Au coeur de la protection des données au sein de l’entreprise, un(e) Data Privacy Officer – plus communément appelé(e) DPO – est garant(e) du traitement des data en interne, en conformité avec la réglementation relative à la protection des données personnelles. A travers ses activités, elle/il participe activement au rayonnement de l’organisation et reflète sa volonté concrète d’inscrire cette problématique au centre de ses préoccupations.
Le RGPD oblige les organisations traitant d’une masse d’éléments à caractère sensible à faire appel à un(e) expert(e) en la matière. Lorsque la société recrute le DP officer, elle en informe la CNIL par le biais d’un formulaire à renseigner. Les structures qui ne respectent pas cette loi peuvent être soumises à des sanctions relativement lourdes.
C’est un métier qui mêle sécurité, informatique et juridique. De même, accéder à cet emploi implique une certaine maîtrise de la culture numérique.
« Dans le cadre de la maîtrise des risques et de la compliance de leur entreprise, les entreprises doivent pouvoir maitriser les traitements des données personnelles qu’elles réalisent afin de respecter la réglementation RGPD pour leurs collaborateurs, pour leurs clients et en cas de contrôle et de plaintes de notre autorité de contrôle (la CNIL) notamment ». Jacques Aoun, Program Director Data Privacy, Directeur Programme RGPD – Groupe La Poste |
La/le Data Privacy Officer en théorie
Quelque soit son rattachement – à la direction des ressources humaines, à la direction générale ou qu’il/elle soit consultant(e) – le/la DPO s’assure du respect de la législation lors du traitement RH et commercial des données. Elle/il est en interaction avec l’ensemble des services de l’organisation.
Les Ressources Humaines revêtent de fait un nombre considérable d’informations sensibles appartenant non seulement à l’entreprise, mais également à ses collaborateurs, qu’ils soient en emploi, l’aient été ou soient susceptibles de l’être à l’avenir.
Aussi, le traitement de ces éléments dans le cadre de la gestion du personnel, de la paie, de la réalisation d’études RH internes, de la gestion des compétences ou de la gestion des carrières, a une double valeur : celle de data métriques et confidentielles, traitant certains éléments sensibles. La/le DP Officer exerce donc un double rôle de conseil et de contrôle, auprès de sa direction.
« Maitriser les traitements réalisés dans l’entreprise afin de mettre en conformité l’existant et travailler sur le privacy by design afin de mettre en conformité RGPD les nouveaux projets, en formant, sensibilisant, tous les interlocuteurs de l’entreprise, et en mettant à jour le corpus documentaire et les procédures adéquates dans l’entreprise notamment ». Jacques Aoun, Program Director Data Privacy, Directeur Programme RGPD – Groupe La Poste |
Dans l’exercice de sa profession, l’expert(e) en la matière a pour rôle de s’assurer que son client respecte la loi quand il exploite ou stocke les informations personnelles de ses cibles ou clients. Lorsque les actions de l’organisation ne sont pas conformes aux règles établies, l’expert(e) peut proposer des solutions pour pallier ces manquements. Et en cas de manquement, il/elle est chargé(e) d’alerter la direction générale à cet égard.
Autrement dit, ce métier implique non seulement la maîtrise de l’environnement informatique, mais également celle de l’environnement législatif.
La/le Data Privacy Officer en pratique
Un(e) DPO possède de nombreuses connaissances, aussi bien en termes juridiques et en droit des NTIC qu’en cybersécurité. La/le DPO répond à un besoin et à une obligation légale (article 37 du RGPD) et représente de fait, un interlocuteur clé entre l’organisation et la CNIL.
Information et Communication
La/le DPO exerce un rôle de conseil au sein de son organisation à travers ses activités. Elle/il doit être en mesure de définir et communiquer aux IRPs les modalités de traitement des données à caractère personnel dans les délais impartis. Elle/il doit veiller à ce que des procédures permettent de répondre à l’exercice des droits des collaborateurs dans les délais impartis (un mois depuis le RGPD). Mais au-delà d’un travail de contrôle, il s’agit de participer activement au bien être des salariés et au maintien du climat social en veillant à la communication d’une information claire et précise sur les traitements qui les concernent (badge, géolocalisation, vidéosurveillance, vote électronique, etc.)
Mise en conformité et accompagnement au changement
Elle/il accompagne l’organisation professionnelle dans sa conduite du changement, mise en conformité et transparence. Pour y parvenir, la/le DP Officer déploie les outils informatiques permettant de sécuriser les données par le biais de diverses technologies (tokenisation, chiffrement applicatif, cryptologie…). Des actions qui ne sont pas réservées à l’interne, mais également aux candidats, prestataires qui sont amenés à collaborer temporairement ou durablement avec l’entreprise. En ce sens, la/le spécialiste en la matière participe également au rayonnement de la marque employeur.
« Non, c’est un choix d’entreprise, de nommer un DPO, tout dépend de la taille des entreprises et leurs organisations (filiales, directions, BU, associations, ….) avec des DPO Délégués, des Correspondants RGDP… en mettant des délégations ou subdélégations de pouvoirs ». Jacques Aoun, Program Director Data Privacy, Directeur Programme RGPD – Groupe La Poste |
La/le Data Privacy Officer en définitive
Le bagage
- Une expérience confirmée en tant qu’ingénieur(e) informatique ou juriste
- Un diplôme Bac +5 en Management & protection des données numériques, sécurité de l’informatique et des systèmes, DPO
- Des connaissances solides en anglais (niveau soutenu requis)
- Des soft skills ou qualités interpersonnelles telles que le sens du détail et une excellente organisation
Concernant ces compétences comportementales que sont les soft skills, la personne qui exerce ce métier doit également faire montre d’une certaine aisance relationnelle et d’une certaine capacité de persuasion. En effet, elle doit contribuer, à travers les activités requises par l’exercice de sa profession, à instaurer une culture de la conformité. Dans cette logique, le bon usage d’informations sensibles doit devenir la norme. Cela implique de bannir les mauvaises habitudes que l’on peut retrouver dans les équipes et intégrer pleinement ces nouvelles bonnes pratiques à la culture d’entreprise.
“Lorsque l’action de l’entreprise n’est pas conforme à la loi et qu’elle réprouve les suggestions du Data Privacy Officer, celui-ci doit s’imposer. D’ailleurs, la loi stipule qu’il ne peut être relevé de ses fonctions ou sanctionné pendant l’exercice de ses fonctions”, indique l’Ecole d’Informatique et de la Tech Hetic.
Plusieurs formations peuvent permettre d’acquérir de solides compétences et connaissances en la matière et ainsi d’accéder à cet emploi pour développer son expérience dans le domaine de la sécurité informatique et juridique.
Ainsi, pour exercer ce type de métier, il est possible de suivre des formations à l’université (ex : DU Protection des données à caractère personnel à Paris Descartes, formation spécialisée à Paris ou ailleurs, etc.) Mais aussi en dehors de l’université. Il est en effet possible de suivre des parcours de formation au sein de grandes écoles telles que l’ISEP (Master Spécialisé en Management et protection des données personnelles), Sciences Po (Certificat Data Protection Officer)… Il est encore possible de suivre une formation en Droit du numérique à Reims par exemple. De nombreux parcours préparatoires existent en ce sens.
Retrouvez l’ensemble des formations spécialisées disponibles sur le site de l’AFCDP. Quoi qu’il en soit, plusieurs méthodes d’apprentissage permettent d’exercer ce type de métier lié à la sécurité informatique.
« Le Data Privacy Officer ou Correspondant […] doit être le moteur du privacy by design et doit apparaître dans les procédures internes de validation ou de labellisation des projets dans l’entreprise. Il doit être un acteur présent dans tous les nouveaux projets de l’entreprise. Sans oublier de mettre à jour l’existant […] gardant en tête la maitrise des risques et leurs évaluations afin de veiller à la protection des droits des personnes (clients, collaborateurs, partenaires…) et leurs Données Personnelles, en respectant la ou les réglementations (RGPD, droit bancaire…) et les règles SSI de l’entreprise au regard des contraintes budgétaires afin de mettre la sécurité adéquate et les technologies proportionnelles (cryptage…) au regard des projets ou traitements ». Jacques Aoun |
Le voyage
- Emploi mid-level – senior
- Salaire de départ estimé entre 40 et 50 K euros
- Évolution vers des postes de Direction, Compliance Director, etc.
« Il faut être formé à la réglementation et avoir certaines qualités, qu’on peut retrouver chez des juristes, des risk manager, des RSSI […]. Mon profil est au départ celui d’un juriste droit des affaires et NTIC qui a toujours eu une fonction ou une mission de chargé du respect de l’I&L avec différentes casquettes selon les entreprises (CIL, RIL, Adjoint DPO…). Il faut avoir la rigueur d’un juriste, être curieux comme un acheteur, et être un chef de projet « solutionneur » et être pragmatique, mais également un formateur, pour communiquer et sensibiliser ; et un manager, pour piloter et construire des filières RGPD ». Jacques Aoun |
Découvrez les autres métiers de la fonction RH :
- Concepteur pédagogique
- HR Business Partner
- Responsable rémunération
- Responsable communication RH
- Responsable formation
- Responsable des relations sociales
- Responsable RSE
- Campus manager
- Responsable SIRH
- Chief consulting officer
- Responsable recrutement
- DRH
- Chief freelance officer
- Responsable du développement RH
- Directeur e-marketing RH
- Responsable marque employeur
- Data analyst RH
- Chief happiness officer
- Digital learning manager
Nihad H.C