Nathalie Chiche - Avocate au Barreau de Paris, DPO et CEO de Clearr

Aujourd'hui, Mick. vous fait découvrir le parcours de Nathalie Chiche, avocate au Barreau de Paris, médiatrice numérique et déléguée à la protection des données (DPO).

Nathalie nous raconte son parcours atypique, le métier de DPO et ses conseils pour les jeunes avocats qui souhaitent se spécialiser dans cette filière.

Prêts à découvrir le portrait de Nathalie ? 

🤓 #DroptheMick. !

Bonjour Nathalie ! Pouvez-vous vous présenter et nous présenter votre parcours ? 

Bonjour à vous deux et merci pour cette interview !

Je suis avocate au Barreau de Paris et Déléguée à la Protection des données depuis 2018.

Avant ça, j’ai eu un parcours professionnel assez atypique après ma demande d’omission en 1997. J’ai privilégié avant tout ma vie familiale avec 4 jeunes enfants, puis j’ai occupé différents postes au gré de mes rencontres… J’ai été investisseur en immobilier, directrice de communication d’une institution politique, conseillère de l’Ambassadeur des droits de l’homme au Quai d’Orsay et Rapporteur d’une étude du CESE sur la Gouvernance d’internet.

La protection des données étant un des enjeux de la gouvernance d’internet, j’ai décidé de reprendre mes études pour me former au droit des données et exercer mon métier d’aujourd’hui.

Plusieurs futurs avocats cherchent à se spécialiser aujourd’hui. Pouvez-vous nous expliquer en quoi votre métier serait une opportunité pour les futurs avocats ?

Vous le savez, il est possible pour un avocat de se spécialiser depuis 2012 et d’obtenir un certificat de spécialisation qui atteste de ses compétences dans un domaine.

Dernièrement, le « droit à la protection des données personnelles » a été ajouté à la liste des spécialisations du Conseil National des Barreaux (CNB – 20 octobre 2021). Les avocats peuvent donc désormais se faire certifier « spécialistes »en la matière !

L’objectif étant de valoriser l’activité de DPO (Data Protection Officer, ou délégué à la protection des données – DPD) instaurée par le Règlement Général sur la Protection des Données (RGPD) entré en application le 25 mai 2018.

Le DPO est désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données » (art. 37.5 du RGPD).

Force est d’admettre qu’à ce jour l’activité de DPO est principalement exercée par d’autres professionnels non-avocats tels que des consultants RGPD ou des sociétés commerciales de DPO et c’est bien dommage … !

Vous êtes principalement DPO externe, pouvez-vous nous expliquer en quoi cela consiste ? Peut-on être avocat et DPO ? Comment peut-on devenir DPO ?

Le DPO est un acteur clé de la conformité au RGPD. La fonction de DPO est réglementée et définie avec précision dans les articles 37 à 39 du RGPD.

Mes principales missions sont :

✅   Informer, conseiller et accompagner au sein de l'organisme qui nous désigne afin de faire respecter le règlement européen et le droit national en matière de protection des données personnelles ;
✅   Sensibiliser au sein de sa structure aux enjeux de la protection des données personnelles des employés comme des clients ;
✅   Superviser des audits internes sur la protection des données personnelles ;
✅   Conseiller le responsable sur l'opportunité de réaliser une analyse d'impact vie privée et en vérifier l'exécution ;
✅   Recevoir et répondre à toute question ou réclamation relative à la protection des données ;
✅   Coopérer avec l'autorité de contrôle (en France, la CNIL) et être son point de contact au sein de sa structure.

Bien sûr, il est tout à fait possible d’exercer en qualité d’avocat et de DPO externe si on tient bien compte des dispositions de l’article 6 du RIN et en particulier :

🔎   L’obligation de déclaration au Bâtonnier par écrit ses fonctions de DPO (Art 6.4 du RIN) ;
🔎   La réglementation des conflits d’intérêts en refusant de représenter toute personne ou organisme pour lesquels il exerce ou a exercé la mission de DPO dans le cadre de procédures administratives ou judiciaires le mettant en cause(Art 6.3.3 du RIN )

Pour devenir DPO, je conseille d’obtenir a minima un certificat de spécialisation« Protection des données » dispensé par le Cnam et de suivre une formation comme un Diplôme d'Université Délégué à la protection des données comme je l’ai fait.

Je ne pense pas qu’il soit possible d’être DPO avec une simple formation de 5jours en 35 heures (référentiel de la CNIL).

Quelles sont les qualités nécessaires pour exercer votre métier ? 

Pour la CNIL, le DPO est LE « Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est donc nécessaire d’avoir beaucoup de pédagogie pour sensibiliser et former les collaborateurs de l’organisme à la protection des données, sans oublier bien évidemment des compétences juridiques (le RGPD est un texte très technique), techniques et organisationnelles…

On dit souvent que le DPO est un mouton à 5 pattes … !