en mai 2018 du règlement européen sur la protection des données (RGPD), tous les organismes et entreprises traitant des données personnelles auront pour obligation de nommer un délégué à la protection des données (DPO). Ce rôle ira plus loin que l’actuel “correspondant informatique et libertés” (CIL), qui n’est pas obligatoire, mais encouragé par la CNIL. Certaines sociétés ont déjà effectué cette nomination. En quoi consiste le rôle de ces responsables du traitement des données ? Quel est leur profil ? Comment préparent-ils leur société au RGPD ? mind Media a interrogé les CIL de Prisma Media, Acxiom, iProspect et Publicis.

1 Quel rôle ?

La nouvelle réglementation européenne concernant les données personnelles imposera à partir de mai 2018 de nouvelles obligations aux entreprises, dont celle de désigner un délégué à la protection des données (DPO). Celui-ci aura pour mission de “mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme”. Cette obligation concerne plus précisément “les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle”. Une exigence qui impacte tout particulièrement les acteurs de la publicité en ligne. Certaines entreprises n’ont pas attendu le caractère obligatoire pour désigner un correspondant informatiques et libertés (CIL), chargé de veiller à la conformité des activités concernant la donnée avec la loi et, depuis quelques mois, de préparer sa société à la mise en vigueur du RGPD. Le chief data officer de Prisma Media Yoann Denee occupe cette fonction depuis 2012, date à laquelle le groupe média a été mis en demeure par la CNIL. “Sur cette activité, j’ai une équipe de 2,5 ETP, dont une personne dédiée entièrement à répondre aux demandes des internautes concernant les données personnelles. Nous sommes à ma connaissance le seul groupe média à avoir un tel service”, explique Yoann Denee. D’autres sociétés se sont également organisées très tôt, comme Acxiom, société de collecte et de gestion de données, qui s’est dotée d’un CIL en 2007. “Cela facilite les processus et le dialogue avec la CNIL, qui a un service dédié aux relations avec les CIL”, explique Sarah Wanquet, privacy officer d’Axciom – Liveramp en France et juriste de formation.

2 Quelles missions ?

Les fonctions des CIL varient en fonction de la nature de l’entreprise. iProspect France, agence à la performance de Dentsu Aegis Network, a nommé il y a un an Guillaume Tollet, auparavant manager data et open innovation d’Orange, comme manager data intelligence et CIL. Cette fonction, qui prend environ 25 % de son temps de travail, consiste à “former tous les experts data de la société à la réglementation actuelle et à ses évolutions à venir, à réaliser une veille réglementaire, participer à des événements externes organisés par la CNIL, l’IAB et le SRI, et à sensibiliser notre comité exécutif à ces sujets”, détaille-t-il. Il est également en contact direct avec des annonceurs pour vérifier les dispositifs, expliquer l’évolution de la réglementation et, surtout, les rassurer. Cette relation avec les annonceurs n’est pas effectuée par Camille Deman-Turzynski, responsable juridique et CIL de Publicis ETO, entité data de Publicis. “Je suis sollicitée par les différents services sur les projets clients à propos des contrats, des fonctionnements de bases de données, des opérations d’emailing, mais très rarement en direct avec les annonceurs”, précise-t-elle. Une grande partie de sa mission consiste aujourd’hui à préparer sa société au RGPD, en vue duquel elle a mis en place un plan d’action avec tous les directeurs de pôle. “Être CIL me prend d’habitude 60 % du temps, en ce moment c’est plutôt 80 %, et lorsque je serai DPO, ce sera sans doute 100 %. L’objectif est que je délègue davantage de tâches en associant les équipes (comme pour le registre de traitement pour nos clients) pour devenir un pilote d’organisation”, explique Camille Deman-Turzynski.

3 Quelles compétences pour un bon DPO ?

Le DPO (lire ses missions en détails dans notre encadré) ne sera donc pas le strict remplaçant du CIL. Il aura d’abord un statut davantage protégé au sein de l’entreprise et des obligations élargies, notamment celles de pouvoir prouver la conformité de la société au RGPD, de contrôler les sous-traitants technologiques, ainsi qu’un devoir d’alerte au sein de l’entreprise. “Le DPO aura un rôle de chef d’orchestre”, résume Guillaume Tollet (iProspect). Selon lui, quatre compétences sont indispensables pour tenir ce rôle : “Il doit comprendre les basiques de la data pour assurer la conformité juridique, avoir de bonnes connaissances sectorielles, une bonne compréhension technologique, et être en capacité de bien connaître le fonctionnement interne de l’entreprise pour y avoir des relais”. Selon Sarah Wanquet (Acxiom – Liveramp), le DPO doit avoir “un profil d’expert juridique ou technique, et surtout être ouvert sur les autres fonctions”. Enfin, Camille Deman-Turzynski, (Publicis ETO) insiste sur la grande pédagogie dont doit faire preuve un DPO, ainsi qu’un esprit de synthèse et une capacité à mobiliser les équipes, en plus de connaissances techniques et juridiques.

Marion-Jeanne Lefebvre

La définition d’un DPO par la CNIL

En Europe, la désignation d’un délégué à la protection des données sera obligatoire à partir de mai 2018 pour tous les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. Le statut de DPO est similaire à celui d’un Correspondant Informatique et Liberté (CIL) , mais le règlement européen précise plusieurs exigences supplémentaires quant au DPO : il doit nécessairement avoir les qualifications nécessaires (qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données) et bénéficier d’une formation continue (entretien de ses connaissances spécialisées). Ses prérogatives et missions sont également renforcées par rapport au CIL, notamment dans son rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement. Ses missions officielles sont au nombre de quatre : informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ; contrôler le respect du règlement et du droit national en matière de protection des données ; conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ; coopérer avec l’autorité de contrôle et être le point de contact de celle-ci. Enfin, Le DPO est “protégé” uniquement dans le cadre de ses fonctions : il ne peut être pénalisé ou relevé de ses fonctions pour l’exercice de ses missions, mais il n’est pas protégé au sens du code du travail français. (Lire l’ensemble des règles et recommandations sur le site de la CNIL)