N’en déplaise à Google qui vient de se voir infliger une amende de 50 millions d’euros par la CNIL, ce lundi 28 janvier est la journée mondiale de la protection des données.
On est loin des 80 000 postes de DPO annoncés
En janvier dernier, donc cinq mois avant l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD), la CNIL – le gendarme de la protection des données en France – estimait à 80 000 le nombre de professionnels susceptibles de remplir la fonction de data protection officer (DPO).
>> Lire aussi notre article de 2018 : Le RGPD va-t-il vraiment créer des postes cadres à 75 000 euros ?
Le « big bang » sur le marché des DPO n’a pas eu lieu.
Un an plus tard, pas de bilan chiffré officiel. Mais en interrogeant des experts du recrutement, force est de constater que le « big bang » sur le marché des DPO n’a pas eu lieu. Chez Fed Legal, un cabinet de recrutement spécialisé dans les secteurs juridique et fiscal, à peine un peu plus de 5 % du business 2018 concernait des postes de DPO. Le cabinet Robert Half, à l’époque auteur d’une étude sur les perspectives d’embauches de DPO, n’a pas souhaité répondre à nos questions. « Le chiffre de 80 000 faisait, à mon avis, référence au nombre d’organismes susceptibles de designer un DPO. Et pas aux créations nettes de postes sur la fonction», argumente Paul-Olivier Gibert, président de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), qui a pourtant doublé son nombre d’adhérents (8000 à date). « En effet, certaines entreprises ont fait le choix de nommer un DPO issu de l’interne. Par exemple leurs correspondants informatiques et libertés (CIL) déjà en poste.
D’autres ont ajouté cette mission à la DRH adjoint ou à la direction marketing adjoint », souligne Alain Bensoussan, président de l’association Data Protection Officers. Certains, pour des questions de périmètre et de coûts, ont mutualisé leur DPO. «Inutile par exemple de nommer un DPO dans chaque petite commune. Mieux vaut mutualiser la fonction au niveau de la communauté d’agglomérations. Cela peut donc faire un DPO pour plus de 50 organismes », illustre-t-il.
Un second round d’embauches en cours et à venir
Certes, les sociétés avaient jusqu’au 25 mai 2018 pour se mettre en conformité avec le RGPD. Faute de quoi, elles risquaient une amende pouvant atteindre 4 % de leur chiffre d’affaire global. Et on le voit avec Google qui vient de se voir infliger une amende de 50 millions d’euros pour sa mauvaise politique de gestion des données personnelles en France, les sanctions commencent à tomber.
>> Lire aussi (Le Figaro): RGPD, la Cnil impose à Google une sanction record de 50 millions d'euros
Mais il reste des retardataires. Des entreprises, notamment industrielles, mais aussi beaucoup de collectivités territoriales. Ceux-là vont devoir rapidement staffer ou embaucher un DPO pour s’éviter les foudres de la CNIL. Donc un gisement d’emplois de ce côté-là. « Et puis, on constate déjà des demandes pour des remplacements. Les DPO précédemment nommés, en interne ou en externe, ne faisant visiblement pas l’affaire », explique Ian de Bondt, directeur associé du cabinet Fed Legal. Enfin, les entreprises avancées dans le RGPD doivent désormais le faire vivre sur le terrain. « Il y a un an, on recrutait des DPO afin d’implémenter la démarche de conformité dans l’entreprise. Du mode projet, on passe désormais au mode opérationnel », explique Paul-Olivier Gibert. En résumé, on rentre dans le dur. « A charge pour le DPO, et les nouveaux membres de son équipe, de gérer les impacts d’éventuels chocs entre la nouvelle réglementation et la réalité du terrain », poursuit-il. Le tout sans remettre en cause le business. Un vrai jeu d’équilibriste.
Les DPO, des diplomates dans l’âme
Il y a un an, Alain Bensoussan provoquait un peu en déclarant que « le bon profil pour un DPO, c’est un tiers de juridique, un tiers d’informatique, un tiers d’organisationnel et un tiers de bon sens ». Aujourd’hui, il constate un certain rééquilibrage au profit du juridique. « Cette fonction nécessite un certain esprit de finesse. Il faut être capable de comprendre ce que le RGPD autorise, ce qui est nécessaire au business et trouver le bon chemin pour y parvenir », commente Paul-Olivier Gibert. Sans oublier une forte appétence pour la diplomatie. En effet, pas toujours facile de faire passer le message pour changer des pratiques… qui fonctionnaient très bien jusque là.
Journaliste indépendante, je réalise des enquêtes, des portraits, des reportages, des podcasts... sur la vie des salariés en entreprise. Égalité femmes-hommes, diversité, management, inclusion, innovation font partie de mes sujets de prédilection.