Depuis l’entrée en vigueur du RGPD, (le Règlement européen général sur la protection des données), en mai 2018, la fonction de DPO, data protection officer, est devenue obligatoire dans les administrations et les entreprises qui brassent un volume important de données sensibles ou privées. Pour répondre à ce besoin, nombre d’organismes de formation se sont lancés sur le créneau. « Il existe des programmes sur une journée comme celle de Francis Lefebvre pour comprendre le métier, mentionne Chloé Torres, secrétaire général de l’ADPO (association des DPO) et avocat spécialisé dans le droit de la protection des données. Il existe aussi des formations qui aboutissent à une certification, comme le Master spécialisé de l’Isep. » D’autres organismes permettent d’obtenir ce certificat comme le Bureau Veritas ou la CNAM, selon Martial Mercier, trésorier de l’UDPO (Union des DPO) mais aussi Science po ou le portail life long learning avec la CIPP/E certified information privacy professional/Europe, la meilleure formation selon Constance Philippon, senior manager practices advisory, tax, legal & compliance chez Robert Walters. D’autres organismes sont répertoriés sur le site de la Cnil. Enfin, l’université de Nanterre offre une formation diplômante.
Avaler des textes juridiques
Ces formations s’adressent à des juristes, des directeurs administratifs, des directeurs des systèmes d’information (DSI), des avocats ou encore des Cil (correspondant informatique et liberté), le DPO étant une sorte d’évolution de ce dernier métier. Si, dans la majorité des cas, le DPO a un profil de juriste, d’autres professionnels peuvent se tourner vers ce métier. C’est le cas des diplômés d’un troisième cycle de droit, notamment du droit des affaires, mais aussi d’informatique, du numérique ou de la conformité. Nombre de DPO se sont toutefois formés sur le tas. « Il faut une fibre réglementaire, commente d’Éléonore Fouquet, manager exécutif senior chez Michael Page. Il doit pouvoir avaler des textes juridiques, les intégrer et les comprendre. » Il doit aussi avoir des connaissances juridiques en matière de protection des données personnelles.
Sympathique et pédagogue
Le DPO est en fait un être hybride. S’il n’a pas besoin d’être le plus pointu des techniciens, il doit savoir de quoi il parle. « Il vaut mieux qu’il soit un peu technologue et qu’il comprenne ce que sont les serveurs d’hébergement, les cookies, etc. », reconnaît Chloé Torres. Surtout, il doit être sympathique et pédagogue… afin de communiquer ses recommandations. « Il doit sensibiliser les métiers techniques pour que de bons réflexes soient pris mais sans se faire détester ! », souligne la secrétaire générale de l’ADPO. Enfin, la maîtrise de l’anglais est un atout recherché. « Les datas sont souvent internationalisées. Dans certaines entreprises, elles sont externalisées en Inde, par exemple. Il faut donc un très bon niveau de langue », souligne Constance Philippon.
Chloé Goudenhooft
Crédit photo : Shutterstock