Back to Blog

DPO - Comment trouver le bon profil pour gérer votre conformité RGPD ?

Maxime JAILLET

Devez-vous confier votre mise en conformité et la fonction de DPO à un profil plutôt juridique ou technique ? Le délégué à la protection des données est en effet un vrai couteau suisse. Il a des compétences polyvalentes, est excellent communiquant et bon diplomate. On vous donne quelques astuces pour choisir avec soin le profil de votre référent. C’est notre product news du jour.

Expertise juridique RGPD, la compétence de base d’un DPO

Le 20 septembre 2018, la CNIL publie un référentiel de certification des compétences d’un délégué à la protection des données.

Sans surprise, une connaissance juridique de base est indispensable :

  • Les obligations de protection et de sécurité des données sont des obligations légales (Règlement Européen RGPD ; Loi Informatique et libertés) dont la portée est interprétée au sein de nombreux textes juridiques (avis du CEPD, délibérations de la CNIL, jurisprudence judiciaire ou administrative…) ;
  • La mise en conformité RGPD requiert de passer en revue les engagements contractuels des sous-traitants, de signer des clauses contractuelles types ou de mener des audits conformité.

Le DPO est souvent perçu en France comme le successeur des anciens Correspondants Informatiques et Libertés (CIL), un poste qualifiant d’abord et avant tout une expertise juridique.

Compétences techniques, le must have de la conformité RGPD

Non, votre DPO ne sera pas nécessairement un juriste.

L'étude "Mettre en oeuvre le règlement général sur la protection des données", réalisée en 2019, par la DGEFP avec l'appui de l'AFPA, enpartenariat avec l'AFCDP et la CNIL, montre au contraire que si les profils juridiques représentent plus de 30 % des DPO actuels, c’est aussi le cas des profils techniques.

Des compétences techniques sont en effet indispensables pour réussir la mise en conformité RGPD :

  • Protéger les données, c’est d’abord s’assurer du niveau de sécurité des systèmes d’information utilisés pour les stocker ;
  • Il faut pouvoir comprendre l’architecture technique en place et le fonctionnement des outils et applications utilisées. Des connaissances techniques aident aussi à mieux percevoir les impacts des mesures de protection des données sur les systèmes d’information.

Compétences organisationnelles, la conformité RGPD au coeur de la gouvernance

Le DPO de votre entreprise doit avoir des connaissances en gouvernance des entreprises. Après tout, il conseille et accompagne pour l’élaboration et le déploiement de procédures et de politiques.

Il devra également savoir mener des audits, proposer et évaluer des mesures de réduction du risque et en surveiller la mise en œuvre.

Le DPO devra appliquer un plan de conduite du changement dans l’optique de diffuser une culture informatique et une démarche privacy by design. Il faudra à cet égard lutter contre la tentation du « tout tout de suite ».

  • La tâche de la conformité RGPD est immense. Vouloir mettre en conformité en même temps tout le parc existant est une folie ;
  • Mieux vaut une approche progressive et conduite par les risques. Pourquoi ne pas prioriser sur les 20 % des infrastructures les plus sensibles ?

Communication et diplomatie, les atouts de la réussite de votre DPO

La mise en conformité est d’abord une affaire de gestion des relations humaines.

  • Communication et pédagogie, anywhere, anytime. Il faut provoquer l’adhésion des services qui devront mettre leurs traitements de données en conformité.
  • Adaptabilité, ouverture d’esprit et capacité d’écoute. Votre Data Protection Officer accédera à toutes vos directions et toutes vos filiales. Pour réussir, il devra se faire accepter par chacun de ces environnements.
  • Un facilitateur. Le DPO bloque finalement moins de projets qu’il n’en accompagne le lancement pour les sécuriser. Il faut savoir ne pas dire non tout le temps et être force de propositions concrètes pour rendre un projet conforme.

DPO – Nos astuces pour le recruter et le garder

  • Evaluez son autonomie. Un DPO sera le plus souvent seul dans l’exercice de ses missions. Il pourra finalement assez peu bénéficier des compétences seniors de l’entreprise. Votre DPO devra donc adhérer à des réseaux entre pairs pour pouvoir échanger et mener une veille.
  • Assurez-le du soutien de la direction générale. La conformité RGPD ne doit pas être qu’une démarche cosmétique.
  • Formation, outillages, équipe dédiée interne, apport externe… Procurez-lui les moyens nécessaires à l’exercice de ses missions.
  • Facilitez la transmission de ses reportings au plus haut niveau de l’entreprise et pas uniquement aux directeurs.

Conclusion : Le bon profil est celui qui répond à vos spécificités

Si les Correspondants Informatiques et Libertés étaient principalement des juristes, le DPO d’aujourd’hui a un profil plus diversifié. Technique au premier chef mais votre délégué à la protection des données pourra aussi venir d’autres horizons.

La fonction est en effet polyvalente. Elle nécessite une connaissance juridique et technique mais aussi une compétence organisationnelle et une réelle capacité de communication.

De manière plus pratique, le profil à retenir dépend des spécificités de votre entreprise. Externalise-t-elle une part importante de ses activités ? Dépend-elle d’une maison-mère internationale fixant une gouvernance interne à respecter ou est-ce une entreprise française ?

Tels sont des exemples de question à vous poser pour choisir – soigneusement – la personne qui devra relever le défi de la conformité RGPD.

Heureusement, cette mission pourra s’appuyer sur l’utilisation d’outils qui simplifient la prise en charge de certains aspects de la réglementation. Le module de gestion des cookies d’Axeptio en est un bon exemple.



Share on social media: 

Ne partez pas si vite ... 

Contrôle de la CNIL, sauvez vos cookies grâce au module d’Axeptio

Le module de cookies d’Axeptio peut-il vous éviter contrôle et sanction de la CNIL ? Votre entreprise fait l’objet d’un contrôle et le régulateur constate de lourdes non-conformités ? Vous pourrez compter sur nous pour sauver vos cookies. En un temps record, vous intégrerez les standards réglementaires tout en ayant une approche marketing d’avant-garde. On vous dit tout.

Lire la suite

Comment installer le pixel Facebook avec Google Tag Manager ?

Savez-vous configurer votre Pixel Facebook grâce à Google Tag Manager ? Grâce à ce pixel, pilotez efficacement vos campagnes, segmentez votre audience de manière pertinente. L’utiliser avec GTM n’est pas compliqué. Quelques étapes à respecter (créer un pixel de base ; créer des pixels personnalisés via des déclencheurs et des évènements) et le tour est joué. On vous dit tout.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.