Le métier de Data Protection Officer ou autrement dit, DPO a connu un large essor ces dernières années, et pour cause. Son émergence est en effet directement liée à la mise en place de la Réglementation Générale ayant pour objectif d’assurer la Protection des Données personnelles des usagers. Plus couramment appelé RGPD, ce règlement impose ni plus ni moins que la présence d’un responsable de la protection des données au sein des entreprises exploitant les informations personnelles des utilisateurs.
Dans les faits, ce sont plus précisément l’article 37 et ceux qui lui succèdent dans le RGPD qui détaillent la nécessité d’une personne déléguée à la protection des données. Entré en vigueur en date du 25 mai 2018, le RGPD s’applique à l’ensemble des pays faisant partie de l’Union européenne. La France, qui est par conséquent concernée, prévoit par ailleurs d’autres dispositions qui lui sont propres au sujet du DPO, notamment à travers sa loi Informatique et Libertés. Cette loi, instaurée en janvier 1978, est encadrée par l’organe de contrôle qu’est la Commission Nationale de l’Informatique et des Libertés, plus connu sous le sigle CNIL.
Compte tenu du contexte dans lequel le métier de Data Protection Officer a connu sa démocratisation, plusieurs compétences phares sont nécessaires afin d’exercer à ce poste. Pour lister les principales aptitudes caractéristiques d’un DPO, il convient de citer celles qui :
Pour ce qui est de la dimension juridique, le Data Protection Officer se doit d’être au fait des réglementations. Pour être en mesure d’exercer ses fonctions dans de bonnes conditions, il est donc primordial que le DPO réalise une veille permanente sur le droit spécifique aux Nouvelles Technologies de l’Information et de la Communication, aussi appelé droit des NTIC. Être au courant de l’actualité est en effet le meilleur moyen de connaître les différents processus que les entreprises doivent mettre en œuvre. Il en va de même pour le respect des contraintes qui sont imposées aux entités étant confrontées à l’utilisation des données personnelles des individus.
Outre le volet juridique, le Data Protection Officer a également des missions qui lui imposent de disposer d’une excellente culture web et informatique. La maîtrise de ces éléments permet aux DPO de développer des solutions concrètes, le plus souvent automatisées, afin de mettre à disposition de leurs structures des outils efficaces de traitement et de protection des données, à l’image du chiffrement.
Au-delà du fait d’avoir développé les compétences évoquées précédemment, le Data Protection Officer doit disposer de qualités intrinsèques. Ainsi, il est notamment important pour un DPO :
Concernant les qualités de communicant, ces dernières sont nécessaires pour que le DPO soit en mesure de bien se faire comprendre par ses collaborateurs. L’expression de ses besoins, mais aussi des enjeux et des risques qui accompagnent la gestion des données par une entreprise, est en effet des éléments particulièrement importants. Une mauvaise communication peut engendrer des incompréhensions et avoir des répercussions négatives pour l’entreprise.
Du point de vue de l’analyse et de la capacité à synthétiser les informations, ces aptitudes sont directement mises à profit dans le cadre des missions du Data Protection Officer. Le DPO doit effectivement avoir la capacité de prendre du recul sur les données obtenues et d’en tirer des conclusions.
Pour ce qui est de la question de l’adaptabilité, cette dernière est l’une des qualités les plus importantes. L’instauration de nouvelles lois et contraintes, la nécessité de composer avec des règlements régulièrement mis à jour, ou encore la réponse à de nouvelles problématiques internes imposent aux DPO de savoir réagir. Proposer des solutions adaptées à de nouvelles exigences fait ainsi partie intégrante du poste de Data Protection Officer, au sein des entreprises et autres organisations confrontées à la gestion de données personnelles.
Le DPO, compte tenu de ses compétences, intervient dans des projets au cœur desquels les données personnelles sont présentes. De la récolte des données jusqu’au stockage de celles-ci, en passant par leur exploitation, des étapes et procédures strictes sont à respecter afin de se plier aux obligations imposées par le cadre juridique.
De manière plus concrète, le RGPD définit qu’il est nécessaire de disposer d’un délégué à la protection des données, dès lors que :
Le DPO peut donc intervenir sur une grande diversité de projets, mais aussi au sein d’une large typologie de structures, afin de s’assurer que ces entités ne sont pas en situation de manquement par rapport à leurs obligations vis-à-vis de la loi.
Quel que soit le type de structure au sein de laquelle un DPO évolue, ce délégué à la protection des données a besoin de certains outils pour mener à bien ses missions. Parmi les outils envisageables, il est possible d’adopter ou de mettre en place :
D’autres outils peuvent être utilisés au sein d’une entreprise, afin de disposer de supports encadrant la gestion des données. Le PDO peut ainsi être à l’origine de l’utilisation d’un code de conduite et mettre en place un guide répertoriant les bonnes pratiques à suivre dans le cadre de la récolte, de l’exploitation et du stockage des données.
Le DPO est en mesure de travailler au sein d’une variété d’entités. Ces dernières peuvent en effet aussi bien être des entreprises privées que des structures publiques. Compte tenu de l’omniprésence de la data à l’heure du numérique, les DPO sont amenés à travailler pour :
Il est ainsi possible pour un DPO d’évoluer dans des entités variées, tout en occupant une place stratégique et toujours particulièrement importante. L’émergence des DPO semble en effet augurer un avenir prometteur à ce métier. Avec la part belle qui est faite aux données, les Data Protection Officer devraient jouir d’un intérêt toujours plus important dans les années à venir.
En raison notamment du RGPD qui impose le respect de certaines procédures, le métier de Data Protection Officer dispose d’une réelle reconnaissance. Par conséquent, les cursus ayant pour but de former des professionnels de ce métier tendent à se développer. Il est ainsi possible de suivre plusieurs types de formations, à l’image :
Outre ces formations, des certifications peuvent également être obtenues afin de confirmer les compétences d’un DPO en matière de gestion des données. Ces certifications sont attribuées par des organismes ayant eux-mêmes bénéficié d’une habilitation par la CNIL. Selon une liste de critères, la Commission nationale de l’informatique et des libertés détermine en effet qui sont les organismes autorisés à attribuer des certifications, attestant de l’aptitude d’un professionnel à occuper le poste de Data Protection Officer
Lors d’un processus de recrutement, qu’il s’agisse d’un Data Protection Officer salarié ou freelance, plusieurs points phares sont à aborder. Il semble en effet nécessaire de s’intéresser avant toute chose à la personnalité du DPO. La rigueur, la capacité d’analyse et la curiosité sont ainsi des éléments clés, au même titre que les compétences techniques. La maîtrise de certains outils indispensables à la profession de Data Protection Officer est également un point à vérifier, par exemple au moyen d’un test.
Outre ces éléments, la formation et le fait que le candidat dispose d’une certification sont autant de critères permettant de crédibiliser sa fiabilité pour le poste de DPO au sein d’une structure.