Métiers du digital
08/07/2015

Data protection officer, garant des données de l’entreprise

La croissance des données exige de l’ordre et de la méthode pour garantir leur sécurité. Mais aussi le respect de la loi. C’est la mission du Data Protection Officer.

DATA PROTECTION OFFICER : UN MÉTIER EN PLEIN ESSOR

Le volume de données produites, collectées et stockées par les entreprises a augmenté de 16% en moyenne au cours des deux dernières années, et ce pourcentage devrait croître de 24 % supplémentaires au cours des deux prochaines années.

Une telle croissance exige de mettre en place de nouveaux métiers pour s’assurer la sécurisation des données. Et dans ce contexte, si la sécurité est importante, l’intégrité des données, c’est-à-dire leur conformité avec les besoins de l’entreprise et le cadre légal de chaque métier l’est tout autant.

Dans cette perspective, le Data Protection Officer (on parlera aussi de Data Protection Manager ou d’agent de protection des données) s’assure que le patrimoine informationnel de l’entreprise, c’est-à-dire les données et les logiciels, sont bien protégés et conformes aux règles métiers (le temps de conservation des données ne sera pas le même dans le monde de la banque ou de l’industrie, par exemple).

Charge à lui de mettre en œuvre les outils informatiques de protection des données et des applications. Ces outils évoluent régulièrement, mais les techniques de base de protection des données se résument à leur chiffrement via des clés spécifiques ou l’utilisation de valeur de substitution (les token).

L’action du Data Protection Officer porte également sur l’organisation de la sécurité. Les données sensibles seront par exemple placées dans un coffre fort virtuel. Il est de sa responsabilité de mettre en place ce coffre, de le sécuriser en permanence et de s’assurer que les actifs sensibles de l’entreprise sont dans le périmètre du coffre, et pas ailleurs. Un défi d’autant plus important que la croissance des usages mobiles renforce la dispersion des données.

À noter qu’en fonction de la taille de l’entreprise, le rôle de Data Protection Officer peut être attribué à une personne qui cumule plusieurs autres fonctions. La dimension sécurité de ce rôle le fera échoir généralement au RSSI et mais sa dimension “données” peut aussi le rendre disponible pour le Chief Data Officer.

« De nos recherches, nous avons constaté que la plupart du temps un DPO rapporte à la DSI, ou au RSSI, et parfois à la gestion des risques, mais jamais au juridique », analyse en complément Carsten Casper, du Gartner.

Ce rôle devient de plus en plus important du fait de la croissance des données, mais il n’est pas neuf. Le premier « Privacy officer » aurait vu le jour en Allemagne dans les années 1970. Puis en 1995, la directive européenne sur la protection des données va mieux encadrer cette fonction dans un but d’harmonisation. Une directive transposée en France en 2004 (Loi informatique et libertés du 06/01/1978 modifiée le 6 août 2004), et qui mentionne que ce rôle est facultatif, contrairement à des pays tels que l’Allemagne ou la Hongrie.

En France, les correspondants CIL (Correspondants Informatique et Libertés) dont les missions sont définies dans cette directive peuvent donc aussi jouer ce rôle de DPO.

En 2013, près de 11 000 organismes (de la PMI au grand groupe) avaient désigné des correspondants informatique et libertés en France, et l’on comptait à l’époque 3 500 CIL en activité, avec un profil juridique ou informatique.

ÉTUDES / FORMATION

Un Master semble la voie la plus classique pour prendre la casquette de Data Protection Officer. Il pourra s’agir d’un master informatique avec une spécialisation en cryptologie et sécurité informatique, ou encore d’un master sécurité des systèmes informatiques.

Par ailleurs, les diplômes d’ingénieurs en informatique doublés d’un formation juridique peuvent ouvrir la voie vers ce métier.

INFOGRAPHIE : DATA PROTECTION OFFICER, SUPERVISEUR DES DONNÉES DE L’ENTREPRISE

Data Protection Officer

EN CHIFFRES

Début 2013, 22 % des entreprises de plus de 500 salariés en France avaient déjà mis en place un poste de Data Protection Officer, selon l’Observatoire IDC.

ILS L’ONT DIT

Jean-Pierre Rémy, CIL (Correspondant Informatique et Libertés) et Administrateur AFCDP – Secteur Banque :

La fonction de CIL est nouvelle et largement à construire par la pratique. De plus, le Correspondant est seul au sein de son organisme. Il est donc indispensable de pouvoir rencontrer des « collègues » confrontés à la même réalité professionnelle pour mettre en commun nos pratiques et nos réflexions. En un mot de nous enrichir de l’expérience des autres.

LES JOB PROFILES À SUIVRE

POUR ALLER PLUS LOIN

Nos derniers articles

19/11/2018
People

Les méthodes des intrapreneurs pour activer une croissance ultra-rapide

Pourquoi développer l'intrapreneuriat devient un enjeu vital d'innovation et de transformation pour les grandes organisations ? Comment dépasser les obstacles qui freinent...
19/11/2018
Tendances & Actualités

Zoom sur 4,2 milliards d'internautes dans le monde

Nous sommes 4,2 milliards d'internautes dans le monde : les conclusions du rapport Digital, Social et Mobile. Alors que la pénétration des téléphones mobiles stagne, Internet continue de séduire...
19/11/2018
Tendances & Actualités

IRL Glasses : des lunettes pour bloquer les écrans publicitaires

Lorsque nous ne sommes pas devant nos téléphones portables ou nos ordinateurs, nous sommes de plus en plus envahis par l’omniprésence des écrans diffusant des publicités...