MenuMenu
ConnexionEssai gratuitEssai gratuit
Le cookie Axeptio, profession DPO
Product news

DPO - Comment trouver le bon profil pour gérer votre conformité RGPD ?

authorMaxime JAILLET
02 septembre 2020

Devez-vous confier votre mise en conformité et la fonction de DPO à un profil plutôt juridique ou technique ? Le délégué à la protection des données est en effet un vrai couteau suisse. Il a des compétences polyvalentes, est excellent communiquant et bon diplomate. On vous donne quelques astuces pour choisir avec soin le profil de votre référent. C’est notre product news du jour.

Expertise juridique RGPD, la compétence de base d’un DPO

Le 20 septembre 2018, la CNIL publie un référentiel de certification des compétences d’un délégué à la protection des données.

Sans surprise, une connaissance juridique de base est indispensable :

  • Les obligations de protection et de sécurité des données sont des obligations légales (Règlement Européen RGPD ; Loi Informatique et libertés) dont la portée est interprétée au sein de nombreux textes juridiques (avis du CEPD, délibérations de la CNIL, jurisprudence judiciaire ou administrative…) ;
  • La mise en conformité RGPD requiert de passer en revue les engagements contractuels des sous-traitants, de signer des clauses contractuelles types ou de mener des audits conformité.

Le est souvent perçu en France comme le successeur des anciens Correspondants Informatiques et Libertés (CIL), un poste qualifiant d’abord et avant tout une expertise juridique.

Compétences techniques, le must have de la conformité RGPD

Non, votre DPO ne sera pas nécessairement un juriste.

L'étude "Mettre en oeuvre le règlement général sur la protection des données", réalisée en 2019, par la DGEFP avec l'appui de l'AFPA, enpartenariat avec l'AFCDP et la CNIL, montre au contraire que si les profils juridiques représentent plus de 30 % des DPO actuels, c’est aussi le cas des profils techniques.

Des sont en effet indispensables pour réussir la mise en conformité RGPD :

  • Protéger les données, c’est d’abord s’assurer du niveau de utilisés pour les stocker ;
  • Il faut pouvoir comprendre l’architecture technique en place et le fonctionnement des outils et applications utilisées. Des connaissances techniques aident aussi à mieux percevoir les impacts des mesures de protection des données sur les systèmes d’information.

Compétences organisationnelles, la conformité RGPD au coeur de la gouvernance

Le de votre entreprise doit avoir des connaissances en gouvernance des entreprises. Après tout, il conseille et accompagne pour l’élaboration et le déploiement de procédures et de politiques.

Il devra également savoir mener des audits, proposer et évaluer des mesures de réduction du risque et en surveiller la mise en œuvre.

Le devra appliquer un plan de conduite du changement dans l’optique de diffuser une culture informatique et une démarche privacy by design. Il faudra à cet égard lutter contre la tentation du « tout tout de suite ».

  • La tâche de la est immense. Vouloir mettre en conformité en même temps tout le parc existant est une folie ;
  • Mieux vaut une approche progressive et conduite par les risques. Pourquoi ne pas prioriser sur les 20 % des infrastructures les plus sensibles ?

Communication et diplomatie, les atouts de la réussite de votre DPO

La est d’abord une affaire de gestion des relations humaines.

  • Communication et pédagogie, anywhere, anytime. Il faut provoquer l’adhésion des services qui devront mettre leurs traitements de données en conformité.
  • Adaptabilité, ouverture d’esprit et capacité d’écoute. Votre accédera à toutes vos directions et toutes vos filiales. Pour réussir, il devra se faire accepter par chacun de ces environnements.
  • Un facilitateur. Le bloque finalement moins de projets qu’il n’en accompagne le lancement pour les sécuriser. Il faut savoir ne pas dire non tout le temps et être force de propositions concrètes pour rendre un projet conforme.

DPO – Nos astuces pour le recruter et le garder

  • Evaluez son autonomie. Un DPO sera le plus souvent seul dans l’exercice de ses missions. Il pourra finalement assez peu bénéficier des compétences seniors de l’entreprise. Votre DPO devra donc adhérer à des réseaux entre pairs pour pouvoir échanger et mener une veille.
  • Assurez-le du soutien de la direction générale. La ne doit pas être qu’une démarche cosmétique.
  • Formation, outillages, équipe dédiée interne, apport externe… Procurez-lui les moyens nécessaires à l’exercice de ses missions.
  • Facilitez la transmission de ses reportings au plus haut niveau de l’entreprise et pas uniquement aux directeurs.

Conclusion : Le bon profil est celui qui répond à vos spécificités

Si les étaient principalement des juristes, le DPO d’aujourd’hui a un profil plus diversifié. Technique au premier chef mais votre délégué à la protection des données pourra aussi venir d’autres horizons.

La fonction est en effet polyvalente. Elle nécessite une connaissance juridique et technique mais aussi une compétence organisationnelle et une réelle capacité de communication.

De manière plus pratique, le profil à retenir dépend des spécificités de votre entreprise. Externalise-t-elle une part importante de ses activités ? Dépend-elle d’une maison-mère internationale fixant une gouvernance interne à respecter ou est-ce une entreprise française ?

Tels sont des exemples de question à vous poser pour choisir – soigneusement – la personne qui devra relever le défi de la conformité RGPD.

Heureusement, cette mission pourra s’appuyer sur l’utilisation d’outils qui simplifient la prise en charge de certains aspects de la réglementation. Le module de gestion des cookies d’Axeptio en est un bon exemple.



Ne partez pas si vite