Niveau d’études : | Bac+3 à Bac+5 |
Bac conseillé : | Scientifique |
Employabilité : | Bonne |
Salaire débutant : | 2.500 € brut |
Salaire confirmé : | 5.670 € brut |
Mobilité : | Très bonne |
Code ROME : | K1903, Défense et conseil juridique |
Code FAP : | L5Z90, Cadres administratifs, comptables et financiers |
NB : les métiers de la cybersécurité sont récents. L’estimation du salaire se base sur peu de données. Le salaire peut être parfois surévalué ou sous-évalué. Nous affinerons sa pertinence lors de la prochaine édition du Guide des Métiers de la cybersécurité. |
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
Métier
Missions
En tant que référent de la politique de protection des données, le DPO assure une triple mission de contrôle, d’information et de conseil.
Au jour le jour, il s’assure du respect de toutes les normes en vigueur sur la question de la protection des données. C’est le volet « contrôle ». Il peut s’agir de règles propres à l’organisation ou, plus généralement, de textes législatifs au niveau national ou européen, par exemple. À ce titre, le Délégué à la protection des données garantit notamment le respect du Règlement général sur la protection des données (RGPD).
En cas de non-conformité, il préconise des actions rectificatives. À ce titre, il est amené à opérer un véritable travail de veille informatique et à collaborer étroitement avec le Responsable de la sécurité des systèmes d’information (RSSI), le service juridique ou encore le service des Achats.
La mission d’information et de conseil se poursuit auprès de tous les responsables et sous-traitants touchant de près ou de loin aux données : il s’agit de s’assurer que la structure mène toutes les actions utiles pour sécuriser sa base de données et éviter une utilisation frauduleuse, par des opérateurs externes, des données de l’entreprise, de celles des employés, des clients ou des utilisateurs.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
L’obligation de DPO
Le Délégué à la protection des données remplace, dans les faits, le Correspondant informatique et libertés (CIL), auquel les entreprises avaient l’habitude de faire appel avant le 25 mai 2018. Depuis cette date, qui correspond à l’entrée en vigueur du RGPD, la présence d’un DPO est devenue obligatoire :
- pour toutes les entreprises dont les activités principales supposent « un suivi régulier et systématique des personnes à grande échelle », dès lors qu’elles opèrent dans l’espace européen ;
- et pour toutes les structures publiques, dès lors qu’elles opèrent dans l’espace européen, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.
Les responsabilités du Délégué à la protection des données
Pour Alexis O., recruté par un leader de la grande distribution, le DPO est « une sorte de grand sage sur des sujets qui, dans les faits, sont d’une extrême précision, et qui restent cependant encore flous dans l’esprit de nombreux dirigeants ». Le rôle central du DPO tient à la relative nouveauté de la préoccupation autour des données.
3 types de DPO
On distingue 3 types de Délégués à la protection des données selon les modalités d’emploi par les structures :
- le DPO interne, salarié d’une et une seule structure ;
- le DPO mutualisé, lui aussi salarié, mais partageant ses interventions entre plusieurs structures ;
- et le DPO externe, intervenant auprès de structures dont il n’est pas salarié.
Il existe, pour le DPO externe, deux cas de figure :
- il peut exercer en indépendant
- ou être salarié d’un organisme spécialisé, comme un cabinet de conseil, un cabinet d’avocats ou un organisme public dédié aux services numériques, par exemple.
Lorsque le DPO est externe à la structure, il peut facilement être désigné en ligne, en passant par le service dédié de la CNIL. La Commission nationale de l’informatique et des libertés fournit par ailleurs de nombreux conseils pour aider chaque structure à bien choisir son Délégué à la protection des données.
Selon les chiffres recueillis par la Cnil, en 2021, 72 % des Délégués à la protection des données exerçaient leur fonction comme DPO interne.
Compétences
Plusieurs pré-requis s’imposent au Délégué de protection des données. Ce dernier doit justifier de compétences à la croisée du champ technique et du champ juridique :
– une appétence claire pour les questions de cybersécurité
– une formation aux règles de pilotage des données personnelles à l’échelle d’une organisation
– une capacité globale à évaluer les risques cyber et à repérer les failles de sécurité
– une aptitude à monter et à assurer le suivi d’un programme de conformité en matière de données personnelles
– une maîtrise des notions de base concernant la protection des données, n’impliquant pas forcément une formation juridique complète
– la capacité à gérer les contrôles d’utilisation des données opérés par la Cnil (Commission nationale de l’informatique et des libertés).
Qualités
Pour remplir sa mission dans les meilleures conditions, le Délégué à la protection des données doit présenter plusieurs qualités comportementales et soft skills :
– un esprit pratique et une aptitude confirmée à la réflexion stratégique, permettant de mettre en place un processus de veille efficace autour de l’exploitation des données personnelles, grâce auquel les écarts et mauvaises utilisations pourront être facilement détectés
– des compétences avérées en communication afin de recueillir rapidement les informations utiles et d’alerter sur les enjeux
– une rigueur constante dans le traitement et le signalement des problèmes de conformité.
Niveau d’études nécessaire
En règle générale, le Délégué à la protection des données est détenteur, au minimum, d’un Bac +3. Dans la grande majorité des cas, les aspirants DPO sont passés par un cursus en informatique ou en statistiques. Nombreux sont ceux ayant également suivi une spécialisation en big data.
Selon les données du ministère du Travail, on assiste depuis 2019 à une diversification croissante des profils de DPO : en 2021, 47 % d’entre eux provenaient issus d’autres domaines d’expertise que le droit et l’informatique, soit une progression de 12 % par rapport à 2019. On voit principalement augmenter la part des profils administratifs et financiers ou en lien avec la qualité ou la conformité et l’audit.
Quelle formation ?
Les entreprises recrutent leur DPO en valorisant les expériences et diplômes au contenu transversal, apportant le juste équilibre entre compétences techniques et non techniques. La Guardia School a justement pensé deux formations répondant à cet objectif.
En accordant une importance de premier plan, dans ses formations, aux enjeux et valeurs de l’entreprise, la Guardia School donne toutes les cartes à ses diplômés pour aborder les sujets d’avenir comme la protection des données avec la plus grande pertinence.
Guardia propose un Bachelor en 3 ans (titre RNCP niveau 6), qui intègre dans ses 8 socles d’apprentissage toutes les bases de la cybersécurité et de gestion des systèmes d’information. Plus spécifiquement, le socle « Communication et Management » offre toutes les clés en matière de gestion de projet, de géostratégie et gouvernance, de droit du numérique et du droit en cybersécurité. Il forme également à la veille technologique opérationnelle, autant de compétences qui constituent la base du métier de DPO.
Guardia a également mis en place un titre MSc d’expert cybersécurité (titre RNCP niveau 7). Le diplôme couvre tous les besoins en cybersécurité rencontrés par les entreprises et les institutions. Il intègre notamment toute une série de compétences non techniques, préparant au mieux à la conduite de missions de consulting, d’audit, de cybersécurité organisationnelle ou de management en lien avec la protection cyber. Le MSc organise ses enseignements en conservant un lien permanent avec la complexité et l’innovation propres au domaine cyber.
Bachelor | |
Diplôme obtenu : | Titre école bachelor (Bac+3) |
Admission post-bac : | Bac généraliste ou technologique |
Admission parallèle : | Possible en 3e année |
Durée totale de la formation : | 3 ans |
Campus | Lyon et Paris |
Enseignement | 8 unités thématiques |
3e année | En alternance ou en initial avec stage alterné |
Master Expert cybersécurité | |
Diplôme obtenu : | Titre école MSc (Bac+5) |
Pré-requis : | Bac+3 ou Bac+4 validés |
Durée totale de la formation : | 2 ans |
Campus : | Lyon et Paris |
Alternance : | Chaque année, 3 semaines en entreprise / 1 semaine à l’école |
Les autres formations certifiantes
Pour accéder à un poste de DPO, il est possible de suivre une formation dans une école ou un organisme agréé par le CNIL. L’ensemble des entités délivrant une certification officielle sont listées sur le site de la Commission.
Pour accéder aux formations certifiantes, il est obligatoire d’avoir exercé au moins deux ans à un poste juridique ou technique lié à la protection des données.
Les principaux organismes préparant au certificat de DPO et reconnus par la Cnil sont :
- l’Afnor (Association française de normalisation) ;
- Apave Certification ;
- Bureau Veritas ;
- Cesi Certification ;
- l’IAPP (International Association of Privacy Professionals) ;
- LCP Certification ;
- LSTI ;
- PECB ;
- SGS.
Formation Cybersécurité et fondamentaux du numérique pour les pros
Cette formation permet à des profils non techniques désireux de s’initier à l’informatique de bénéficier d’une remise à niveau sur les bases de l’utilisation de l’outil informatique, sur les bonnes pratiques en cybersécurité pour l’utilisateur lambda, sur les bases du cadre légal de protection des données personnelles (RGPD), ainsi que de s’initier au code de scripts simples.
Fondamentaux du numérique - certification PIX
DURÉE : 100 heuresFormation Protection des données (DPO) pour les pros
Cette formation complète vous permet de maîtriser le cadre légal autour des problématiques de protection des données personnelles et de la RGPD.
À ces organismes vient s’ajouter le certificat Data Protection Officer proposé par deux écoles de renom : Sciences Po et le Cnam, qui proposent toutes deux une préparation en 15 jours.
Pour être valide, une certification DPO doit offrir au moins 35 heures de formation. La répartition moyenne se fait généralement comme suit :
- 20 % d’approche théorique
- et 80 % de mise en pratique.
Les organismes sont cependant libres d’adapter leurs formats de cours. Concernant la durée totale de la formation, elle varie habituellement entre 1 et 2 semaines.
La durée de validité d’une certification DPO est de 3 ans. Cette limitation de temps est justifiée par l’évolution rapide des environnements techniques et juridiques, impliquant une nécessaire mise à jour des connaissances et des compétences.
Les formations longues
Il est également possible de se préparer au métier de DPO dans toute la richesse de ses composantes en intégrant une formation plus longue comme :
- le Master « Management et protection des données à caractère personnel » proposé par l’ISEP (école d’ingénieurs privée du numérique) ;
- ou le Diplôme Universitaire « Délégué à la protection des données – Data Protection Officer » proposé par le CFP/Université Paris II, ainsi que par l’Université Paris Nanterre). Notons que cette dernière formation est accessible uniquement à un niveau Bac + 4.
62 % des DPO en poste en 2021 étaient issus d’une formation supérieure, de niveau master ou doctorat, selon les chiffres de la CNIL.
Quid des certifications en 2 à 3 jours ?
À noter qu’un nombre toujours plus important de structures mettent en avant des formations DPO délivrées en 2 à 3 jours, de type MOOC ou e-learning. Il ne s’agit pas de formations certifiantes ! Leurs contenus sont là pour satisfaire la curiosité des professionnels intéressés, les aider à préparer une formation certifiante ou ajouter une ligne de connaissances sur leur CV, mais en aucun cas elles ne peuvent servir à décrocher un poste de Délégué à la protection des données.
Dans quel secteur travailler ?
Comme évoqué précédemment, les personnes aptes à exercer les fonctions de Délégué à la protection des données peuvent s’orienter aussi bien vers le secteur public que vers le secteur privé.
De nombreuses entreprises sont soumises à l’obligation de s’attacher les services d’un DPO, du fournisseur d’accès à Internet à la compagnie d’assurance, en passant par toutes les entités commerciales collectant les données personnelles de leurs clients.
Dans le contexte de multiplication des entreprises de nature à exploiter les données personnelles de leurs clients ou utilisateurs, et face à un recours toujours plus intense à ces données, les possibilités d’embauche sont nombreuses et sont destinées à augmenter de manière substantielle dans les années à venir.
Les entreprises qui recrutent
Parmi les entreprises susceptibles de recruter, il est conseillé de surveiller :
- les enseignes de la grande distribution, notamment Monoprix, E. Leclerc ou Auchan ;
- les assureurs tous secteurs confondus, notamment la Macif, AXA, la Matmut ou la MAAF ;
- les banques, comme BNP Paribas, la Caisse d’Épargne ou Natixis ;
- les opérateurs de téléphonie mobile et fournisseurs d’accès à internet comme Orange, Bouygues ou SFR ;
- la Banque de France.
De nombreuses offres de poste de DPO sont régulièrement postées sur LinkedIn ou relayées par le portail de la Cnil. On peut également consulter les pages de :
- Glassdoor
- Monster.fr
- ou Indeed.com.
Salaire et évolution de carrière
En France, le salaire moyen d’un DPO varie entre 2 500 et 5 670 euros bruts mensuels. La différence de salaire peut être importante :
- selon la taille de l’entreprise et le secteur dans lequel elle exerce, si le DPO est rattaché à une structure privée ;
- et selon le degré d’expérience et d’ancienneté.
Le Délégué à la protection des données souhaitant changer de poste au sein de la structure à laquelle il est rattaché peut facilement prétendre à des postes à couleur stratégique et/ou juridique. On voit notamment de nombreux DPO s’orienter vers des postes de Responsable des Questions européennes, de Conseiller stratégique pour l’utilisation des données ou de Directeur du Département informatique. L’accès à ces différents postes dépend bien entendu de la formation juridique ou technique initiale du candidat.
Il est également possible de postuler à un poste de Responsable de Projet big data, par exemple.
Source salaires : enquête interne auprès des professionnels + étude cabinet Michael Page + étude cabinet Hays.
NB : les métiers de la cybersécurité sont récents. L’estimation du salaire se base sur peu de données. Le salaire peut être parfois surévalué ou sous-évalué. Nous affinerons sa pertinence lors de la prochaine édition du Guide des Métiers de la cybersécurité.
Les avantages et inconvénients
Pour Alexis O., il est évident que l’un des plus grands atouts du poste de Délégué à la protection des données est la polyvalence qu’il implique. « Sa situation, au croisement des champs technique, juridique et stratégique, est particulièrement enrichissant et formateur au quotidien. »La polyvalence du poste est aussi, dans une certaine mesure, son inconvénient majeur. Il suppose une attitude de veille et donc de vigilance constante et une possibilité de devoir gérer des crises en cas de mauvaise gestion.
Parmi les avantages, on notera également la relative nouveauté du poste, qui ouvre de nombreuses perspectives en termes d’emploi et de stimulation intellectuelle.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
Devenir délégué.e à la protection des données
En résumé, le délégué à la protection des données assure une triple mission : contrôle, information et conseil. Il s'assure d'abord du respect des normes en vigueur au sujet de la protection des données, en cas de non-conformité, il préconise alors des actions rectificatives.
Le salaire médian pour les délégués à la protection des données qui exercent en France est d’environ 49 000 euros annuels. Les postes de niveau débutant commencent avec un salaire environnant 30 000 euros par an, tandis que les travailleurs les plus expérimentés perçoivent jusqu'à 68 000 euros annuels.
Pour faire carrière en tant que délégué à la protection des données, vous devrez justifier au minimum d’un diplôme en cursus informatique ou statistiques de niveau BAC + 3. Une spécialisation en Big Data est conseillée pour ce métier.
Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou sciences informatiques.
Pour devenir délégué à la protection des données, il est recommandé d’avoir un Bac +3 minimum dans les domaines de sécurité informatique, des statistiques ou du big data. Il est aussi possible de poursuivre ses études vers une formation spécialisée DPO.
En vidéo
Métiers proches de délégué à la protection des données
Continuez vos recherches autour des métiers de la cybersécurité :