C’est l’un des changements clés du Règlement général sur la protection des données (RGPD). L’article 37 fait obligation aux organismes publics et aux entreprises privées menant des traitements de données sensibles à grande échelle de nommer un data protection officer ou délégué à la protection des données. 80 000 à 100 000 organisations seraient concernées selon la Cnil.

Incarnation du RGPD, ce DPO procède à l’évaluation des risques, puis établit ses recommandations pour garantir la bonne conformité des traitements de données personnelles. Dans les entités qui ont déjà désigné un correspondant Informatique et Libertés (CIL), ce dernier est légitime pour occuper la fonction, assurant une forme de continuité.

Toutefois, comme le signale le G29 (le groupe des Cnil européennes) dans sa définition du profil, les prérogatives et les missions du DPO sont renforcées par rapport à celles du CIL. Il peut aller jusqu’à l’encontre du « business » en retardant ou retoquant, par exemple, des projets de big data ou de cross selling.

Au-delà des attendus pour le job – une double compétence juridique et technique, une bonne connaissance du secteur d’activité – le DPO fait preuve d’un certain nombre de qualités morales. « Pédagogue, communiquant, c’est aussi un politique qui sait résister aux pressions », juge Xavier Leclerc, Pdg du groupe Data Privacy Management System (DPMS), spécialisé dans l’audit, le conseil et les solutions informatique et libertés.

Gage d’indépendance, le DPO rapporte au plus haut niveau hiérarchique, comme le Comex ou la direction générale. Le rattachement à une direction métier ou à une fonction support comme la DRH, qui serait alors juge et partie, pourrait donner lieu à un conflit d’intérêts.

On comprend mieux pourquoi ce profil atypique fait l’objet de tensions sur le marché de l’emploi. D’où l’ouverture, par l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), d’un job board dédié*, qui devrait aider les recruteurs dans leur quête.

En interne, on peut débusquer cet oiseau rare au sein de la direction juridique, de la conformité ou de la gestion des risques. « Ces fonctions sont déjà transverses et proches de la direction, mais elles n’ont, en revanche, pas mené de projet d’entreprise de cette ampleur », note Anatole de la Brosse, directeur général adjoint de la société de conseil Sia Partners. Les PME ou les petites collectivités locales peuvent faire appel à un DPO externalisé ou mutualisé. Des prestataires – avocats, consultants – se positionnent sur le créneau. À noter que Xavier Leclerc vient de créer l’union des DPO (UDPO) qui vise à délivrer une carte professionnelle aux data protection officers, certifiée par Bureau Veritas.