Délégué à la protection des données F/H

Entre expertise informatique, juridique, qualité et conformité, le/la délégué/déléguée à la protection des données (DPD) ou data protection officer (DPO) accompagne et conseille les structures afin d’assurer leur conformité en matière de traitement de données personnelles. Exerçant ses missions dans tous les types d’organisme (entreprises, associations, administrations et collectivités territoriales), il/elle a également pour rôle d’assurer le contact avec la Cnil et les différentes personnes concernées (salariés, usagers, patients, fournisseurs, etc.).

Autres intitulés

Attention, seul(e) le/la DPO désigné(e) formellement auprès de la Cnil peut prétendre au titre de DPO/DPD.

Data protection officer (DPO) H-F
Juriste DPO H-F
Consultant DPO H-F
RSSI DPO H-F

MOTS CLEFS

Protection des données personnelles
Loi informatique et liberté
RGPD
Sécurité informatique
Data privacy/data protection
Gestion des risques

Pilotage de la conformité des traitements de données mis en œuvre par l’organisme qui le désigne (que cet organisme soit responsable de traitement ou sous-traitant)

Cartographier les traitements et en établir le registre obligatoire.
Mesurer les potentiels écarts entre les pratiques de l’organisme et les obligations légales fixées par le RGPD ou la loi en matière de données personnelles (gap analysis) que ce soit dans les traitements existants ou les projets de traitements.
Concevoir, mettre en place et réviser les méthodologies et processus nécessaires pour mettre les traitements en conformité avec la réglementation sur la protection des données.
Accompagner les organismes clients en ce sens, lorsque la mission est portée par des prestataires externes.
Superviser les analyses d’impact relatives à la protection des données.
Prendre en charge l’élaboration d’un bilan annuel de son activité et faire ressortir des axes d’amélioration.
Contribuer au déploiement de nouveaux outils et méthodes de traitements de données.

Mission de veille

Assurer une veille juridique, technique et sectorielle relative à la protection des données.
Veiller à l’intégration des évolutions réglementaires et doctrinales et mettre en place le cas échéant de nouvelles procédures.
Assurer une veille technologique et sociétale pour tenter d’anticiper certaines mesures.

Information et conseil

Analyser les besoins des différents métiers de l’organisme en termes de formation à la réglementation des données à caractère personnel.
Transmettre les connaissances adaptées aux besoins recueillis et former aux procédures à respecter via des ateliers de formation, de présentations, de livrables, de mise en situation, etc.
Responsabiliser le ou les responsables de traitements ou sous-traitants vis-à-vis de tout risque encouru en cas de non-conformité.
Alerter, si besoin, le responsable de traitement ou le sous-traitant.
Conseiller et adapter son discours pour les décideurs (responsables, chefs de service, directeurs, etc.) et les opérationnels.
Informer et sensibiliser les clients et usagers : gestion des mentions légales relative à la protection des données, communications sur l’exercice des droits des personnes, etc.
Contribuer au bon traitement des demandes d’exercice des droits et des réclamations.

Contrôle du respect de la réglementation

Établir une documentation au titre de l’accountability (responsabilité).
Interagir avec la Cnil (réponse aux sollicitations de la Cnil, questions posées à la Cnil sur des traitements particuliers, collaboration lors de l’instruction des plaintes et lors des missions de contrôle de la Cnil).

ACTIVITÉS ÉVENTUELLES

Échanger sur son activité lors de rencontres avec les autorités de protection des données (lors de tables rondes, de conférences) et au sein d’organisations et associations clés sur le sujet des données personnelles.
Assurer, en appui aux autres directions, des missions juridiques : revoir les contrats avec les sous-traitants sur la base des nouveaux impératifs de mise en conformité, gérer les urgences (plaintes, contrôles, violation de données, etc.).
Travailler à la sécurité des systèmes d’information en appui aux autres directions : mise en place d’une équipe dédiée, coordination des audits de sécurité informatique, actions de sensibilisation du personnel, etc.

VARIABILITÉ DES ACTIVITÉS

Les activités du/de la DPO peuvent différer selon qu’il/elle soit externe ou interne à l’entreprise.
En interne, la fonction de DPO peut se cumuler avec un poste déjà existant, par exemple, RSSI, sous réserve de ne pas créer de conflit d’intérêts.
La répartition des activités du DPO dépend des métiers préexistants : ainsi, il/elle peut être amené(e) à travailler davantage sur la sécurité des systèmes d’informations, sur les mentions d’informations, etc. Selon ses activités, le/la DPO est parfois rattaché(e) à une direction spécifique, même si le rattachement à la direction générale reste le plus fréquent.
Dans le cas où il/elle travaille pour le compte de clients tiers, ce qui est le cas notamment lors d’intervention en tant que prestataires (ESN, cabinet d’avocat), des attentes fortes sont exprimées en matière de capacité d’adaptation et d’intégration dans des contextes divers.
Il/elle peut aussi intervenir en tant que « DPO interne mutualisé(e) » pour le compte de plusieurs organismes, partageant son temps de travail entre ceux-ci. Il peut s’agir par exemple de DPO recruté(e)s par des groupements d’employeurs ou par des groupements de collectivités territoriales, ou des groupements hospitaliers de territoire, tant que ce cumul ne crée pas de conflits d’intérêts. Dans tous les cas, il/elle doit faire directement rapport au niveau le plus élevé de la direction de la structure.

RATTACHEMENT HIÉRARCHIQUE

Directeur général/directrice générale
Secrétaire général(e)
Directeur/directrice juridique
Directeur/directrice informatique
Directeur/directrice de la conformité

CONTEXTE ET FACTEURS D’ÉVOLUTION DU MÉTIER

En France, le premier texte de loi de référence remonte à 1978. Il s’agit de la loi informatique et libertés qui a instauré la Commission nationale de l’informatique et des libertés (CNIL). Cette loi a récemment été complétée par l’entrée en application, en mai 2018, du règlement général sur la protection des données (RGPD).
Le RGPD est un texte majeur posant à l’échelle européenne des règles strictes relatives au traitement des données à caractère personnel, à la libre circulation de celles-ci, et au respect des droits des personnes (droit à l’information, droit à l’accès, droit d’opposition). Devant garantir tant la confidentialité que l’intégrité de ces données, les entreprises sont désormais tenues de mettre en place des techniques de sécurisation des données (chiffrement de données, chiffrement des connexions) et de procéder à des audits réguliers de leurs systèmes informatiques et des procédures en matière de traitement des données. Elles ont enfin comme obligation de définir des procédures permettant la mise en place de solutions correctives, le cas échéant, la non-conformité pouvant entraîner de lourdes pénalités.
Le/la DPO peut être recruté(e) directement par l’entreprise dans laquelle il/elle va conduire ses missions, ce qui est souvent le cas dans le milieu bancaire ou assurantiel. La désignation du/de la DPO est une obligation pour tous les organismes publics et pour les entreprises dont l’activité de base nécessite un traitement de données sensibles (telles que les données de santé) ou un suivi régulier de personnes et à grande échelle. Cette désignation est dès lors un enjeu majeur pour une bonne gouvernance de ces organismes.

Diplômes requis

Formation de niveau Bac +5 :

Master en droit du numérique
Master en droit des affaires, spécialisation en données personnelles et/ou en droit des nouvelles technologies
Master en droit de la concurrence
Ingénieur en informatique
Master en management de projet et de la qualité

Durée d’expérience

Deux ans d’expérience dans le domaine informatique et libertés sont souhaités, ou cinq ans d’expérience dans le domaine de la sécurité et des systèmes d’information.
Toutefois, ni le niveau de diplôme, ni le niveau d’expérience n’est requis par les textes législatifs
(RGPD).

Compétences techniques

Compétences juridiques : maîtrise du cadre légal et environnement RGPD (doctrine de la Cnil, doctrine européenne, etc.)
Compétences informatiques : connaissance des systèmes d’information (protocole de communication, base de données, cloud, cookies, etc.), connaissances dans le domaine de la sécurité informatique (chiffrement, authentification forte, traçabilité, menaces, plan de continuité et de reprise d’activité, tests de pénétration, etc.)
Savoir réaliser une analyse d’impact, rédiger des mentions d’information, gérer une violation de données, etc.
Bonne connaissance de l’organisation et du fonctionnement de la structure
Solides connaissances des techniques de gestion de projet (expression des besoins, planning, cahiers des charges, etc.) et des différents outils associés

Aptitudes professionnelles

Adaptabilité
Aisance relationnelle
Autonomie
Capacité d’adaptation
Capacité rédactionnelle
Curiosité sectorielle et goût pour l’innovation
Esprit d’initiative
Esprit de synthèse et d’analyse
Éthique
Force de proposition et de conviction
Organisation
Pédagogie
Polyvalence
Rigueur
Sens de l’écoute et de la communication
Sens des délais et des résultats

Rémunération annuelle brute (fixe + variable) proposée dans les offres d'emploi : 80 % sont comprises entre 32 k€ et 70 k€ (moyenne 48 k€)

Risk manager bancaire F/H
En savoir plus
Directeur des systèmes d'information F/H
En savoir plus

Responsable service qualité
Directeur d’agence de conseil
Directeur juridique

Documentaliste F/H
En savoir plus
Chargé de conformité F/H
En savoir plus
Juriste F/H
En savoir plus
Ingénieur en études et développement informatiques F/H
En savoir plus
Ingénieur sécurité informatique F/H
En savoir plus
Chargé de la qualité F/H
En savoir plus

Archiviste
Prada (personne responsable de l’accès aux documents administratifs et des questions relatives à la réutilisation des informations publiques)