Suite à l’entrée en vigueur  du règlement européen sur la protection des données personnelles,  deux entreprises sur trois prévoient de recruter dans le cadre du. Le RGPD doit impliquer des compétences mêlant  technologies du numérique et  une expertise juridique.

Une étude publiée par le cabinet de recrutement Robert Half  fait apparaître que les deux tiers des entreprises (66 %) projettent d’embaucher dans le cadre du règlement européen sur la protection des données personnelles (RGPD).

Les entreprises doivent tout d’abord s’attacher les services d’un DPO (Data Protection Officer) ou d’un DPD (Délégué à la protection des données) qui va introduire le règlement en interne.

L’article 37 du règlement fait obligation aux organismes publics et aux entreprises privées menant des traitements de données sensibles à grande échelle de  procéder à cette désignation.

De 80 000 à 100 000 organisations seraient concernées selon la Cnil.

Mais, pas pour autant un nombre de recrutements aussi important !

Tout d’abord, nombre de PME et de collectivités locales n’ont pas besoin d’un DPO à temps complet. Elles s’attacheront les services d’un DPO mutualisé ou externalisé.

Par ailleurs, certaines organisations ont anticipé le mouvement en nommant un « correspondant informatique & libertés (CIL). Ce dernier aura  toute légitimité pour évoluer vers le poste DPO, sous condition de formations.

De 4 000 à 5 000 CIL ont été ainsi désignés ces dernières années.

Les autres organisations auront le choix entre la promotion en faisant monter en compétences un expert de la data au sein la direction juridique, de la conformité ou de la gestion des risques et le recrutement.

Le DPO, une double compétence juridique et technique

Le DPO doit surtout afficher une double compétence.

« Il s’agit d’un juriste avec un vernis IT ou à l’inverse d’un ingénieur doté de solides compétences juridiques. En fonction de la culture de l’entreprise, des organisations privilégieront un profil à dominante juridique, d’autres un expert avant tout technique.

quoi qu’il en soit, il faudra maîtriser parfaitement les textes et avoir une bonne appréhension des risques car, il s’agit de verrouiller juridiquement des projets.

 On rappellera que le RGPD prévoit jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires globale, l’amende la plus élevée étant retenue.

Le DPO doit être rattaché au niveau hiérarchique le plus haut, comme la direction générale.

Le rattachement à une direction métier ou à une fonction support, qui serait alors juge et parti, pourrait présenter un risque de conflit d’intérêts.

L'AFCDP, l'Association française des correspondants à la protection des données à caractère personnel, a publié en avril dernier une charte de déontologie des DPO.

Le DPO doit garantir la bonne conformité des traitements mais sans entraver des projets innovants de type big data.

Au regard de la variété de profils pouvant exercer cette fonction de DPO, il est difficile de donner une fourchette de rémunérations.

Les autres emplois induits par le RGPD

Au-delà du DPO, il y a les emplois induits. Seul maitre à bord dans les petites entités, le DPO devra être entouré de collaborateurs dans les grandes structures pour mener à bien ses différentes missions.

La composition de l’équipe que la DPO va encadrer dépendra  de son profil.

Selon sa dominante, IT ou juridique, il cherchera des compétences complémentaires à la sienne.

En introduisant les principes de « privacy by design » ou de « security by design », le RGPD va modifier la façon d’aborder et de conduire les chantiers informatiques.

Les développeurs vont ainsi devoir  intégrer les enjeux de protection des données et de respect de la vie privée dès le début d’un projet.

Au sein de la direction marketing, on peut aussi imaginer que des assistant(es)s seront chargées de recueillir les preuves de consentement des clients et de répondre aux demandes de ces derniers quant à l’exercice de leurs droits comme le droit à l’oubli ou le droit à la portabilité.

Un traitement qui se fera manuellement avant une nécessaire automatisation  en cas d’afflux des demandes.