N’est-il pas temps de réaliser que les informaticiens et experts en cybersécurité pourraient être parfaitement adaptés au poste de DPO ?

L’arrivée du RGPD a créé le concept d’un nouveau rôle — le délégué à la protection des données (DPO – Data Protection Officer). Cela a déclenché un tsunami de demandes pour une catégorie de professionnels — auparavant très rare — experts en confidentialité des informations et assez qualifiés pour gérer les problèmes de sécurité, juridiques et éthiques liés au traitement des données des clients et des employés.

Reuters a même récemment qualifié le rôle de DPO de « hottest ticket in town », ce sont les héros du moment. À la lumière du RGPD, les organisations ont désormais le devoir de nommer un délégué à la protection des données si elles représentent une autorité publique, si elles exercent une surveillance systématique des personnes ou réalisent certaines activités de traitement des données.

Cela étant, de nombreuses entreprises qui ne sont pas légalement tenues de nommer un DPO le font pour tenter de respecter les meilleures pratiques en matière de protection des données et ainsi démontrer leur conformité. Ce rôle arrive donc sur le devant de la scène et il n’est pas surprenant qu’une pénurie de candidats potentiels s’annonce. En fait, selon une récente étude de l’IAPP (Association internationale des professionnels de la protection de la vie privée), pas moins de 75 000 postes seront créés en réponse au RGPD à l’échelle mondiale.

Alors, comment trouver la bonne personne pour endosser les fonctions du DPO ?

Le délégué à la protection des données : principales compétences et responsabilités

Responsable du contrôle de la conformité interne, du conseil sur les obligations en matière de protection des données et de la relation avec les autorités de contrôle et les personnes concernées par les données, le rôle du DPO est complexe et étendu.  En effectuant des audits de sécurité réguliers et en formulant des recommandations favorisant le respect des réglementations et des meilleures pratiques dans l’ensemble de l’organisation, le DPO veille également à informer les employés des exigences de conformité et à former et sensibiliser le personnel responsable du traitement des données.

Ce qui nécessite une excellente compréhension de la théorie et de la pratique du RGPD. Il ne suffit pas de savoir ce que dit la loi, il est essentiel d’interpréter ses implications en pratique. Tout ce qui relève de votre procédure de fonctionnement pour des choses comme le droit à l’oubli ou le droit à la portabilité des données. Autre atout indispensable : de bonnes compétences en communication. Le DPO doit être compétent et confiant pour assurer la liaison avec les parties prenantes externes comme les régulateurs et faire preuve de compétences de leadership dans son travail avec des équipes internes.

Ce point sera essentiel, car la conformité au RGPD est un sport d’équipe qui implique l’informatique, le marketing, le service d’exploitation et de nombreux autres départements de l’entreprise.

Pourquoi les informaticiens et les experts en cybersécurité peuvent envisager ce rôle

Le RGPD énonce une série d’exigences très spécifiques pour le rôle de DPO, notamment le conseil sur les évaluations de risque, les contre-mesures et les évaluations d’impact sur la protection des données. Cela signifie que les DPO doivent avoir une expérience pratique significative des certifications de respect de la vie privée et des normes de sécurité des informations. Des compétences qui devront s’appuyer sur une vaste expérience des infrastructures informatiques et des audits des systèmes informatiques. En outre, les risques évoluant constamment, les DPO devront comprendre l’influence des technologies émergentes sur ces risques.

Cela nécessitera un large éventail de compétences techniques et d’expérience, allant de la compréhension de la confidentialité des données à la gestion des risques liés à l’information, en passant par la protection appropriée des informations en fonction de leur niveau de risque grâce aux personnes, aux processus et aux technologies. Tout cela en fait le rôle idéal pour un informaticien ambitieux intéressé par tout ce qui touche à la confidentialité des données.

Recruter un délégué à la protection des données n’est pas une tâche aisée. Tout le monde recherche un DPO possédant un maximum d’expérience du RGPD. Les entreprises devront adopter une approche plus pragmatique et découvrir si leur personnel compte des informaticiens ou des experts en cybersécurité qui pourraient assumer le rôle de DPO avec une formation et un coaching approprié.

__________
Jan van Vliet est VP et DG EMEA, Digital Guardian