Le RGPD ouvre (aussi) de belles opportunités de carrière

L’entrée en vigueur en mai dernier du règlement général sur la protection des données renforce les obligations de toutes les organisations (entreprises, associations, administrations) et a fortiori celles des entreprises et des établissements qui manipulent des données de santé. Au-delà des nouvelles contraintes et obligations, le RGPD crée aussi de nouveaux postes à responsabilité partout en Europe. En France, la Cnil estime à 80 000 le nombre de postes de DPO à pourvoir.

DPO, quèsaco ?
Le DPO est le délégué à la protection des données personnelles(DPO, Data Protection Officer) au sein d’une structure publique ou privée (collectivités locales, hôpitaux, entreprises, y compris TPE, PME, start-up…). Il a pour mission de contrôler en interne le respect du RGPD et de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément [au RGPD] » (article 24, paragraphe 1).

Son rôle est transversal car, dans une organisation, des données personnelles sont « traitées » et « utilisées » (au sens du RGPD) au sein de chaque service (RH, sécurité, SI…). Évidemment, la connaissance du système d’information de la structure est essentielle, raison pour laquelle le DPO travaille souvent au sein du service informatique.

Un bon technicien, mais aussi un excellent communicant
Idéalement, le DPO connaît :

  • L’organisation de la structure et des différents services : il est capable de cartographier la collecte, le traitement, l’utilisation et le stockage des données personnelles ;
  • La structure et le fonctionnement du système d’information. Pour chacune des bases de données, il doit être en capacité de vérifier la conformité juridique (choix de la base légale, habilitations, qualité du consentement, etc.) et technique (gestion des habilitations, chiffrement, etc.) ;
  • La sécurité des SI (compréhension des risques et des mécanismes de sécurisation adaptés) ;
  • Le contexte juridique et réglementaire (en particulier la loi Informatique et Libertés et le RGPD).

Ses compétences sont à la fois techniques (paramétrage, utilisation, voire développement, d’outils), mais aussi relationnelles : il s’agit d’un véritable chef d’orchestre capable de former des collaborateurs, de faire passer de l’information à tous les niveaux et d’animer la démarche RGPD au quotidien avec les directions concernées (en pratique, toutes !) et l’ensemble des agents.

Une opportunité réelle, en particulier dans le domaine de la santé
Les données médicales sont considérées, à juste titre, par le règlement comme des « données sensibles ». Elles nécessitent une étude d’impact et des procédures spécifiques (y compris chez les sous-traitants). De plus, dans les établissements publics, la nomination d’un DPO est une obligation. Il est possible de nommer un DPO en interne, en externe (cabinet conseil notamment) et/ou de le mutualiser entre plusieurs structures. Dans tous les cas, il est l’interlocuteur des collaborateurs, des patients/clients et de la Cnil en cas de contrôle.

Compte tenu de son rôle de coordinateur, le DPO est souvent un collaborateur interne à l’organisation. Le recrutement d’un DPO est un exercice périlleux : il est rare de trouver un candidat qui possède l’ensemble des connaissances et des compétences nécessaires. En pratique, il s’agit plutôt pour les établissements de dénicher un « bon » technicien, puis de le former aux autres compétences, notamment juridiques.

En bref, ce poste est pour vous si (et seulement si) :
– Vous avez de solides connaissances en SI ;
– Vous êtes curieux et vous aimez vous former/vous informer (veille juridique et réglementaire notamment) ;
– Vous avez de bonnes compétences relationnelles et le sens du travail en équipe.

Et si vous avez déjà été correspondant Informatique et Libertés, vous bénéficiez d’un avantage non négligeable par rapport à d’autres candidats.

En savoir plus
– Connaître le rôle du DPO selon la Cnil : https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf 
–Se former pour se familiariser avec le rôle du délégué à la protection des données (DPO) avec DSIH Formations : https://www.dsih-metiers.fr/formations/formation-rgpd-foundation.html 

Partagez sur les réseaux