D’ici le 25 mai 2018, la plupart des entreprises françaises vont devoir nommer un «data protection officer» comme l’impose le nouveau règlement européen sur la protection des données personnelles.Si certaines ont anticipé ce texte, nombre d’entre elles sont en retard et doivent désormais recruter en urgence.
«Entreprise leader dans son secteur recherche un DPO (data protection officer)» : les offres d’emploi de ce type se multiplient à l’heure actuelle. A partir du 25 mai 2018, un grand nombre d’entreprises devront en effet avoir nommé un «data protection officer», ou «délégué à la protection des données», comme l’impose le nouveau règlement européen sur la protection des données personnelles.
D’après ce texte, la désignation d’un délégué est obligatoire pour les organismes publics et pour toutes les entreprises dont les activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. «Les banques, les assurances et les mutuelles sont par exemple concernées par cette obligation», explique Ingrid Nkouenjin, juriste au service des correspondants à la Commission nationale de l’informatique et des libertés (CNIL).
Les chaînes de grande distribution, qui offrent des cartes de fidélité à leurs clients, les groupes hôteliers, les entreprises spécialisées dans la vente en ligne, et bien d’autres sociétés sont également concernées.«Les rares entreprises qui ne sont pas dans l’obligation légale de désigner un DPO vont se sentir obligées de le faire, au vu du flou de la définition et de l’importance des sanctions en cas de non-respect de la nouvelle réglementation sur la protection des données personnelles, estime Bruno Rasle, délégué général de l’association française des correspondants à la protection des données à caractère personnel (AFCDP). Les amendes peuvent désormais atteindre 4 % du chiffre d’affaires de l’entreprise.»
Une pénurie de candidats
Presque toutes les entreprises françaises vont donc avoir besoin d’un DPO d’ici le 25 mai. Certaines d’entre elles ont anticipé cette échéance. C’est généralement le cas des grandes sociétés du secteur financier. «Les groupes d’assurance ont pris très tôt des mesures en vue de protéger les données personnelles, en nommant notamment des correspondants informatique et libertés (CIL) qui sont les précurseurs des DPO», souligne Bruno Rasle, lui-même CIL au sein d’un groupe public. Facultative, la désignation d’un CIL a été encouragée dès 2004, par la loi informatique et libertés. Allianz France, par exemple, a alors désigné, en interne, Alain Pradaud, qui depuis novembre 2017 a été promu délégué à la protection des données.
Cependant, un grand nombre d’entreprises, et notamment de PME, n’ont pas pris la mesure du problème, et sont désormais très en retard. «Certaines grandes entreprises ou PME qui avaient d’autres priorités découvrent seulement le sujet, et partent de zéro, constate Bruno Rasle. Elles doivent désormais recruter en urgence un DPO, car elles ne disposent souvent pas de collaborateurs formés à cette problématique, en interne. Mais face à la forte demande de ce type de poste, recruter devient difficile, nous assistons à des pénuries et les candidats font la loi.»
Les experts sollicités
Ce constat est d’autant plus vrai que les entreprises sollicitent souvent les mêmes profils, à savoir des personnes expérimentées. Certains recruteurs s’intéressent également aux jeunes diplômés, disposant d’un master dans le domaine de la protection des données. Mais si de telles formations existent, elles sont encore insuffisantes pour faire face à la demande, selon l’AFCDP (voir encadré).
Dans un tel contexte, les salaires des DPO s’envolent. Un expert disposant de quatre à cinq ans d’expérience dans la protection des données peut espérer gagner plus de 100 000 euros bruts par an, hors primes. Mêmes les stagiaires voient leurs émoluments dépasser les 1 000 euros par mois.
Une rémunération en ligne avec la spécificité du métier.«Pour être DPO, il y a avant tout une exigence de compétences en matière de protection des données qui a pu être acquise via l’expérience professionnelle ou en suivant une formation dans ce domaine», explique Ingrid Nkouenjin. Il s’agit d’un métier complexe. «Le DPO doit disposer à la fois de connaissances techniques sur son secteur et de connaissances sur la législation et les pratiques en matière de protection de données», ajoute Ingrid Nkouenjin.
Un métier à responsabilités
Les responsabilités du DPO sont, il est vrai, importantes. Il doit informer et conseiller l’entreprise et ses salariés en matière de protection des données. Il doit aussi s’assurer du respect du règlement. «Pour cela, il doit être indépendant, tout en étant diplomate et bon communicant, souligne Ingrid Nkouenjin. Une certaine force de caractère peut aussi être un atout.»
Au vu de ses responsabilités, le data protection officer est rattaché à la direction de l’entreprise. Afin d’éviter les conflits d’intérêt, il ne peut également occuper les fonctions de secrétaire général, directeur général, directeur financier ou responsable du service informatique.
Dans les grandes entreprises, le DPO travaille généralement avec un réseau de correspondants.
«Je travaille avec une quinzaine de correspondants, ainsi qu’avec la direction juridique et le service informatique», indique Alain Pradaud. Je définis notamment quelles sont les données hypersensibles, comme celles concernant la santé par exemple, qui doivent être cryptées d’office. Je m’assure que les règles sont bien appliquées et contrôlées, en lien avec les responsables du contrôle permanent.» Pour cela, des analyses d’impact relatives à la protection des données, des «privacy impact assessments», sont notamment menées. Toute une série de rapports et d’analyses sur la conformité doivent être réalisés par le DPO et remis à la direction.
Face à l’essor d’Internet, de l’intelligence artificielle et de l’exploitation des données, dans notre vie quotidienne, les fonctions du DPO devraient encore s’accroître. Il s’agit sans conteste d’un métier d’avenir.
Des formations pour devenir DPO
- Même si elles demeurent insuffisantes pour répondre à la demande, quelques formations existent pour devenir DPO. L’Institut supérieur d’électronique de Paris (ISEP) propose ainsi un master spécialisé en «management et protection des données personnelles». Télécom Ecole de management vient de lancer, en janvier 2018, un master spécialisé programme data protection management. Le CNAM dispose d’un certificat de spécialisation correspondant informatique et libertés.
- Enfin, plusieurs universités, dont Descartes, Assas, Paris-Ouest Nanterre et la faculté de droit de Lyon, proposent un diplôme d’université sur la protection des données.
