Data Protection Officer, garant des données de l’entreprise

Métiers du digital

Data Protection Officer, garant des données de l’entreprise

La croissance des données exige de l’ordre et de la méthode pour garantir leur sécurité. Mais aussi le respect de la loi. C’est la mission du Data Protection Officer.

Data Protection Officer : un métier en plein essor

Le volume de données produites, collectées et stockées par les entreprises a augmenté de 16% en moyenne au cours des deux dernières années, et ce pourcentage devrait croître de 24 % supplémentaires au cours des deux prochaines années.

Une telle croissance exige de mettre en place de nouveaux métiers pour s’assurer la sécurisation des données. Et dans ce contexte, si la sécurité est importante, l’intégrité des données, c’est-à-dire leur conformité avec les besoins de l’entreprise et le cadre légal de chaque métier l’est tout autant.

Dans cette perspective, le Data Protection Officer (on parlera aussi de Data Protection Manager ou d’agent de protection des données) s’assure que le patrimoine informationnel de l’entreprise, c’est-à-dire les données et les logiciels, sont bien protégés et conformes aux règles métiers (le temps de conservation des données ne sera pas le même dans le monde de la banque ou de l’industrie, par exemple).

Charge à lui de mettre en œuvre les outils informatiques de protection des données et des applications. Ces outils évoluent régulièrement, mais les techniques de base de protection des données se résument à leur chiffrement via des clés spécifiques ou l’utilisation de valeur de substitution (les token).

L’action du Data Protection Officer porte également sur l’organisation de la sécurité. Les données sensibles seront par exemple placées dans un coffre fort virtuel. Il est de sa responsabilité de mettre en place ce coffre, de le sécuriser en permanence et de s’assurer que les actifs sensibles de l’entreprise sont dans le périmètre du coffre, et pas ailleurs. Un défi d’autant plus important que la croissance des usages mobiles renforce la dispersion des données.

À noter qu’en fonction de la taille de l’entreprise, le rôle de Data Protection Officer peut être attribué à une personne qui cumule plusieurs autres fonctions. La dimension sécurité de ce rôle le fera échoir généralement au RSSI et mais sa dimension “données” peut aussi le rendre disponible pour le Chief Data Officer.

« De nos recherches, nous avons constaté que la plupart du temps un DPO rapporte à la DSI, ou au RSSI, et parfois à la gestion des risques, mais jamais au juridique », analyse en complément Carsten Casper, du Gartner.

Ce rôle devient de plus en plus important du fait de la croissance des données, mais il n’est pas neuf. Le premier « Privacy officer » aurait vu le jour en Allemagne dans les années 1970. Puis en 1995, la directive européenne sur la protection des données va mieux encadrer cette fonction dans un but d’harmonisation. Une directive transposée en France en 2004 (Loi informatique et libertés du 06/01/1978 modifiée le 6 août 2004), et qui mentionne que ce rôle est facultatif, contrairement à des pays tels que l’Allemagne ou la Hongrie.

En France, les correspondants CIL (Correspondants Informatique et Libertés) dont les missions sont définies dans cette directive peuvent donc aussi jouer ce rôle de DPO.

En 2013, près de 11 000 organismes (de la PMI au grand groupe) avaient désigné des correspondants informatique et libertés en France, et l’on comptait à l’époque 3 500 CIL en activité, avec un profil juridique ou informatique.

Études / Formation

Un Master semble la voie la plus classique pour prendre la casquette de Data Protection Officer. Il pourra s’agir d’un master informatique avec une spécialisation en cryptologie et sécurité informatique, ou encore d’un master sécurité des systèmes informatiques.

Par ailleurs, les diplômes d’ingénieurs en informatique doublés d’un formation juridique peuvent ouvrir la voie vers ce métier.

Infographie : Data Protection Officer, superviseur des données de l’entreprise

LNS_ABILWAYS-13 (1)

En chiffres

Début 2013, 22 % des entreprises de plus de 500 salariés en France avaient déjà mis en place un poste de Data Protection Officer, selon l’Observatoire IDC.

Ils l’ont dit

Jean-Pierre Rémy, CIL (Correspondant Informatique et Libertés) et Administrateur AFCDP – Secteur Banque :

La fonction de CIL est nouvelle et largement à construire par la pratique. De plus, le Correspondant est seul au sein de son organisme. Il est donc indispensable de pouvoir rencontrer des « collègues » confrontés à la même réalité professionnelle pour mettre en commun nos pratiques et nos réflexions. En un mot de nous enrichir de l’expérience des autres.

Les job profiles à suivre

Pour aller plus loin