Data protection officer (DPO) : définition, formation et salaire

Data protection officer (DPO) : définition, formation et salaire Le data protection officer sera obligatoire en France dans certaines entreprises le 25 mai 2018. Voici ce qu'il faut savoir sur son rôle, sa formation et son salaire.

D'ici le 25 mai 2018, les entreprises et les administrations qui utilisent des données à caractère personnel devront recourir aux services d'un data protection officer (DPO). Quel est son rôle et ses obligations ? Quelles sont les formations pour exercer ce métier ? Quel salaire peut espérer un data protection officer ? Soulignons qu'actuellement, il existe déjà dans certaines entreprises des correspondants informatique et libertés (CIL) qui font le lien entre la CNIL et les entreprises. Ils pourraient se voir requalifiés en data protection officer.

Data protection officer : définition

Les données sont présentes en masse dans les entreprises. Ce qui peut poser des risques en matière de sécurité mais aussi de légalité. Pour aider les entreprises, un nouveau métier a le vent en poupe dans le secteur du numérique : le data protection officer (DPO).

Sa mission est la suivante : s'assurer que son employeur ou son client respecte la législation lorsqu'il utilise les données à des fins commerciales (mailing par exemple) mais aussi à des fins internes (logiciels RH). Son rôle est donc transversal, ce qui l'amène à travailler avec de nombreux départements : direction générale, marketing, développement ou encore RH. En cas de manquement à la loi, il est tenu d'alerter sa direction dans les plus brefs délais.

Son rôle est très polyvalent. En plus de connaissances en informatique et en cybersécurité, le data protection officer est tenu de posséder une grosse culture juridique, notamment en droit des nouvelles technologies de l'information et de la communication (NTIC). Aujourd'hui, des juristes spécialistes des NTIC, des informaticiens, des ingénieurs en cybersécurité peuvent exercer des fonctions de data protection officer au sein d'entreprises ou de cabinets de conseil.

Data protection officer obligatoire

Le 26 avril 2016, le Parlement européen a publié un règlement sur les données personnelles. Connu sous le terme de Règlement général sur la protection des données (RGPD), il rend obligatoire le métier de data protection officer dans toutes les entreprises et administrations qui sont amenées à traiter à grande échelle des données sensibles. Concrètement, les entreprises et les administrations concernées ont jusqu'au 25 mai 2018 pour nommer un data protection officer.

L'article 37 du règlement stipule que les organismes chargés de traiter des données désignent "en tout état de cause" un délégué à la protection des données lorsque :

  • "Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leurs fonctions juridictionnelles"
  • "Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ou"
  • "Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales".

En résumé, les sociétés concernées sont donc celles qui sont amenées à traiter des données personnelles sans plancher de taille. Une TPE remplissant les critères énumérés ci-dessus sera donc contrainte de nommer un data protection officer à partir du 25 mai 2018.

Data protection officer : formation

Plusieurs formations permettent déjà d'accéder à un poste de data protection officer. Elles peuvent être fournies par des universités ou des écoles d'ingénieurs.

  • Diplôme d'université délégué à la protection des données data protection officer (Paris II Panthéon Assas)
  • Mastère de "Management et protection des données à caractère personnel" de l'ISEP
  • Mastère "Sécurité de l'information et des systèmes" de l'ESIA
  • Diplôme de correspondant informatique et libertés de l'Université de Paris Nanterre
  • Diplôme universitaire de DPO / CIL de l'université de Franche Comté
  • MBA spécialisé Management de la sécurité des données (Institut Léonard de Vinci)

Notons qu'à court terme plusieurs autres formations devraient ouvrir pour accompagner la forte demande qui devrait se développer en 2018.

Data protection officer : salaire

Comme bien des métiers du numérique, le poste de data protection officer est récent. Le terme n'est pas forcément inscrit sur la fiche de poste. Selon les données de l'Association française des données personnelles (AFCDP), les salariés qui exercent actuellement des fonctions correspondants à celle de data protection officer peuvent espérer un salaire mensuel brut compris entre 2 500 et 4 000 euros.

Data protection officer : CNIL

Si le poste de data protection officer n'est pas encore obligatoire en France, la CNIL est très attentive à la protection des données personnelles sur Internet. Elle a instauré la présence de correspondant informatique et libertés (CIL) depuis 2005. Celui-ci peut intervenir dans les entreprises ou les administrations.

Ce correspondant n'est pas obligatoire. Il sert d'intermédiaire entre l'entreprise et la CNIL. Il veille au respect de la loi informatique et libertés de 1978 dans les entreprises. Il peut s'agir d'un responsable cybersécurité, d'un informaticien ou encore d'un juriste. Il effectue cette fonction de manière bénévole en plus de son travail. Il peut agir au nom de plusieurs personnes morales. Selon les données de l'Association française des correspondants des données à caractère personnel (AFCDP), en juin 2017, il existe 5 000 correspondants informatiques et libertés qui agissent auprès de 18 000 personnes morales.

Data protection officer en France

Comme les 28 pays membres de l'Union européenne, la France sera tenue d'appliquer le règlement relatif à la protection des données. Pour cela, il sera nécessaire de recruter un nombre important de data protection officer. A l'heure actuelle, l'AFCDP prépare une estimation du nombre de data protection officer qui seront nécessaires dans l'Hexagone. Ils sera rendu public fin 2017.

Aujourd'hui, une majorité des correspondants informatiques et libertés occupe une fonction proche du futur data protection officer. C'est pourquoi, l'AFCDP demande l'application d'une "clause du grand père", c'est à dire la requalification de certains correspondants informatique et libertés en data protection officer à compter du 25 mai 2018. Pour la première fois en 2017, le JDN organise un événement destiné à récompenser les meilleurs DPO en France : La Nuit du Data Protection Officer.

Mutualiser un data protection officer

A partir du 25 mai 2018, les entreprises concernées par le règlement européen seront dans l'obligation de recourir aux services d'un data protection officer. Néanmoins, il ne sera a priori pas nécessaire de recruter un data protection officer à plein temps.

Concernant les organismes publics, le règlement général sur la protection des données (RGPD) est clair : "Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille". Cela signifie que plusieurs organismes publics pourront désigner un data protection officer mutuel (c'est déjà le cas pour les correspondants informatique et libertés).

Concernant, les entreprises privées, rien n'est encore décidé. "Pour des raisons pratiques et budgétaires, le secteur privé pourra surement faire de même. Une PME touchée par la mesure ne pourra pas financer un data protection officer avec un statut de cadre voire de cadre supérieur", estime Bruno Rasle, délégué général de l'AFCDP, qui prédit la montée en puissance prochaine de cabinets de conseil en protection des données.

Recruter un data protection officer

Pour le moment, le terme de data protection officer n'est pas encore totalement entré dans le langage courant. Conséquence, certains candidats recherchent des postes de data protection officer mais ne mentionnent pas toujours le terme sur leur CV et leur lettre de motivation. Et des entreprises passent des annonces pour recruter ce type de profils en utilisant d'autres noms de métiers (ingénieur en cybersécurité, consultant data privacy, juriste NTIC…).

Néanmoins certains jobboards ou cabinets de recrutement spécialisés dans l'IT recourent déjà au libellé de data protection officer. Ce terme devrait être de plus en plus utilisé suite à l'obligation faite à certaines entreprises de recruter un data privacy officer.

Nouveau métier / Sous-traitance

Annonces Google