Data Protection Officer : la fin des autodidactes ?

Par Bruno RASLE, Délégué Général de l’AFCDP • 30 mai 2017 • Village de la justice

Le RGPD fait obligation à certaines catégories de responsables de traitement de désigner un Délégué à la protection des données (ou DPO – pour Data Protection Officer), évolution naturelle de l’actuel Correspondant Informatique et Libertés. À l’échelle européenne, c’est plus de 70.000 professionnels qui devraient être désignés auprès des autorités de contrôle. Déjà la pénurie d’experts se fait sentir et l’on observe une augmentation du niveau de gratification nécessaire pour attirer de jeunes talents.),

L’article 37 du règlement européen 2016/679 du 27 avril 2016 contraint certains responsables de traitement à désigner un Délégué à la protection des données. L’article 38 en définit la fonction, tandis que l’article 39 en liste les missions. Cet expert étant un facteur de co-régulation et le meilleur levier pour réduire les risques du chef d’entreprise, nul doute que de nombreux décideurs qui ne sont pas obligés de désigner un DPO auprès de la CNIL le feront de façon volontaire. Lors de la dernière conférence de l’AFCDP, la CNIL a indiqué qu’elle pensait finaliser le nouveau formulaire de désignation en ligne durant le premier trimestre 2018. Les responsables de traitement ayant actuellement désigné un CIL devront l’utiliser pour les confirmer dans leur fonction.

L’association qui représente les professionnels de la conformité à la loi Informatique et Libertés a appelé à une « clause du grand-père » , pour permettre aux CIL qui le désirent et qui le méritent, d’être confirmés en tant que DPO. La CNIL indique d’ailleurs, dans son guide « Règlement européen : se préparer en 6 étapes », que le CIL a vocation à être désigné CIL, confirmant les propos tenus récemment par Édouard Geffray (4'20") secrétaire général de la Commission.

Il est regrettable qu’une minorité des CIL actuels, comme l’avait montré l’enquête que la CNIL avait commanditée en 2015 à l’occasion des dix ans du CIL, n’aient jamais bénéficié des conditions optimales pour honorer leurs engagements (tenue du registre, formalisation d’un bilan annuel, etc.) : certains CIL avouaient ne consacrer que deux heures par mois à la thématique et n’avoir jamais concédé aucun effort pour se former. Cela a rappelé l’intervention du Professeur Kongehl, qui dirige l’Ulmer Akademie, qui s’était livré en avril 2011 à une description savoureuse des « mauvais » profils de délégués à la protection des données à caractère personnel qu’il a observés en Allemagne, où la fonction existe depuis plus de quarante ans. À l’autre extrémité du spectre, des Correspondants Informatique et Libertés ont investi lourdement dans la formation et ont d’ores et déjà adopté certaines des pratiques que le RGDP va consolider, comme le Privacy by Design ou les EIVP (Études d’Impacts sur la Vie Privée).

Avec le règlement, la question n’est plus « Faut-il se former pour être DPO ? », mais bien « Avec quelle intensité faut-il se former pour être ou devenir DPO ? ». Imaginons l’inquiétude d’un patient sur le point d’entrer au bloc opératoire et qui apprendrait incidemment que le chirurgien qui va l’opérer n’a suivi que trois jours de formation… Avec le niveau de sanction prévu par le RGPD, ce pourrait être le sentiment d’un chef d’entreprise, d’un responsable de traitement, qui met sa sécurité juridique et sa sérénité entre les mains de son délégué à la protection des données. Certaines entreprises l’ont bien compris. Ainsi le groupe La Poste comptera bientôt cinq diplômés au niveau Bac + 6 en ce domaine.

Comme à chaque création d’un nouveau métier, cela se traduit par le passage d’une traditionnelle courbe de Gauss à une double bosse. Imaginons une courbe représentant la distribution des CIL actuellement désignés suivant leur « niveau » : une majorité d’entre eux (environ 80 %) constituent la bosse du milieu, tandis qu’on observe une minorité de CIL « experts » et une minorité de CIL « débutants ». Le règlement va accélérer la modification de cette courbe vers une double bosse. On trouvera moins de DPO « moyens », au bénéfice d’une bosse regroupant les délégués qui ont fait l’effort de se former (les « experts ») et une autre bosse regroupant les débutants. Tout l’enjeu, pour les professionnels, est de se retrouver dans la bonne bosse… et de s’y maintenir.

Ces derniers mois, l’employabilité des professionnels de la conformité à la loi Informatique et Libertés s’est considérablement améliorée, comme le montre la rubrique « Carrière et Emplois de DPO  » mise à disposition gracieusement par l’AFCDP. Nous vivons un changement de paradigme, en passant d’une situation dans laquelle les offres de postes étaient rares à une situation où les postes proposés sont nombreux et majoritairement en CDI. Clairement, ce sont désormais les candidats qui font la loi, et non plus les recruteurs. À l’échelle européenne, plus de 70.000 professionnels devront être désignés auprès des autorités de contrôle. Déjà la pénurie d’experts se fait sentir, au point qu’on observe une augmentation du niveau de gratification nécessaire pour attirer de jeunes talents. Grâce à son observatoire salarial, l’AFCDP a déjà eu connaissance de salaires de l’ordre de 4.000 € en début de carrière (25 % des juniors se verraient proposer un salaire situé entre 3.000 et 3.499 €/mois) tandis que 47 % des stagiaires reçoivent une gratification de stagiaire située entre 1.000 et 1.500 €.

Au niveau mondial, le record salarial semble toujours être de 700.000 $ (plus bonus), pour une DPO américaine embauchée par une entreprise qui venait de subir une data breach qui a mis en péril sa réputation et lui a fait perdre des parts de marché significatives. D’après les études de l’IAPP (International Association of Privacy Professionals), le salaire médian d’un professionnel américain début 2017 serait de 130.000 $, contre un salaire médian de 95.800 $ pour leurs confrères européens (soit de 35 % supérieur). L’AFCDP avait réalisé en 2012 un sondage auprès des CIL : leur salaire moyen annuel était alors de 47.000 € brut, mais cette moyenne cachait une très grande disparité, le salaire étant celui du poste précédent occupé par le CIL. On voit que, si les rémunérations des professionnels français de la conformité à la loi Informatique et Libertés ont fortement progressé ces dernières années, la marge de progression est grande. Il va être intéressant d’observer ce qu’il va advenir des CIL qui deviendront DPO : leur confirmation de désignation sera-t-elle accompagnée d’une augmentation salariale ? N’allons-nous pas observer un turnover plus important ? On prévoit aussi l’apparition de « DPO de transition », enchaînant les missions d’entreprise en entreprise.

La politique d’embauche de la CNIL devrait concourir à tendre davantage le marché du travail si, comme son homologue britannique, elle obtient les crédits lui permettant d’augmenter fortement ses effectifs. Pour accompagner les entreprises d’outre-Manche dans leur préparation au RGPD, l’ICO, qui compte déjà environ 500 collaborateurs, compte recruter massivement. Le Data Protection Commissioner irlandais vient également d’annoncer la création de cinquante postes, «  pour se préparer au plus grand événement de ces dernières années dans le domaine de la protection des données personnelles, le règlement européen ». Dans le même temps, la CNIL demande la création d’une quinzaine de nouveaux postes d’ici 2020.

Du fait de la pénurie déjà observée et qui va sans doute s’accroître dans les mois qui viennent, les recruteurs ne devraient-ils pas élargir leurs recherches ? La CEDPO (Confederation of European Data protection Associations) a lancé un appel pour que la profession de DPO ne se limite pas aux seuls profils juridiques. « La pratique a démontré que, dans les pays qui ont opté pour le “Détaché à la protection des données” dans le cadre de la directive 95/46/CE, l’hétérogénéité de l’origine des CIL était une véritable richesse. Ainsi, en Allemagne aussi bien qu’en France, la majorité des CIL ont une formation initiale d’informaticien, et non de juristes » indique Patrick Blum, CIL de l’Essec et Vice-président de l’AFCDP. La fonction de DPO doit rester ouverte à toute personne, quels que soient sa formation initiale et son parcours, et l’exigence exprimée dans le RGPD dans son article 37.5 et son considérant 97 peut être satisfaite même par des personnes dépourvues de diplôme en droit. Naturellement, cela implique un effort certain de formation initiale de la part des personnes qui se projettent dans le métier de Data Protection Officer, afin de compléter leurs connaissances, notamment pour permettre aux juristes de maîtriser les concepts techniques ou, symétriquement, pour permettre aux informaticiens de maîtriser le langage et les concepts juridiques.

Le RGPD marquera-t-il la fin de l’ère des « pionniers », des autodidactes et des profils atypiques ? Il serait dommage, pour les entreprises, de se priver de leurs qualités : ils ont généralement la passion d’apprendre, ils savent s’autoriser la déviance et la résistance aux conformismes, ils savent saisir les opportunités, expérimenter, tolérer l’incertitude et improviser. Leur capacité d’adaptation est reconnue, de même que leur prise de recul, parce qu’ils analysent et réfléchissent davantage aux conséquences d’une action. D’aucuns reconnaissent, chez les autodidactes seniors, « leur ténacité sur les projets et les missions, leur caractère posé et rassurant ». Encore faut-il faire évoluer les mentalités et de convaincre une majorité d’entreprises qu’au-delà un CV qui est statique, il est tout aussi important de s’intéresser à la personnalité et à la dynamique du candidat.

Pour aider les innombrables entités qui découvrent le sujet, l’association qui regroupe les professionnels de la conformité à la loi Informatique et Libertés et au RGPD met à disposition un exemple de lettre de mission de Délégué à la protection des données ainsi qu’une fiche de poste de DPO.

Merci !


Votre demande nous a bien été envoyée

Merci !


Votre demande nous a bien été envoyée