Back to Blog

DPO - Comment trouver le bon profil pour gérer votre conformité RGPD ?

Maxime JAILLET

Devez-vous confier votre mise en conformité et la fonction de DPO à un profil plutôt juridique ou technique ? Le délégué à la protection des données est en effet un vrai couteau suisse. Il a des compétences polyvalentes, est excellent communiquant et bon diplomate. On vous donne quelques astuces pour choisir avec soin le profil de votre référent. C’est notre product news du jour.

Expertise juridique RGPD, la compétence de base d’un DPO

Le 20 septembre 2018, la CNIL publie un référentiel de certification des compétences d’un délégué à la protection des données.

Sans surprise, une connaissance juridique de base est indispensable :

  • Les obligations de protection et de sécurité des données sont des obligations légales (Règlement Européen RGPD ; Loi Informatique et libertés) dont la portée est interprétée au sein de nombreux textes juridiques (avis du CEPD, délibérations de la CNIL, jurisprudence judiciaire ou administrative…) ;
  • La mise en conformité RGPD requiert de passer en revue les engagements contractuels des sous-traitants, de signer des clauses contractuelles types ou de mener des audits conformité.

Le DPO est souvent perçu en France comme le successeur des anciens Correspondants Informatiques et Libertés (CIL), un poste qualifiant d’abord et avant tout une expertise juridique.

Compétences techniques, le must have de la conformité RGPD

Non, votre DPO ne sera pas nécessairement un juriste.

L'étude "Mettre en oeuvre le règlement général sur la protection des données", réalisée en 2019, par la DGEFP avec l'appui de l'AFPA, enpartenariat avec l'AFCDP et la CNIL, montre au contraire que si les profils juridiques représentent plus de 30 % des DPO actuels, c’est aussi le cas des profils techniques.

Des compétences techniques sont en effet indispensables pour réussir la mise en conformité RGPD :

  • Protéger les données, c’est d’abord s’assurer du niveau de sécurité des systèmes d’informations utilisés pour les stocker ;
  • Il faut pouvoir comprendre l’architecture technique en place et le fonctionnement des outils et applications utilisées. Des connaissances techniques aident aussi à mieux percevoir les impacts des mesures de protection des données sur les systèmes d’information.

Compétences organisationnelles, la conformité RGPD au coeur de la gouvernance

Le DPO de votre entreprise doit avoir des connaissances en gouvernance des entreprises. Après tout, il conseille et accompagne pour l’élaboration et le déploiement de procédures et de politiques.

Il devra également savoir mener des audits, proposer et évaluer des mesures de réduction du risque et en surveiller la mise en œuvre.

Le DPO devra appliquer un plan de conduite du changement dans l’optique de diffuser une culture informatique et une démarche privacy by design. Il faudra à cet égard lutter contre la tentation du « tout tout de suite ».

  • La tâche de la conformité RGPD est immense. Vouloir mettre en conformité en même temps tout le parc existant est une folie ;
  • Mieux vaut une approche progressive et conduite par les risques. Pourquoi ne pas prioriser sur les 20 % des infrastructures les plus sensibles ?

Communication et diplomatie, les atouts de la réussite de votre DPO

La mise en conformité est d’abord une affaire de gestion des relations humaines.

  • Communication et pédagogie, anywhere, anytime. Il faut provoquer l’adhésion des services qui devront mettre leurs traitements de données en conformité.
  • Adaptabilité, ouverture d’esprit et capacité d’écoute. Votre Data Protection Officer accédera à toutes vos directions et toutes vos filiales. Pour réussir, il devra se faire accepter par chacun de ces environnements.
  • Un facilitateur. Le DPO bloque finalement moins de projets qu’il n’en accompagne le lancement pour les sécuriser. Il faut savoir ne pas dire non tout le temps et être force de propositions concrètes pour rendre un projet conforme.

DPO – Nos astuces pour le recruter et le garder

  • Evaluez son autonomie. Un DPO sera le plus souvent seul dans l’exercice de ses missions. Il pourra finalement assez peu bénéficier des compétences seniors de l’entreprise. Votre DPO devra donc adhérer à des réseaux entre pairs pour pouvoir échanger et mener une veille.
  • Assurez-le du soutien de la direction générale. La conformité RGPD ne doit pas être qu’une démarche cosmétique.
  • Formation, outillages, équipe dédiée interne, apport externe… Procurez-lui les moyens nécessaires à l’exercice de ses missions.
  • Facilitez la transmission de ses reportings au plus haut niveau de l’entreprise et pas uniquement aux directeurs.

Conclusion : Le bon profil est celui qui répond à vos spécificités

Si les Correspondants Informatiques et Libertés étaient principalement des juristes, le DPO d’aujourd’hui a un profil plus diversifié. Technique au premier chef mais votre délégué à la protection des données pourra aussi venir d’autres horizons.

La fonction est en effet polyvalente. Elle nécessite une connaissance juridique et technique mais aussi une compétence organisationnelle et une réelle capacité de communication.

De manière plus pratique, le profil à retenir dépend des spécificités de votre entreprise. Externalise-t-elle une part importante de ses activités ? Dépend-elle d’une maison-mère internationale fixant une gouvernance interne à respecter ou est-ce une entreprise française ?

Tels sont des exemples de question à vous poser pour choisir – soigneusement – la personne qui devra relever le défi de la conformité RGPD.

Heureusement, cette mission pourra s’appuyer sur l’utilisation d’outils qui simplifient la prise en charge de certains aspects de la réglementation. Le module de gestion des cookies d’Axeptio en est un bon exemple.



Share on social media: 

Ne partez pas si vite ... 

Le back-office d’Axeptio évolue et prend en compte la fin du Privacy Shield

La CJUE a récemment invalidé le Privacy Shield qui vous permettait de sécuriser le transfert de données personnelles vers les Etats-Unis. Les garanties mises en place en termes de protection des données ont en effet été jugées insuffisantes. Pas de panique, c’était attendu. Vous pouvez signer des clauses contractuelles types avec vos fournisseurs. C’est notre actualité juridique du jour.

Lire la suite

Sécurisez vos bases offline grâce aux questionnaires de consentement d’Axeptio

Vous constituez des bases de prospection commerciale en participant à des salons ou grâce aux conseillers commerciaux de vos boutiques physiques ? Sécurisez vos bases et recueillez le consentement de vos clients et prospects. Pour vous faciliter la vie, Axeptio vous met à disposition un modèle type que vous n’aurez plus qu’à compléter. C’est l’actualité juridique du jour.

Lire la suite

6 raisons de se doter d’une Customer Data Platform - CDP

Pourquoi se doter d’une Customer Data Platform (CDP) ? Réconciliation de vos bases de données pour une gestion transversale aux directions de votre entreprise, connaissance multi-canal du parcours d’achat, optimisation de vos données first-party, omnicanalité de vos campagnes, meilleure prise en compte des réclamations RGPD de vos clients… On vous donne 6 bonnes raisons de le faire.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.