Cegos est à vos côtés et vous accompagne pour réussir votre télétravail - Découvrez nos modules e-learning gratuits

Fiche Métier : Data Protection Officer

Qu’est-ce qu’un Data Protection Officer ?

Faisant suite au Règlement Général sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018, un nouveau métier de l’informatique a vu le jour : celui de Data Protection Officer. Le RGPD rend ce poste obligatoire dans toutes les entreprises qui traitent des data sensibles.   

Le Data Protection Officer (DPO) est également connu sous d’autres appellations, à savoir Délégué à la Protection des Données (DPD), Responsable de la Sécurité des Systèmes d’Information (RSSI), Manager de la Sécurité et des Risques de l’Information (MSRI) et en anglais Chief Information Security Officer (CISO). C’est le professionnel chargé de la protection des données au sein d’une organisation ou d’une entreprise qui traite des données sensibles à grande échelle.

Ce nouveau règlement européen répond à une problématique liée à la prise de conscience face aux énormes quantités de données amassées ces dernières années : qu’est-ce qu’elles deviennent ? Qu’en fait-on ? À qui sont-elles transmises ?

Le Data Protection Officer remplace le métier de Correspondant Informatique et Liberté (CIL) dans l’entreprise. En tant que tel, il est en charge de la réalisation et de la mise à jour des différents traitements de données. Il s’assure que la collecte et l’utilisation de ces dernières respectent la loi des pays de provenance de ces informations.

Quel est son rôle ?

À l’ère du digital 100 %, le Manager de la Sécurité et des Risques de l’Information joue un rôle primordial au sein d’une entreprise. Il permet de répondre aux besoins croissants des organismes concernant le Règlement Général sur la Protection des Données (RGPD).

Dans le cadre du Règlement européen sur la protection des données, le Responsable de la Sécurité des Systèmes d’Information est tenu d’assurer la sécurité et la conformité des données personnelles. De ce fait, il aide et conseille les entreprises pour la sécurité de leurs données et de leurs systèmes. Il définit les rôles et responsabilités de chacun et établit une cartographie des traitements et des flux de données. Il doit se tenir au courant de tous les projets de l’entreprise. Ceci dans le but d’apporter des préconisations suffisamment en amont si besoin est. 

Grâce à un dialogue au quotidien avec les parties prenantes internes et externes, le Data Protection Officer peut sensibiliser ces dernières à la culture de la protection des données. Il assure ainsi le contrôle permanent de l’activité et définit les exigences de sécurité associées. Par ailleurs, il lui incombe de définir la politique de gestion des risques de l’information dans l’entreprise. Il se charge du déploiement et de l’animation du dispositif de gestion des risques. 

Quelles sont ses missions ?

Dans le cadre de la conformité avec la réglementation RGPD en vigueur et principalement pour asseoir la sécurité de l’information au sein de l’entreprise, le Data Protection Officer est tenu de remplir un certain nombre de missions :

Gouvernance SI

Il appartient au DPO de définir la gouvernance SI au sein de la société et dans l’entreprise élargie. Il établit le modèle d’évaluation et d’évolution des processus. Il sensibilise les équipes (collaborateurs, directeur, etc.) à la nouvelle réglementation en vigueur et explique l’impact du RGPD vis-à-vis des métiers. Il doit ainsi veiller au respect des grands principes de la protection des données notamment en coordonnant et conseillant les équipes concernées. Il assurera un suivi régulier pour auditer, contrôler et répertorier les actions menées.

Architecture SI

Le Data Protection Officer est chargé de concevoir des cartographies fonctionnelles et applicatives. Il lui revient de définir et de piloter le dispositif de sécurité : outils, normes, suivi des incidents ou encore audits. Il doit analyser les acteurs et les outils (matériels ou logiciels) du marché. Il doit évaluer les solutions en fonction du besoin et de conduire des audits de performance technique SI.

Supervision SI

Fiches Métiers de l'Informatique - Data Protection Officer

Le Délégué à la Protection des Données supervise et administre les infrastructures informatiques de l’entreprise ainsi que le patrimoine applicatif. En collaboration avec la RSSI, il doit instaurer des moyens et actions en conformité avec la réglementation. Il communique et forme le personnel pour sensibiliser ses collaborateurs aux questions de sécurité de l’information.

Gestion des risques

Une des principales missions du Responsable de la Sécurité des Systèmes d’Information consiste à identifier les risques et à définir la politique de sécurité de l’information par le biais d’audits, d’un plan de prévention, d’un plan de continuité d’activité, de choix technologiques, d’une charte sécurité… Il doit définir le plan de traitement des risques et les mesures de sécurité appropriées.

À ce titre, le DPO doit identifier les risques techniques et fonctionnels et estimer leur criticité. Il est en charge de piloter les risques projets - pour cela, il doit veiller à la qualité, au budget, aux contrats et aux plannings. Il doit également identifier les risques légaux pour l’entreprise et mettre en place les solutions juridiques de prévention. Il est également tenu de réaliser une analyse de risques et d’impacts de mise en production en utilisant des normes standard. Par ailleurs, le DPO doit assurer le niveau de couverture des risques de l’entreprise, d’un projet via les assurances, des plans d’actions, etc.

Gestion d’entreprise et des contrôles

Le Data Protection Officer est en charge de gérer l’entreprise en arbitrant entre plusieurs orientations stratégiques, tactiques ou opérationnelles. Par ailleurs, il doit analyser et comprendre l’origine d’un dysfonctionnement, d’un incident ou d’un accident (spécifications physiques du produit, processus, etc.).

Résolution de problèmes complexes

Il revient au Responsable de la Sécurité des Systèmes d’Information d’analyser une situation problématique dans un environnement complexe. Il est tenu par la suite d’élaborer et de déployer une méthodologie de résolution. Il doit également élaborer des préconisations et proposer des solutions et scénarii d’amélioration.

Transmission de connaissances

Le DPO est un expert métier qui doit s'assurer de la formation de ses équipes et de transmettre les connaissances requises dans l’entreprise. Pour ce faire, il synthétise une méthodologie ou des connaissances à capitaliser et à transmettre. Il doit également initier ses équipes aux Best Practices par différents moyens tels que les ateliers de formation par exemple.

Veille technologique

Evidemment, le responsable de la Sécurité des Systèmes d’Information doit connaître à la perfection les réglementations en vigueur dans sa spécialité ou dans son secteur. Il doit assurer une veille technologique permanente sur son domaine d’activité et analyser les documents techniques.

Les qualités et compétences requises pour un Data Protection Officer ?

Les qualités personnelles

Le Data Protection Officer doit avoir en premier lieu un sens de la communication orale et écrite confirmé. Il doit également avoir un esprit d’entreprise, d’analyse et de synthèse aigu. Il doit également être capable d'analyser et d’interpréter des résultats.

Par ailleurs, un Responsable de Sécurité des Systèmes d’Information, de par ses missions, est également tenu de présenter les qualités personnelles suivantes :  qualité de leadership, sens de l’écoute, créativité et sens de l’innovation, adaptabilité et flexibilité, rigueur et organisation, conviction et influence, orientation client, gestion de projet et gestion de performance.

Les compétences techniques

Il est essentiel pour un Data Protection Officer d’avoir de solides connaissances en Droit du Numérique. Il doit posséder de grandes connaissances informatiques et connaître les outils utilisés par les équipes informatiques en complément d’un solide bagage juridique.

La maîtrise de l’anglais général, professionnel et technique, à l’oral comme à l’écrit, est exigée. La connaissance d’une ou d’autres langues étrangères est un plus.

Comment devenir Data Protection Officer ?

Le métier de Data Protection Officer est encore récent. Le plus souvent, les DPO en poste sont des anciens Correspondants Informatiques et Libertés (CIL) ou Juristes des NTIC reconvertis. C’est la raison pour laquelle les étudiants n’ont pas de parcours type menant directement à cet emploi.

En revanche, un Master en Droit suivi d’une spécialisation ou d’une expérience en multimédia/informatique permettra aux postulants de prétendre plus facilement au poste.

D’une manière générale, le diplôme requis est un niveau bac + 5 :

  • Master informatique, spécialité cryptologie et sécurité informatique
  • Master informatique sécurité des systèmes informatiques
  • Master cryptis sécurité de l’information et cryptologie

Les diplômes d’ingénieurs en informatique doublés d’une formation juridique peuvent également ouvrir la voie vers ce métier.

Cegos propose une formation certifiante à toute personne désirant accéder à la fonction de Data Protection Officer. Celle-ci convient également à un Correspondant Informatique et Libertés (CIL) et/ou à Manager désirant mettre sa structure en conformité avec le RGPD.

La formation que nous dispensons est destinée à donner les clés de sa mission au Data Protection Officer sur les aspects règlementaires et méthodologiques imposés par le GRPD et sur les attitudes à adopter au sein de la structure pour assurer le succès de sa mission.

Ces formations peuvent aussi vous intéresser