Au coeur de la protection des données au sein de l’entreprise, un(e) Data Privacy Officer ou plus communément appelé(e) DPO est le garant du traitement des datas en interne, en conformité avec la réglementation relative à la protection des données personnelles. Elle/il participe activement au rayonnement de l’entreprise et reflète sa volonté concrète d’inscrire la protection des données personnelles au centre de ses préoccupations.
Parole de RH : … sur l’intérêt de faire appel à un(e) Data Privacy Officer « Dans le cadre de la maîtrise des risques et de la compliance de leur entreprise, les entreprises doivent pouvoir maitriser les traitements des données personnelles qu’elles réalisent afin de respecter la réglementation RGPD pour leurs collaborateurs, pour leurs clients et en cas de contrôle et de plaintes de notre autorité de contrôle (la CNIL) notamment ». Jacques Aoun, Program Director Data Privacy, Directeur Programme RGPD – Groupe La Poste |
La/le Data Privacy Officer en théorie
La/le DPO quelque soit son rattachement à la DRH, direction générale ou qu’il soit consultant, s’assure du respect de la législation lors du traitement RH et commercial des données. Elle/il est en interaction avec l’ensemble des services de l’organisation.
Les Ressources Humaines revêtent de fait, un nombre considérable d’informations appartenant non seulement à l’entreprise, mais également ses collaborateurs qu’ils soient en poste, l’aient été ou seraient susceptibles de l’être. Aussi, le traitement de ces données dans le cadre de la gestion du personnel, de la gestion de la paie, de la réalisation d’études RH internes, de gestion des carrières et des compétences, ont une double valeur, celle de datas métriques et de datas confidentielles traitant certaines données sensibles. La/le DPO exerce donc un double rôle de conseil et de contrôle, auprès de sa direction.
Parole de RH : … sur les enjeux principaux de la fonction « Maitriser les traitements réalisés dans l’entreprise afin de mettre en conformité l’existant et travailler sur le privacy by design afin de mettre en conformité RGPD les nouveaux projets, en formant, sensibilisant, tous les interlocuteurs de l’entreprise, et en mettant à jour le corpus documentaire et les procédures adéquates dans l’entreprise notamment ». Jacques Aoun, Program Director Data Privacy, Directeur Programme RGPD – Groupe La Poste |
La/le Data Privacy Officer en pratique
Un(e) DPO possède de nombreuses connaissances aussi bien en terme juridique, en droit des NTIC qu’en cybersécurité. La/le DPO répond à un besoin et une obligation légale (article 37 du RGPD) et représente de fait, un interlocuteur clé entre l’organisation et la CNIL.
Information et Communication :
La/le DPO exerce un rôle de conseil au sein de son organisation. Elle/il doit être en mesure de définir et communiquer aux IRPs les modalités de traitement des données à caractère personnel dans les délais impartis. Elle/il doit veiller à ce que des procédures permettent de répondre à l’exercice des droits des collaborateurs dans les délais impartis (un mois depuis le RGPD). Mais au-delà d’un travail de contrôle, un(e) DPO participe activement au bien-être des collaborateurs et au maintien du climat social en veillant à la communication d’une information claire et précise sur les traitements qui les concernent (badge, géolocalisation, vidéosurveillance, vote électronique, etc.).
Mise en conformité et accompagnement au changement :
Elle/il accompagne l’entreprise dans sa conduite du changement, mise en conformité et transparence. Pour y parvenir, la/le DPO déploie les outils informatiques permettant de sécuriser les données par le biais de diverses technologies (tokenisation, chiffrement applicatif, cryptologie…). Des actions qui ne sont pas réservées à l’interne, mais également candidats, prestataires qui sont amenés à collaborer temporairement ou durablement avec l’entreprise. En ce sens, la/le DPO participe également au rayonnement de la marque employeur.
Parole de RH : … sur l’étiquette « métier de Grands Groupes » « Non, c’est un choix d’entreprise, de nommer un DPO, tout dépend de la taille des entreprises et leurs organisations (filiales, directions, BU, associations, ….) avec des DPO Délégués, des Correspondants RGDP, … en mettant des délégations ou subdélégations de pouvoirs ». Jacques Aoun, Program Director Data Privacy, Directeur Programme RGPD – Groupe La Poste |
La/le Data Privacy Officer en définitive
Le bagage :
- Une expérience confirmée en tant qu’ingénieur informatique ou juriste
- Un diplôme Bac +5 en Management & protection des données numériques, sécurité de l’informatique et des systèmes, DPO
- Anglais soutenu
- Des qualités interpersonnelles telles que le sens du détail, une excellente organisation
Parole de RH : … sur les principales qualités requises « Le DPO ou Correspondant […] doit être le moteur du privacy by design et doit apparaître dans les procédures internes de validation ou de labellisation des projets dans l’entreprise. Il doit être un acteur présent dans tous les nouveaux projets de l’entreprise. Sans oublier de mettre à jour l’existant […] gardant en tête la maitrise des risques et leurs évaluations afin de veiller à la protection des droits des personnes (clients, collaborateurs, partenaires, ….) et leurs Données Personnelles, en respectant la ou les réglementations (RGPD, droit bancaire, …) et les règles SSI de l’entreprise au regard des contraintes budgétaires afin de mettre la sécurité adéquate et les technologies proportionnelles (cryptage, …) au regard des projets ou traitements ». Jacques Aoun, Program Director Data Privacy, Directeur Programme RGPD – Groupe La Poste |
Le voyage :
- Poste mid-level – senior
- Salaire de départ entre 40 à 50 K euros
- Évolution vers des postes de Direction, Compliance Director etc.
Parole de RH : … sur le parcours idéal « Pour être DPO, il faut être formé à la réglementation et avoir certaines qualités, qu’on peut retrouver chez des juristes, des risk manager, des RSSI […]. Mon profil est au départ celui d’un juriste droit des affaires et NTIC qui a toujours eu une fonction ou une mission de chargé du respect de l’I&L avec différentes casquettes selon les entreprises (CIL, RIL, Adjoint DPO…). Il faut avoir la rigueur d’un juriste, être curieux comme un acheteur, et être un chef de projet « solutionneur » et être pragmatique, mais également un formateur, pour communiquer et sensibiliser et un manager pour piloter et construire des filières RGPD ». Jacques Aoun, Program Director Data Privacy, Directeur Programme RGPD – Groupe La Poste |
Nihad H.C