Le RGPD, c’est quoi ?
Disons-le une bonne fois pour toutes, le RGPD correspond au Règlement général sur la protection des données personnelles. En clair, un règlement européen (sur le point d’être transposé dans la loi française en modifiant la loi informatique et libertés) relatif à la conservation et au traitement des données par les entreprises et autres organismes publics et administrations. « Ce nouveau règlement n’interdit pas aux entreprises d’utiliser des données mais leur demande d’expliciter clairement ce qu’elles en font », explique Geneviève Metz, directrice de Télécom évolution, organisme de formation continue regroupant 3 écoles d’ingénieurs. Les sociétés ont jusqu’au 25 mai 2018 pour se mettre en conformité. Faute de quoi, elles risquent une amende pouvant atteindre 4 % de leur chiffre d’affaires global. Le gendarme, la CNIL, veille.
Le RGPD, des postes à la clé ?
Ce règlement impose aux organismes publics et à certaines entreprises (en fonction du volume de données traitées) de nommer un délégué à la protection des données, également appelé data protection officer (DPO). Ce patron de la protection des données doit être indépendant. « Il doit avoir accès aux membres du comex sans obstacle et disposer d’un budget propre pour, par exemple, commander des audits internes », détaille Bruno Rasle, délégué général de l’association qui regroupe des pros de la protection des données personnelles (AFCDP).
La CNIL estime à 80 000 personnes le besoin en termes de DPO. Le DPO pourra être nommé en interne. « Les correspondants informatique et libertés (CIL) déjà présents dans les entreprises sont tout à fait fondés à occuper ce type de fonction à condition qu’ils se forment », précise Bruno Rasle. Les entreprises peuvent aussi choisir d’externaliser cette fonction. Les consultants indépendants, les avocats mais aussi les grands noms de l’audit, sont évidemment en ordre de marche. Mais selon une étude du cabinet de recrutement Robert Half, près de 7 entreprises sur 10 cherchent à recruter de nouveaux profils. Enfin, plusieurs entreprises peuvent aussi mutualiser un DPO.
A quoi sert un DPO ?
Ce big boss de la protection des données assure la qualité des données de son entreprise et contrôle leur conformité. « Un DPO d’un grand site de e-commerce fait par exemple expliciter aux différents métiers internes l’usage qui est fait des données récoltées auprès des collaborateurs et des clients. Servent-elles à les relancer par mail ? à assurer les livraisons ? Quelle est la procédure pour se désabonner d’une newsletter ? Et que deviennent les données ? Etc, etc. », précise Géneviève Metz. Le DPO fournit ensuite à la CNIL le recensement du type de données stockées (et pas les données elles-mêmes) et l’usage qui en est fait. En cas de plainte d’un client, la CNIL pourra ainsi vérifier l’existence de procédures de gestion des données, leur conformité et leur respect (ou pas). Le DPO est le garant de la conformité du stockage et de l’utilisation des données et assume donc des responsabilités bien supérieures à celles d’un CIL.
Quel profil pour un bon DPO ?
Tous nos experts s’accordent sur un point : un DPO est nécessairement expérimenté. Entre 8 et 10 ans de bouteille. « C’est à la fois un métier de chef d’orchestre et de chef de la diplomatie. Il ne doit pas empêcher son entreprise de faire du business, tout en étant conforme à la loi. Le tout en étant rémunéré par cette même entreprise », constate Geneviève Metz. Donc un métier d’équilibriste. Doit-il être davantage juriste qu’informaticien ? « Le bon profil pour un DPO, c’est un tiers de juridique, un tiers d’informatique, un tiers d’organisationnel et un tiers de bon sens », provoque Alain Bensoussan, président de l’association Data Protection Officers.
Les profils juridiques doivent donc impérativement se former aux rudiments de la gestion de données. Et inversement, les profils plus informatiques s’imprégner des obligations légales et réglementaires. « Ces profils étant pour le moment encore peu nombreux, ce sont les gestionnaires de projet et les analystes commerciaux bénéficiant, par exemple, d’une expérience en certification ISO, qui justifient des capacités requises pour offrir leurs soutien », souligne l’étude Robert Half menée auprès de 302 directeurs généraux d’entreprise et 200 DSI de l’Hexagone. Ils ont une vision claire des processus et des aptitudes à la communication. « Pour être efficace un DPO doit évidemment savoir communiquer avec les différentes directions de l’entreprise et se créer des relais internes auprès des CIL, des juristes, des gestionnaires de la conformité et des chefs de projet informatique », précise Yasmine Habchi, consultante sénior chez Fed Legal.
Plus l’échéance du 25 mai 2018 se rapproche, plus les entreprises s’activent. Aujourd’hui ce marché de l’emploi est clairement favorable aux candidats qui peuvent prétendre à 75 000 euros bruts par an. Minimum.
Astuces : si vous recherchez un poste lié à la RGPD, tapez sur Cadremploi les mots clés RGPD ou DPO ou "Protection données" afin d'afficher différents types d'offres.
Journaliste indépendante, je réalise des enquêtes, des portraits, des reportages, des podcasts... sur la vie des salariés en entreprise. Égalité femmes-hommes, diversité, management, inclusion, innovation font partie de mes sujets de prédilection.