CONSULTANT EN CYBERSÉCURITÉ Consultant en Cybersécurité
Métiers

Délégué à la protection des données

Vous faites preuve d’un intérêt tout aussi évident pour les questions techniques et le fait juridique ? Vous êtes particulièrement sensible à l’évolution des droits dans l’univers numérique et à la garantie de leur respect ? Découvrez sans tarder la fonction de Délégué à la protection des données et le caractère essentiel des missions qui s’y rattachent.

Fiche métier mise à jour le
Niveau d’études : Bac+3 à Bac+5
Bac conseillé : Scientifique
Employabilité : Bonne
Salaire débutant : 2.500 €
Salaire confirmé : 5.670 €
Mobilité : Très bonne
Code ROME : K1903, Défense et conseil juridique
Code FAP : L5Z90, Cadres administratifs, comptables et financiers

Le métier

Le Délégué à la Protection des Données – également connu sous le nom de Data Protection Officer ou DPO – est chargé de veiller à la bonne utilisation des données personnelles au sein de la structure, publique ou privée, qui lui attribue cette fonction. Il lui revient également de définir toutes les orientations et actions utiles pour permettre la sécurisation optimale de ces données.

Les missions

En tant que référent de la politique de protection des données, le DPO assure une triple mission de contrôle, d’information et de conseil.

Au jour le jour, il s’assure du respect de toutes les normes en vigueur sur la question de la protection des données. C’est le volet « contrôle ». Il peut s’agir de règles propres à l’organisation ou, plus généralement, de textes législatifs au niveau national ou européen, par exemple. À ce titre, le Délégué à la protection des données garantit notamment le respect du Règlement général sur la protection des données (RGPD).

En cas de non-conformité, il préconise des actions rectificatives. À ce titre, il est amené à opérer un véritable travail de veille informatique et à collaborer étroitement avec le Responsable de la sécurité des systèmes d’information (RSSI), le service juridique ou encore le service des Achats.

La mission d’information et de conseil se poursuit auprès de tous les responsables et sous-traitants touchant de près ou de loin aux données : il s’agit de s’assurer que la structure mène toutes les actions utiles pour sécuriser sa base de données et éviter une utilisation frauduleuse, par des opérateurs externes, des données de l’entreprise, de celles des employés, des clients ou des utilisateurs.

L’obligation de DPO

Le Délégué à la protection des données remplace, dans les faits, le Correspondant informatique et libertés (CIL), auquel les entreprises avaient l’habitude de faire appel avant le 25 mai 2018. Depuis cette date, qui correspond à l’entrée en vigueur du RGPD, la présence d’un DPO est devenue obligatoire :

  1. pour toutes les entreprises dont les activités principales supposent « un suivi régulier et systématique des personnes à grande échelle », dès lors qu’elles opèrent dans l’espace européen ;
  2. et pour toutes les structures publiques, dès lors qu’elles opèrent dans l’espace européen, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.

Les responsabilités du Délégué à la protection des données

Pour Alexis O., recruté par un leader de la grande distribution, le DPO est « une sorte de grand sage sur des sujets qui, dans les faits, sont d’une extrême précision, et qui restent cependant encore flous dans l’esprit de nombreux dirigeants ». Le rôle central du DPO tient à la relative nouveauté de la préoccupation autour des données.

« Le Délégué à la protection des données est là pour rassurer et sécuriser une des ressources les plus sensibles au sein de l’entreprise, et pour baliser les chemins d’utilisation. »
Alexis. O - Délégué à la Protection des Données

3 types de DPO

On distingue 3 types de Délégués à la protection des données selon les modalités d’emploi par les structures :

  • le DPO interne, salarié d’une et une seule structure ;
  • le DPO mutualisé, lui aussi salarié, mais partageant ses interventions entre plusieurs structures ;
  • et le DPO externe, intervenant auprès de structures dont il n’est pas salarié.

Il existe, pour le DPO externe, deux cas de figure : 

  • il peut exercer en indépendant
  • ou être salarié d’un organisme spécialisé, comme un cabinet de conseil, un cabinet d’avocats ou un organisme public dédié aux services numériques, par exemple.

Lorsque le DPO est externe à la structure, il peut facilement être désigné en ligne, en passant par le service dédié de la CNIL. La Commission nationale de l’informatique et des libertés fournit par ailleurs de nombreux conseils pour aider chaque structure à bien choisir son Délégué à la protection des données.

Selon les chiffres recueillis par la Cnil, en 2021, 72 % des Délégués à la protection des données exerçaient leur fonction comme DPO interne.

Les compétences et qualités du DPO

Compétences

Plusieurs pré-requis s’imposent au Délégué de protection des données. Ce dernier doit justifier de compétences à la croisée du champ technique et du champ juridique :

– une appétence claire pour les questions de cybersécurité

– une formation aux règles de pilotage des données personnelles à l’échelle d’une organisation

– une capacité globale à évaluer les risques cyber et à repérer les failles de sécurité

– une aptitude à monter et à assurer le suivi d’un programme de conformité en matière de données personnelles

– une maîtrise des notions de base concernant la protection des données, n’impliquant pas forcément une formation juridique complète

– la capacité à gérer les contrôles d’utilisation des données opérés par la Cnil (Commission nationale de l’informatique et des libertés).

Qualités

Pour remplir sa mission dans les meilleures conditions, le Délégué à la protection des données doit présenter plusieurs qualités comportementales et soft skills :

– un esprit pratique et une aptitude confirmée à la réflexion stratégique, permettant de mettre en place un processus de veille efficace autour de l’exploitation des données personnelles, grâce auquel les écarts et mauvaises utilisations pourront être facilement détectés

– des compétences avérées en communication afin de recueillir rapidement les informations utiles et d’alerter sur les enjeux

– une rigueur constante dans le traitement et le signalement des problèmes de conformité.

Niveau d’études nécessaire

En règle générale, le Délégué à la protection des données est détenteur, au minimum, d’un Bac +3. Dans la grande majorité des cas, les aspirants DPO sont passés par un cursus en informatique ou en statistiques. Nombreux sont ceux ayant également suivi une spécialisation en big data.

Selon les données du ministère du Travail, on assiste depuis 2019 à une diversification croissante des profils de DPO : en 2021, 47 % d’entre eux provenaient issus d’autres domaines d’expertise que le droit et l’informatique, soit une progression de 12 % par rapport à 2019. On voit principalement augmenter la part des profils administratifs et financiers ou en lien avec la qualité ou la conformité et l’audit.

Quelle formation choisir ?

Les entreprises recrutent leur DPO en valorisant les expériences et diplômes au contenu transversal, apportant le juste équilibre entre compétences techniques et non techniques. La Guardia School a justement pensé deux formations répondant à cet objectif.

En accordant une importance de premier plan, dans ses formations, aux enjeux et valeurs de l’entreprise, la Guardia School donne toutes les cartes à ses diplômés pour aborder les sujets d’avenir comme la protection des données avec la plus grande pertinence.

Guardia propose un Bachelor en 3 ans (titre RNCP niveau 6), qui intègre dans ses 8 socles d’apprentissage toutes les bases de la cybersécurité et de gestion des systèmes d’information. Plus spécifiquement, le socle « Communication et Management » offre toutes les clés en matière de gestion de projet, de géostratégie et gouvernance, de droit du numérique et du droit en cybersécurité. Il forme également à la veille technologique opérationnelle, autant de compétences qui constituent la base du métier de DPO.

Guardia a également mis en place un titre MSc d’expert cybersécurité (titre RNCP niveau 7). Le diplôme couvre tous les besoins en cybersécurité rencontrés par les entreprises et les institutions. Il intègre notamment toute une série de compétences non techniques, préparant au mieux à la conduite de missions de consulting, d’audit, de cybersécurité organisationnelle ou de management en lien avec la protection cyber. Le MSc organise ses enseignements en conservant un lien permanent avec la complexité et l’innovation propres au domaine cyber.

Bachelor
Diplôme obtenu : Titre école bachelor (Bac+3)
Admission post-bac : Bac généraliste ou technologique
Admission parallèle : Possible en 3e année
Durée totale de la formation : 3 ans
Campus Lyon et Paris
Enseignement 8 unités thématiques
3e année En alternance ou en initial avec stage alterné

 

Master Expert cybersécurité
Diplôme obtenu : Titre école MSc (Bac+5)
Pré-requis : Bac+3 ou Bac+4 validés
Durée totale de la formation : 2 ans
Campus : Lyon et Paris
Alternance : Chaque année, 3 semaines en entreprise / 1 semaine à l’école

Les autres formations certifiantes

Pour accéder à un poste de DPO, il est possible de suivre une formation dans une école ou un organisme agréé par le CNIL. L’ensemble des entités délivrant une certification officielle sont listées sur le site de la Commission.

Pour accéder aux formations certifiantes, il est obligatoire d’avoir exercé au moins deux ans à un poste juridique ou technique lié à la protection des données.

Les principaux organismes préparant au certificat de DPO et reconnus par la Cnil sont :

  • l’Afnor (Association française de normalisation) ;
  • Apave Certification ;
  • Bureau Veritas ;
  • Cesi Certification ;
  • l’IAPP (International Association of Privacy Professionals) ;
  • LCP Certification ;
  • LSTI ;
  • PECB ;
  • SGS.

À ces organismes vient s’ajouter le certificat Data Protection Officer proposé par deux écoles de renom : Sciences Po et le Cnam, qui proposent toutes deux une préparation en 15 jours.

Pour être valide, une certification DPO doit offrir au moins 35 heures de formation. La répartition moyenne se fait généralement comme suit :

  • 20 % d’approche théorique
  • et 80 % de mise en pratique.

Les organismes sont cependant libres d’adapter leurs formats de cours. Concernant la durée totale de la formation, elle varie habituellement entre 1 et 2 semaines.

La durée de validité d’une certification DPO est de 3 ans. Cette limitation de temps est justifiée par l’évolution rapide des environnements techniques et juridiques, impliquant une nécessaire mise à jour des connaissances et des compétences.

Les formations longues

Il est également possible de se préparer au métier de DPO dans toute la richesse de ses composantes en intégrant une formation plus longue comme :

  • le Master « Management et protection des données à caractère personnel » proposé par l’ISEP (école d’ingénieurs privée du numérique) ;
  • ou le Diplôme Universitaire « Délégué à la protection des données – Data Protection Officer » proposé par le CFP/Université Paris II, ainsi que par l’Université Paris Nanterre). Notons que cette dernière formation est accessible uniquement à un niveau Bac + 4.  

62 % des DPO en poste en 2021 étaient issus d’une formation supérieure, de niveau master ou doctorat, selon les chiffres de la CNIL.

Quid des certifications en 2 à 3 jours ?

À noter qu’un nombre toujours plus important de structures mettent en avant des formations DPO délivrées en 2 à 3 jours, de type MOOC ou e-learning. Il ne s’agit pas de formations certifiantes ! Leurs contenus sont là pour satisfaire la curiosité des professionnels intéressés, les aider à préparer une formation certifiante ou ajouter une ligne de connaissances sur leur CV, mais en aucun cas elles ne peuvent servir à décrocher un poste de Délégué à la protection des données.

Dans quel secteur travailler ?

Comme évoqué précédemment, les personnes aptes à exercer les fonctions de Délégué à la protection des données peuvent s’orienter aussi bien vers le secteur public que vers le secteur privé.

De nombreuses entreprises sont soumises à l’obligation de s’attacher les services d’un DPO, du fournisseur d’accès à Internet à la compagnie d’assurance, en passant par toutes les entités commerciales collectant les données personnelles de leurs clients.

Dans le contexte de multiplication des entreprises de nature à exploiter les données personnelles de leurs clients ou utilisateurs, et face à un recours toujours plus intense à ces données, les possibilités d’embauche sont nombreuses et sont destinées à augmenter de manière substantielle dans les années à venir.

Les entreprises qui recrutent

Parmi les entreprises susceptibles de recruter, il est conseillé de surveiller :

  • les enseignes de la grande distribution, notamment Monoprix, E. Leclerc ou Auchan ;
  • les assureurs tous secteurs confondus, notamment la Macif, AXA, la Matmut ou la MAAF ;
  • les banques, comme BNP Paribas, la Caisse d’Épargne ou Natixis ;
  • les opérateurs de téléphonie mobile et fournisseurs d’accès à internet comme Orange, Bouygues ou SFR ;
  • la Banque de France.

De nombreuses offres de poste de DPO sont régulièrement postées sur LinkedIn ou relayées par le portail de la Cnil. On peut également consulter les pages de :

  • Glassdoor
  • Monster.fr
  • ou Indeed.com.

Salaire et évolution de carrière

En France, le salaire moyen d’un DPO varie entre 2 500 et 5 670 euros bruts mensuels. La différence de salaire peut être importante :

  • selon la taille de l’entreprise et le secteur dans lequel elle exerce, si le DPO est rattaché à une structure privée ;
  • et selon le degré d’expérience et d’ancienneté.

Le Délégué à la protection des données souhaitant changer de poste au sein de la structure à laquelle il est rattaché peut facilement prétendre à des postes à couleur stratégique et/ou juridique. On voit notamment de nombreux DPO s’orienter vers des postes de Responsable des Questions européennes, de Conseiller stratégique pour l’utilisation des données ou de Directeur du Département informatique. L’accès à ces différents postes dépend bien entendu de la formation juridique ou technique initiale du candidat.

Il est également possible de postuler à un poste de Responsable de Projet big data, par exemple.

Les avantages et inconvénients

Pour Alexis O., il est évident que l’un des plus grands atouts du poste de Délégué à la protection des données est la polyvalence qu’il implique. « Sa situation, au croisement des champs technique, juridique et stratégique, est particulièrement enrichissant et formateur au quotidien. »

La polyvalence du poste est aussi, dans une certaine mesure, son inconvénient majeur. Il suppose une attitude de veille et donc de vigilance constante et une possibilité de devoir gérer des crises en cas de mauvaise gestion.

Parmi les avantages, on notera également la relative nouveauté du poste, qui ouvre de nombreuses perspectives en termes d’emploi et de stimulation intellectuelle.

« Le DPO est celui qui doit entraîner tout le monde dans la bonne direction, en matière de traitement des données, et assume une responsabilité cruciale là où de très nombreux acteurs sont impliqués »
Alexis O. - Délégue à la protection des données

En résumé

Quelles sont les missions du délégué à la protection des données ?

En résumé, le délégué à la protection des données assure une triple mission : contrôle, information et conseil. Il s’assure d’abord du respect des normes en vigueur au sujet de la protection des données, en cas de non-conformité, il préconise alors des actions rectificatives.

Quel est le salaire du délégué à la protection des données ?

Le salaire médian pour les délégués à la protection des données qui exercent en France est d’environ 49 000 euros annuels. Les postes de niveau débutant commencent avec un salaire environnant 30 000 euros par an, tandis que les travailleurs les plus expérimentés perçoivent jusqu’à 68 000 euros annuels.

Quel niveau d’étude pour devenir délégué à la protection des données ?

Pour faire carrière en tant que délégué à la protection des données, vous devrez justifier au minimum d’un diplôme en cursus informatique ou statistiques de niveau BAC + 3. Une spécialisation en Big Data est conseillée pour ce métier.

Quel bac choisir ?

Au lycée, nous vous conseillons de suivre un BAC général ou technologique et d’opter pour l’une des spécialités suivantes, mathématiques, sciences de l’ingénieur ou sciences informatiques.

Quelle formation pour devenir délégué à la protection des données ?

Pour devenir délégué à la protection des données, il est recommandé d’avoir un Bac +3 minimum dans les domaines de sécurité informatique, des statistiques ou du big data. Il est aussi possible de poursuivre ses études vers une formation spécialisée DPO.

Métiers proches de délégué à la protection des données

Continuez vos recherches autour des métiers de la cybersécurité :