Alors que le rôle et le profil du DPO étaient au départ conçus — dans la plupart des organisations, du moins — sur le modèle fourni par les dispositions du RGPD, l’apparition de lois sur la protection des données personnelles aux quatre coins de la planète pourrait modifier profondément les attributions comme les responsabilités de celui ou celle qui constitue aujourd’hui le véritable pivot de la conformité privacy dans l’entreprise.

Une “fiche de poste” en pleine évolution

Telle est la thèse, que nous soutenons largement, partagée dans un article publié sur le blog The Privacy Advisor de l’IAPP (International Association of Privacy Professionals). Après un court rappel des missions confiées au DPO par l’article 39 du RGPD (information et conseil, suivi de la conformité, assistance aux PIA, coopération avec l’autorité de contrôle, point de contact avec les personnes…), les auteurs décrivent les nouvelles fonctions introduites par la prolifération des lois privacy.

La mission de conseil du DPO, plus décisive que jamais dans un contexte international

Parmi les changements cités par l’article, le plus marquant (et le plus exigeant) nous semble être le suivant :

Un DPO doit identifier les exigences légales et leur applicabilité à l’organisation qu’il (ou elle) sert. Cela couvre tout le cycle de la protection des données : évaluation des risques, élaboration des contrôles, implémentation du projet de mise en conformité, et réponse aux violations.

À n’en pas douter, ces changements profonds auront pour conséquence une accélération de la professionnalisation et de la structuration des fonctions de DPO non seulement dans les grands groupes, mais, plus généralement, dans toutes les organisations devant faire face à plusieurs réglementations privacy. Avec, en ligne de mire, une convergence progressive des bonnes pratiques en matière de gestion transnationale de la privacy.

L’article est à lire en intégralité sur le blog The Privacy Advisor.

(Source : IAPP)