DPO (Data Protection Officer)

Data protection officer, c'est l'appellation anglophone du métier de délégué à la protection des données, ou DPO. Ce professionnel peut également prendre le nom de responsable de la sécurité des systèmes d'information (RSSI). Il s'agit d'un nouveau métier du domaine informatique, né lors de l'entrée en vigueur du règlement général sur la protection des données (RGPD) en 2018.

D'après les dispositions prises par le RGPD, chaque entreprise qui traite des données sensibles ou un gros volume de données personnelles doit adopter une politique de gestion et de protection de ces données. C'est ici qu'intervient le data protection officer. Son rôle consiste à garantir la conformité et la sécurité du système de traitement des données personnelles au sein de l'entreprise.

Rattaché au code ROME K1903, ce métier rassemble des missions à la fois stratégiques, juridiques et opérationnelles. Responsable du traitement informatique des données personnelles dans une organisation commerciale, le DPO doit adopter une démarche de conseil et d'information, mais également de contrôle au sein de l'entreprise.

Pour devenir data protection officer, il est recommandé d'obtenir une certification de compétences du DPO. Ce type de certification est délivré par un organisme de formation ou de certification reconnu par la CNIL. Pour l'obtenir, il faut réussir un examen qui prend généralement la forme d'un QCM, qui a pour but de vérifier si le candidat possède les 17 compétences et savoir-faire du référentiel de certification élaboré par la CNIL.

Pour se présenter à cette certification, il faut remplir l'une des deux conditions suivantes :

• Justifier d'une expérience professionnelle d'au moins deux ans dans des missions en lien avec celles d'un data protection officer.
• Présenter une expérience professionnelle d'au moins deux ans associée à une formation d'au moins 35 heures dans le domaine de la protection des données personnelles.

Plusieurs parcours de formation sont possibles pour devenir DPO.

D'une part, les candidats au métier de DPO peuvent suivre un cursus de formation général. Il s'agit alors d'un diplôme de niveau bac+5 tel qu'un diplôme d'ingénieur, un master en informatique ou un diplôme dans le domaine juridique. Dans ce cas, une expérience professionnelle dans des fonctions en rapport avec le traitement et la sécurité des données est requise. Cette expérience est indispensable afin d'acquérir toutes les compétences essentielles pour mener à bien les missions d'un DPO.

D'autre part, les futurs DPO peuvent se tourner vers une formation plus spécialisée. Depuis l'arrivée de ce nouveau métier sur le marché de l'emploi, diverses formations ont été créées afin de répondre plus précisément aux besoins des entreprises en termes de compétences et d'expertise. Voici quelques exemples de diplômes possibles :

• Diplôme d'université délégué à la protection des données data protection officer (DPO), accessible avec un bac+4.
• Mastère spécialisé management et protection des données à caractère personnel.
• Master droit du numérique parcours protection des données personnelles.
• Master parcours Droit des données, des administrations numériques et des gouvernements ouverts.

Le data protection officer s'appuie sur des compétences hautement spécialisées afin de mener à bien les missions suivantes :

• Élaborer des cartographies de données pour répondre aux exigences du RGPD.
• Mettre en place des processus informatiques pour la gestion, la conservation et le stockage des données personnelles.
• Concevoir, mettre en œuvre et contrôler la politique de confidentialité et de sécurité des données au sein de l'entreprise.
• Veiller au respect des droits des clients de l'entreprise en termes d'accessibilité, de modification ou de suppression de leurs données personnelles.
• Jouer un rôle d'interface auprès de la CNIL (commission nationale de l'informatique et des libertés) pour la mise en conformité du système de traitement des données ainsi que la gestion des audits.
• Assurer la sensibilisation et la formation du personnel de l'entreprise au sujet du traitement informatique des données personnelles.

• Les débouchés professionnels : le volume de données personnelles échangées est de plus en plus conséquent. Le traitement et la sécurité de ces données est plus que jamais un enjeu majeur en France, comme partout en Union Européenne. Ainsi, les besoins en DPO sont en constante augmentation.
• La diversité des missions : le métier de data protection officer comprend des responsabilités stratégiques, des tâches opérationnelles ainsi qu'un rôle important dans la communication interne et la formation au sein d'une entreprise.

• L'actualisation constante des compétences : le data protection officer a intérêt de faire preuve d'une grande curiosité s'il souhaite maintenir son employabilité. Les évolutions technologiques et règlementaires sont rapides. Ainsi, le DPO doit constamment se tenir informé des nouveautés afin d'être en phase avec les exigences légales.
• L'environnement de travail changeant : les postes de DPO à temps plein au sein d'une même entreprise sont rares. Ainsi, le data protection officer doit généralement suivre la politique de gestion des données personnelles de plusieurs entreprises en même temps. Ce cadre de travail demande de grandes capacités d'adaptation.

Le data protection officer se distingue tout d'abord par sa maîtrise de l'informatique, des nouvelles technologies et des systèmes d'information. Il brille également par ses connaissances juridiques, notamment en droit numérique. Véritable expert du RGPD, le traitement et la sécurité des données n'ont aucuns secrets pour lui.

Par ailleurs, le DPO doit faire preuve de rigueur, de capacités d'analyse et d'un bon esprit de synthèse pour mener à bien ses missions. Le charisme et le sens du relationnel sont également important pour sensibiliser et accompagner différents acteurs vers une gestion efficace et conforme des données personnelles.

En France, le salaire moyen d'un data protection officer est estimé à 45 000 euros bruts par an, soit 3 750 euros bruts par mois. Le salaire médian d'un DPO correspond à 48 000 euros bruts par an, soit 4 000 euros bruts par mois. Les délégués à la protection des données débutants commencent généralement leur carrière avec un salaire de 38 000 euros bruts par an. Quant aux DPO séniors, ils peuvent prétendre à une rémunération de plus 76 000 euros bruts par an.

Le salaire d'un data protection officer varie selon plusieurs critères :

Son niveau de diplôme et sa nature (plus son diplôme est spécialisé dans les fonctions liées au métier de data protection officer, plus son salaire est important).

L'obtention d'une certification reconnue par la CNIL.

Son niveau d'expérience.

Le statut du DPO : le niveau de salaire du data protection officer est différent s'il exerce son métier en tant que DPO interne, DPO interne mutualisé ou DPO externe.

Lorsqu'il exerce son travail en tant qu'indépendant, le data protection officer doit d'abord construire un réseau de clientèle et développer sa notoriété. Une fois sa réputation et sa clientèle établie, il peut percevoir des revenus confortables, dépassant les 70 000 euros annuels bruts.

Il faut savoir que pour 75% des DPO, les missions liées au traitement et à la protection des données personnelles ne représentent qu'un temps de travail partiel. Ces profils de DPO sont donc amenés à réaliser d'autres missions au sein de l'entreprise en endossant une double casquette ou à travailler pour plusieurs organismes.

Lorsqu'il est salarié, le data protection officer est rattaché au directeur des systèmes d'information ou à la direction juridique de l'entreprise. C'est un cavalier solitaire qui travaille rarement en équipe, même s'il doit échanger et collaborer avec l'ensemble des acteurs de l'entreprise dans le cadre de ses missions.

Lorsqu'il travaille en tant que salarié au sein d'un cabinet de conseil ou d'un organisme spécialisé dans le traitement et la sécurité des données personnelles, le data protection officer peut se voir confier un portefeuille d'entreprises plus important à gérer. Il peut également être promu en gérant des données plus sensibles.

Le data protection officer peut également évoluer vers un poste de chief data officer (CDO). Le rôle de ce professionnel consiste à analyser et interpréter les données récoltées pour établir des tendances et définir des objectifs.

Enfin, le data protection officer peut décider de créer sa propre entreprise. Il intervient alors en tant que DPO externe au sein de plusieurs entreprises ou en étant mandaté par des cabinets de conseil et des structures juridiques.

Le DPO accède à différents débouchés professionnels pour exercer son métier. Il peut travailler au sein d'un organisme public. Il peut aussi être recruté par un grand groupe avec des besoins conséquents en matière de gestion et de sécurité des données personnelles. Dans ce cas, il peut s'agir d'une grande entreprise d'un secteur d'activité tel que la banque, l'assurance, la grande distribution, les télécoms ou encore l'automobile.

Le DPO peut également être embauché au sein d'un cabinet d'audit, d'une société de conseil en protection des données personnelles ou d'une ESN (entreprise de services du numérique).