DPO, Data Protection Officer, Délégué(e) à la protection des données

Vous avez une appétence pour le juridique et le RGPD ? Vous êtes sensible à la protection des données et à la cyber sécurité ? Vous souhaitez accompagner, conseiller et sensibiliser les entreprises sur le traitement des données à caractère personnel ? Le métier de Data Protection Officer est fait pour vous !

Niveau d’études :Certification
Bac conseillé :Général ou Technologique
Employabilité :Très Bonne
Salaire débutant :2 200 €
Salaire confirmé :5 000 €
Mobilité :Bonne
Code ROME :K1903, Défense et conseil juridique
Code FAP :L5Z90, Cadres administratifs, comptables et financiers (hors juristes)

Métier

Avec la mise en application du RGPD, les entreprises prennent conscience de l’enjeu d’intégrer un Data Protection Officer dans leurs équipes.

Le métier de Data Protection Officer, bien qu’il soit nouveau, est un métier de plus en plus plébiscité et il est activement recherché. Il est le garant du maintien de la mise en conformité de l’entreprise et pour cela, il doit se conformer aux nouvelles exigences réglementaires et directives liées à l’évolution digitale. Il est tenu de garantir que l’entreprise est en règle sur la gestion et le traitement des données recueillies, ce qui demande de travailler en étroite collaboration avec les différents services de l’entreprise. Cela demande d’être polyvalent pour gérer plusieurs projets sur la gouvernance des données. 

Dans ses principales missions, il doit tenir à jour le registre de traitement des données, le dictionnaire des données et la cartographie des données permettant de connaître toutes les données qui gravitent dans l’écosystème (où sont-elles collectées ? combien de temps ? où ? quelle sécurité ?). L’analyse d’impact doit être réalisée lorsque des données à caractère personnelle sont utilisées, le DPO doit avec cette analyse, anticiper et analyser les risques et trouver des solutions pour les éviter.

En plus d’assurer la bonne conformité de l’entreprise, il a pour rôle d’informer, sensibiliser et initier les collaborateurs au RGPD et sur les bonnes pratiques autour du traitement des données, “il ne s’agit pas de créer « une armée » de collaborateurs certifiés mais plutôt d’initier des automatismes dans les pratiques quotidiennes : privacy by design, principes de minimisation, anonymisation, … de la donnée” comme nous l’explique Marion Laigre, DPO chez OPBI.  Il est l’intermédiaire entre l’entreprise et la CNIL (Commission Nationale Informatique et Libertés).

L’investissement du DPO est quotidien.

Quelles sont les missions du DPO ?

La principale mission du Data Protection Officer consiste à s’assurer que la structure au sein de laquelle il exerce respecte la législation en vigueur lorsqu’elle traite et utilise des données sensibles, notamment dans le cadre du RGPD (règlement général sur la protection des données personnelles).

Les missions du DPO clairement définies par l’article 39 du RGPD sont les suivantes :

  • il informe et conseille sur les obligations relatives au RGPD;
  • il contrôle le respect du RGPD assure la sensibilisation et la formation du personnel participant aux opérations de traitement, et mène les audits RGPD;
  • il dispense des conseils relativement à la PIA (le logiciel d’analyse d’impact sur la protection des données développé par la CNIL);
  • il coopère avec la CNIL (particulièrement en cas de contrôle);
  • il fait office de point de contact dans l’organisation pour toutes questions relatives au RGPD

Mais plus précisément, et au quotidien, le DPO doit également :

  • Déterminer le contenu de l’information à communiquer aux personnes concernées
  • Etablir les procédures de gestion des demandes, requêtes et réclamations des personnes dans l’exercice de leur droit
  • Connaître le cadre juridique relatif à la sous-traitance
  • Identifier et encadrer les transferts de données hors UE
  • Elaborer les règles internes encadrant la protection des données
  • Organiser et animer les audits
  • Connaître le contenu du registre d’activités de traitements, du registre des catégories d’activités, de la documentation relative aux violations des données et la documentation nécessaire à la preuve de la conformité au RGPD
  • Connaître les mesures de protection des données
  • Participer à l’identification des mesures de sécurité adaptées selon le contexte
  • Identifier les violations de données nécessitant de notifier l’autorité de contrôle ainsi qu’une communication auprès des personnes concernées
  • Déterminer les cas nécessitant une analyse d’impact relative à la protection des données et vérifier sa bonne réalisation
  • Dispenser des conseils en matière d’analyse d’impact (méthodologie, mesures techniques et organisationnelles, etc.)
  • Assurer le rôle d’interlocuteur privilégié auprès des autorités de contrôle
  • Dispenser des formations en matière de protection des données
  • Assurer la traçabilité de ses propres activités grâce à des outils de suivi ou de bilan annuel

La boite à outils d’un DPO

  • Une cartographie des données : document recensant l’ensemble des données qui gravitent dans l’écosystème de l’organisation et permettant de voir les entrées et les traitements des données.
  • Un dictionnaire de données : comme son nom l’indique, un dictionnaire sur les données, leur nom, leur type, leur description.
  • Un registre de traitement des données : sous forme de registre, ce document est une documentation qui explique quoi, quand, comment et pourquoi les données ont été collectées, qui a accès (représentants, sous-traitants..), le délai de conservation et comment elles sont sécurisées.
  • L’analyse d’impact à la protection des données (AIPD ou PIA) : cette analyse doit être réalisée si le traitement de données personnelles est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées.
Outil de la CNIL PIA - Privacy Impact Assessment
Outil de la CNIL PIA – Privacy Impact Assessment

Les plus grosses entreprises qui accompagnent sur le RGPD

Le métier de DPO peut également être externalisé, dans ce cas-là le Data Protection Officer fait partie d’une agence spécialisée en sécurité informatique, en protection de données ou en data marketing, et intervient en tant que prestataire externe à l’entreprise.

De grands groupes tout comme des petites agences proposent des prestations de mise en conformité RGPD, avec l’intervention de DPO externalisés.

Parmi les grands groupes proposant ce type de missions, nous pouvons citer :

  • Algosecure, une entreprise de sécurité informatique, spécialisée dans la sécurité des systèmes d’information
  • Novatim, société d’infogérance informatique
  • Thales, leader européen de la cybersécurité et leader mondial de la protection des données, intervient également sur la conformité au RGPD
  • EY Consulting, anciennement Ernst & Young, qui effectue du conseil global auprès de tous types d’entreprises, s’est notamment spécialisé en protection des données personnelles

Il existe également un grand nombre de petites agences qui possèdent les qualifications pour accompagner les entreprises dans la protection de leurs données et en conformité RGPD, comme :

  • Tiz, agence web spécialisée dans la performance digitale et le RGPD
  • L’agence RGPD, un réseau de 10 d’agences réparties sur l’ensemble du territoire, spécialisé dans l’accompagnement des entreprises, collectivités et associations dans leur mise en conformité avec le Règlement Général de la Protection des Données.
  • Aeriss, agence spécialisée dans la protection des données personnelles
  • Data Privacy Professionals, société de conseil spécialisée RGPD

Quelles sont les compétences et qualités du DPO ?

Comme nous l’a confié Marion Laigre, DPO certifiée chez OPBI, la “compétence principale : savoir gérer un projet !

Il doit avoir une pleine maîtrise du RGPD (appétence pour le juridique), pouvoir comprendre les enjeux liés à la sécurité (appétence pour le SI), comprendre les enjeux métiers de sa structure (notions RH, …)

Il ne doit pas être expert de tout (juridique, SI, RH, …) mais doit savoir s’entourer pour tenir ses fonctions”

Nous pouvons découper en 5 grandes catégories les compétences nécessaires pour exercer le métier de délégué à la protection des données de la façon suivante :

  • Juridique

    C’est la seule compétence formellement citée et requise par le RGPD, puisque le DPO doit être désigné notamment sur la base de “ses connaissances spécialisées du droit et des pratiques en matière de protection des données”.

Le Data Protection Officer doit maîtriser les concepts du système juridique et judiciaire français et européen. Une formation juridique, et notamment un Master spécialisé en droit des nouvelles technologies, est un excellent moyen d’acquérir une telle compétence.

  • Gestion des risques

    La mise en application concrète des grands principes de la protection des données personnelles nécessite de réaliser en permanence des évaluation de risques.

Le Règlement Général sur la Protection des Données ainsi que les différentes lois nationales de protection des données personnelles fixent de grands principes qu’il convient d’interpréter en pratique. Cette interprétation nécessite de réaliser une balance entre plusieurs intérêts : le coût de mise en œuvre vs le niveau de sécurisation ; une durée de conservation limitée vs des opportunités commerciales ; etc.

  • Sécurité des systèmes d’information

    Cette évaluation de la sécurité suppose en pratique des compétences en informatique (comprendre comment fonctionnent des systèmes d’informations) ainsi qu’en Système de Management de la Sécurité de l’Information (SMSI) : gestion des habilitations et des accès, chiffrement des flux et des données, politiques de mises à jour, gestion des prestataires SaaS, etc.

Une formation d’ingénieur en sécurité informatique est un excellent moyen d’obtenir de telles compétences. L’obtention d’une certification ISO 27 001 (Lead Implementer) est également un très bon moyen d’acquérir et de faire reconnaître ses compétences en la matière. 

  • Pilotage de projets

    Le Data Protection Officer est un véritable chef d’orchestre de la conformité au sein d’une entité. Des données personnelles sont généralement traitées à tous les niveaux d’une entité. A ce titre, le DPO a un rôle extrêmement transverse, puisqu’il est en charge de la conformité d’un sujet qui impacte quasiment toutes les strates d’une entité.

Le DPO est ainsi amené à collaborer avec de nombreuses Directions sur des sujets très variés. Il doit être en mesure de coordonner des projets afin de les mener à bien et en assurer leur bonne conformité.

Cette transversalité nécessite que le DPO soit organisé, rationnel et qu’il sache gérer un projet de mise en conformité : évaluation de la criticité, gestion du budget, gestion des ressources internes, coordination des équipes, réunions de pilotage, reporting, etc.

  • Connaissances métiers du secteur d’activité de l’entité concernée.

    Le Data Protection Officer doit certes disposer de connaissances en matière de protection des données personnelles, mais il doit également être en mesure d’implémenter ces règles dans le contexte spécifique du secteur d’activité de son entité.

    Autrement dit, le DPO doit disposer de connaissances métiers du secteur d’activité de son entité, de telle sorte à pouvoir parfaitement appréhender les enjeux de conformité de son entité et les risques que présentent les traitements mis en œuvre par son entité pour les personnes concernées.

Chacune de ces compétences est un métier à part entière. Le Data Protection Officer est d’ailleurs très souvent issu d’une formation et/ou d’une carrière spécialisée dans l’une de ces compétences. Mais dans son rôle de DPO, il doit dépasser ce cloisonnement de compétences et parvenir à maîtriser ces différentes compétences.

Savoirs et savoirs-faire métiers :

  • Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre. 
  • Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.
  • Les savoirs juridiques : le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Qualités :

  • Connaissance en droit des données personnelles
  • Doit faire preuve de réflexion stratégique
  • Capacités de communication
  • Esprit pratique
  • Créativité
  • Pédagogie

Quelles sont les études et formations de DPO

Il existe plusieurs parcours de formation pour pouvoir accéder au poste de Data Protection Officer.
Les formations sont généralement dispensées par des écoles ou des universités d’ingénieurs. Le métier étant relativement récent et la demande très croissante, le cursus tend à se préciser et les formations à s’ouvrir.

Vous pouvez postuler au poste de DPO à partir d’un bac + 3 ou 5 selon votre orientation initiale (juriste, informaticien, etc.), en obtenant une certification DPO.

Si vous avez un minimum de connaissance sur la protection des données, il est tout à fait possible de réaliser une formation certifiante pour être DPO. L’organisme PECB, propose une certification reconnue à l’international. Benjamin Le Berre, DPO certifié chez Qweri, nous raconte “la formation se déroule sur une semaine, puis se termine par un examen. Les candidats viennent de différents secteurs et tous avec des postes différents. C’est une semaine intense, mêlant la théorie et la pratique. La formation se termine par un examen sur une demie journée, reprenant des thèmes abordés durant la semaine”. Si le candidat remplit toutes les exigences, il pourra recevoir son certificat de DPO.

Les programmes des formations

Si vous choisissez de passer par un cursus en grande école ou en université, en suivant un Master spécialisé dans la protection des données, ou en sécurité de l’information et des systèmes, le programme de formation sera bien souvent transverse et proposera des modules généraux de ce type :

  • Panorama général des risques en entreprise
  • Management de la sécurité des systèmes d’information 
  • Cybermenaces, cybersécurité
  • Stratégie et communication
  • Protection stratégique de l’entreprise
  • Outils financiers
  • Management 
  • Gestion de projet 
  • audit et gouvernance d’un système d’information
  • Droit et sécurité
  • Protection de la réputation de l’entreprise et de ses dirigeants

Si vous optez pour une formation certifiante d’une semaine, le programme sera centré sur le RGPD et donc sur les aspects juridiques :

  • La CNIL
  • Principes, cadre juridique, et portée de la protection et de la confidentialité des données
  • Principes généraux du RGPD
  • Application territoriale et internationale du RGPD
  • Plan d’archivage et durée de conservation des données
  • Les règles d’entreprise
  • Rôle et éthique des DPO
  • Sensibilisation du management et des salariés
  • Sécurité et DPO, cybersécurité, cryptologie
  • Aspects sectoriels du RGPD
  • Gestion des contentieux
  • Big Data et objets connectés

Les sites d’emploi

Si vous êtes à la recherche d’un poste de Data Protection Officer, en plus des sites d’emploi les plus connus comme Indeed, Apec ou le réseau social LinkedIn, vous pouvez vous diriger sur le site AFCDP (Association Française des Correspondants à la Protection des Données) qui regorge d’offres.

Le salaire de DPO

Si le DPO junior perçoit une rémunération brute annuelle de 30K à 50K euros en moyenne, les salaires peuvent atteindre plus de 85K au fil de l’expérience.

Un expert disposant de 1 à 3 ans d’expérience dans la protection des données peut espérer gagner jusqu’à 4000 euros bruts par mois, hors primes. Même les stagiaires voient leur rémunération dépasser les 1 000 euros par mois.

Au niveau de la scène internationale, le record salarial semble toujours être de 700.000 $ (plus bonus), pour une DPO américaine embauchée par une entreprise qui venait de subir une data breach qui a mis en péril sa réputation et lui a fait perdre des parts de marché significatives. D’après les études de l’IAPP (International Association of Privacy Professionals), le salaire médian d’un professionnel américain début 2017 était de 130.000 $, contre un salaire médian de 95.800 $ pour leurs confrères européens (soit de 35 % supérieur).

Du fait de la pénurie déjà observée et qui va sans doute s’accroître dans les mois qui viennent, les recruteurs devraient être amenés à élargir leurs recherches. La Cedpo (Confederation of European Data protection Associations) a d’ailleurs lancé un appel pour que la profession de DPO ne se limite pas aux seuls profils juridiques.

Dans quelle entreprise travailler ?

Il est conseillé à toutes les entreprises qui traitent des données à caractère personnel d’avoir un DPO. Mais seules les administrations, les entreprises qui travaillent dans le domaine de la santé, les entreprises qui font un usage à large échelle ou usage régulier et systématique de ces données le sont par la loi : hôpitaux, laboratoires pharmaceutiques, administrations, sociétés bancaires, assurances, opérateurs télécom.

La désignation d’un Data Protection Officer est obligatoire dans certains cas, facultative dans d’autres. C’est l’article 37 du RGPD qui précise les cas où la désignation est une obligation.

Nommer un DPO est obligatoire :

  • S’agissant des administrations. Tous les organismes publics ou les organisations ayant une autorité publique réalisant des traitements de données personnelles ont pour obligation de désigner un DPO. L’Etat, les collectivités territoriales et les établissements publics sont concernés. Seules les juridictions administratives et judiciaires sont exemptées de cette obligation.
  • S’agissant des entreprises. La désignation d’un DPO est obligatoire pour les entreprises lorsque :
    • Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
    • Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Concrètement, l’ensemble des grandes entreprises mais aussi un grand nombre de PME sont dans l’obligation de faire appel aux services d’un Data Protection Officer (en particulier les PME dans le e-commerce). Leur nombre est estimé par la CNIL à 80 000 .

Mais ce n’est pas parce que la désignation d’un DPO n’est pas obligatoire qu’elle n’est pas recommandée pour autant. La législation s’étant considérablement complexifiée avec l’entrée en vigueur du RGPD, il est devenu très complexe de maintenir une bonne gouvernance des données pour la plupart des entreprises. Les risques sont importants en matière de sécurité et de légalité. Les sanctions de la CNIL en cas de non-conformité sont particulièrement lourdes :

  • 2% à 4% du chiffre d’affaires mondial.
  • Ou : 10 à 20 millions d’euros.

Il est donc conseillé de désigner un Délégué à la Protection des Données ou de faire appel aux services d’un DPO externe même en l’absence d’obligation juridique.

Quelle évolution de carrière ?

Pour gagner en responsabilités et en rémunération, le DPO peut légitimement miser sur une évolution de carrière, notamment vers le métier de CPO (Chief Privacy Officer).

Comment les deux rôles diffèrent ?

Premièrement, un DPO est essentiellement un défenseur des personnes concernées, agissant en tant que conseiller indépendant et impartial sur la conformité au RGPD. Un Chief Privacy Officer, en revanche, est salarié d’une entreprise traditionnelle ou employé du secteur public, agissant dans l’intérêt de l’organisation.

De plus, le travail d’un Data Protection Officer se concentre spécifiquement sur le RGPD, tandis que les missions d’un CPO sont plus alignées sur des objectifs de confidentialité plus larges de l’entreprise. Le CPO est activement impliqué dans les choix des activités de traitement des données des entreprises alors qu’un délégué à la protection des données a pour rôle de contrôler ces activités.

Enfin, un DPO sert de point de contact pour les autorités de régulation et également les utilisateurs  en ce qui concerne leurs droits en vertu du RGPD. En revanche, un Chief Privacy Officer communique principalement avec les médias sur des questions générales de confidentialité.

DPO freelance ?

Une organisation a la possibilité de désigner un DPO externe pour s’assurer de sa conformité à la réglementation en matière de protection des données personnelles. Pour se faire connaître et avoir de la légitimité auprès des entreprises il faudra s’assurer d’avoir suffisamment fait ses preuves avec des expériences passées avant de se lancer en tant que freelance.

En plus de cela, il faudra toujours être disponible et être au fait de tout ce qui se passe au sein de l’organisation et ne rater aucune information qui serait importante dans la conformité.

Les avantages et les inconvénients

Bien que le métier soit de plus en plus demandé, il comporte des avantages et des inconvénients :

Avantages :

  • Employabilité forte
  • Salaire évolutif
  • Possibilité de travailler dans le privé ou le public

Inconvénients :

  • S’assurer d’être écouté par l’ensemble des collaborateurs pour les associer aux divers projets, être leader

Comment devenir DPO ?

Quelles sont les missions du DPO ?

La principale mission pour un Data Protection Officer est de s’assurer que la structure au sein de laquelle il exerce respecte la législation en vigueur lorsqu’elle traite et utilise des données sensibles, notamment dans le cadre du RGPD. Sa fonction est donc importante pour éviter d’être sanctionné par la CNIL.

Pour cela, plusieurs missions pour y arriver, informer et conseiller sur les obligations relatives au RGPD, contrôler le respect du RGPD par de la sensibilisation et de la formation du personnel, coopérer avec la CNIL et faire office de point de contact dans la structure pour toutes les questions relatives au RGPD.

Quel est le salaire d’un DPO ?

Le Data Protection Officer peut exercer dans le privé comme dans le public, ainsi que dans divers secteurs, le RGPD s’appliquant à toutes les entreprises. Si le DPO junior peut prétendre à un salaire autour de 40K, son salaire peut doubler au fil de son expérience et en fonction de la taille de l’entreprise.

Quel niveau d’étude pour devenir DPO ?

La préparation d’un diplôme en droit de l’informatique et des libertés, un Master en management et protection des données personnelles ou bien de passer par une formation Data Protection Officer avec un organisme reconnu.

Quelle est la formation pour devenir DPO ?

Vous pouvez postuler au poste de DPO à partir d’un bac + 3 ou 5 selon votre orientation initiale (juriste, informaticien, etc.) et pour cela, plusieurs parcours de formation existent. Les formations sont généralement dispensées par des écoles ou des universités d’ingénieurs avec pour certaines des spécialisations.

Ensuite, il sera tout à fait possible de réaliser une formation certifiante par un organisme de formation reconnue pour être DPO certifié

Voir d'autres métiers
Quest Education Group
contact@questeducation.fr
Gaming Campus
+33 (0)4 28 29 81 03
contact@gamingcampus.fr
Guardia CS
+33 (0)4 28 29 58 49
contact@guardia.school

La certification qualité a été délivrée au titre des catégories d’action suivantes : Actions de formation, site de Lyon et Paris du 05/01/2022 au 04/01/2025 ; Actions de formation CFA, site de Lyon et Paris du 22/04/2022 au 04/01/2025.

La certification qualité a été délivrée au titre des catégories d’action suivantes : Actions de formation, site de Lyon et Paris du 05/01/2022 au 04/01/2025 ; Actions de formation CFA, site de Lyon et Paris du 22/04/2022 au 04/01/2025.

Toutes les formations dispensées dans le cadre des conventions de coopérations pédagogiques signées avec nos partenaires permettent aux candidats d’obtenir un Titre enregistré au Registre National des Certifications Professionnelles – RNCP – de niveau 6 (bac+3) et 7 certifié par l’Etat (bac+5).

Copyright © 2024 Quest Education Group. Tous droits réservés.
Document non contractuel sujet à modification, mis à jour le 05 janvier 2024. | Mentions légales.