Data Protection Officer (DPO) : le métier hybride entre la Data et le Droit

-
4
 m de lecture
-
mentions légales

Dans la liste des nouveaux métiers apparus avec l’émergence de la data, nous connaissions le duo Data Scientist et Data Engineer ou l’inaltérable Data Analyst.

Mais depuis quelque temps, notamment avec la mise en place du RGPD en mai 2018, il devient indispensable de coordonner les actions d’une entreprise en termes de gestion et traitement des données pour s’aligner sur la réglementation nationale.

C’est avec cette contrainte nouvelle que le métier de data protection officer (DPO) a explosé.

En effet, bien que sa présence soit pour le moment obligatoire uniquement dans la fonction publique, il est fort à parier qu’elle le deviendra rapidement pour la totalité des entreprises. C’est dans cette optique que la quasi-totalité des entreprises de plus de 300 employés s’en sont déjà dotées. Coup de projecteur sur ce métier de demain à cheval entre le droit et la data.

Que fait le Data Protection Officer?

Le data protection officer est chargé de garantir la protection des données d’une organisation. Ses rôles sont très clairement énoncés à l’article 39 du RGPD. Ils peuvent se résumer en 5 points :

  1. Accompagner les entreprises sur la mise en conformité au RGPD au début de son intégration. 
  2. Informer, conseiller et sensibiliser le responsable data ou le sous-traitant ainsi que les employés qui procèdent au traitement des données sur les obligations qui leur incombent. 
  3. Contrôler le respect des règles du RGPD et des autres règlements en vigueur au niveau de la France (comme la loi Informatique et Liberté) et de l’UE. À ce titre, il doit réaliser un inventaire complet des données traitées au sein de son entreprise, afin de s’assurer de leur conformité. En parallèle, il doit aussi mettre en place des procédures pour définir les durées de conservation de données, fixer des mesures de sécurité adéquates ou encadrer les transferts d’informations. 
  4. Coopérer et faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement des données.
  5. Assister les membres de la direction dans leurs prises de décision, dès lors qu’elles ont un impact potentiel ou réel en matière de protection des données à caractère personnel.

Outre ces différentes missions, le DPO doit également réaliser une veille juridique et technologique constante pour se tenir informer des dernières nouveautés.

Pourquoi le DPO est-il si important ?

Le DPO obligatoire dans de nombreuses organisations

Le règlement général sur la protection des données personnelles énonce très clairement la désignation obligatoire du DPO pour les autorités et organismes publics (comme les ministères, les collectivités locales, établissements publics, …). Mais le data protection officer peut aussi être obligatoire dans certaines entreprises du secteur privé. En effet, l’article 37 du RGPD prévoit deux autres hypothèses : 

  • Les activités de base de l’entreprise impliquent un suivi régulier et systématique des personnes à grande échelle. Cela concerne, entre autres, les compagnies d’assurance, les banques, les opérateurs téléphoniques, les entreprises spécialisées dans la vidéo-surveillance ou encore les fournisseurs d’accès internet.
  • Les activités de base impliquent un traitement à grande échelle des données dites « sensibles », telles que les données biométriques, génétiques, les opinions politiques, l’appartenance syndicale, les informations relatives à des condamnations pénales, etc.

Au vu de cette définition extrêmement large de l’obligation de désignation du DPO, de nombreuses entreprises semblent concernées. En tout cas, la majorité des grands groupes, mais également des plus petites entreprises (de type PME) qui exercent une activité de e-commerce. 

Et quand bien même l’activité des entreprises ne rentre pas dans les hypothèses susmentionnées, le recours à un DPO est largement encouragé par la CNIL. 

Bon à savoir : même si l’expertise du délégué à la protection des données est obligatoire dans certaines organisations, il n’est pas nécessaire qu’il fasse partie des membres du personnel. Il peut aussi s’agir d’un sous-traitant. Alors si vous souhaitez devenir DPO, vous pouvez très bien exercer ce métier en interne à l’entreprise, mais aussi en externe, en tant que consultant RGPD.

Le DPO, un rempart contre les sanctions de la CNIL

En cas de non-respect du règlement général pour la protection des données, des sanctions financières et pénales sont prévues par la CNIL (Commission Nationale de l’Informatique et des Libertés). Ces dernières peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires consolidé et jusqu’à 5 ans d’emprisonnement pour les infractions les plus graves. Sans oublier que ces amendes peuvent être publiées, ce qui nuit directement à l’image de marque de l’entreprise.

Qu’elles quelles soient, le rôle du data protection officer est d’éviter ces sanctions.

Quel parcours pour devenir DPO ?

Le métier de DPO étant très récent, il n’y a pas encore de « parcours type » pour accéder à ce poste.

La nécessité d’une certaine maîtrise en data/IT ainsi qu’en droit lui confère cependant un certaine sélectivité.

Concrètement, un solide bagage juridique est nécessaire. Nos observations chez nos clients grands groupes (Allianz, LVMH BNP Paribas, etc. )montrent ainsi que très peu de DPO actuellement en poste ont moins d’un master 2 en droit. Assortir celui-ci d’une spécialité en informatique / données / technologies ou multimédia semble être, pour l’heure, la voie royale. Enfin, une connaissance des outils utilisés par les équipes informatiques s’avèrent, également, de plus en plus nécessaire.

data protection officer

Quel salaire pour un DPO ?

En France, le salaire médian pour un Data protection officer est à 54 250€ annuel, soit 4 521 € par mois. Mais cela regroupe aussi une grande diversité de réalités en fonction du nombre d’années d’expérience, de la localisation géographique ou encore du secteur géographique.

De manière générale nous observons sur les fiches de poste DPO disponibles qu’un profil Junior touchera entre 35 et 50k€ par an.

Cela dépendra notamment du nombre de salariés et de données traitées par l’entreprise (proportionnelles à la responsabilité du DPO)

Vous souhaitez sensibiliser vos équipes dirigeantes aux enjeux de la Data ?

Nous avons créé le parcours Data Science for managers exactement pour ça !

Facebook
Twitter
LinkedIn

DataScientest News

Inscrivez-vous à notre Newsletter pour recevoir nos guides, tutoriels, et les dernières actualités data directement dans votre boîte mail.

Vous souhaitez être alerté des nouveaux contenus en data science et intelligence artificielle ?

Laissez-nous votre e-mail, pour que nous puissions vous envoyer vos nouveaux articles au moment de leur publication !

Newsletter icone
icon newsletter

DataNews

Vous souhaitez recevoir notre
newsletter Data hebdomadaire ?