Recrutement d’un DPO groupe en 2018, enjeu politique et budgétaire ?
Le règlement européen régissant la protection des données (RGPD) est au coeur de toutes les conversations en ce début d’année pour les entreprises françaises puisqu’il entrera en vigueur le 25 mai 2018.
Au-delà de l’abolition du système déclaratif, de la mise en conformité des règles au niveau européen et du renforcement de la charge de la preuve pesant sur les entreprises, ce règlement rend obligatoire la nomination d’un délégué à la protection des données personnelles (DPO pour Data Privacy Officer) pour toutes les entreprises et les administrations qui utilisent des données à caractère personnel. Chef d’orchestre interne, le DPO aura accès à des informations très confidentielles et il exercera une mission d’information, de conseil et de contrôle. Service juridique, conformité, ou DSI… nombreux sont ceux qui veulent s’emparer de ce sujet hautement stratégique et en faire leur enjeu.
Un profil hybride
Jusqu’à présent, l’obligation était déclarative et administrative auprès de la CNIL. Le rôle de déclarant n’était pas défi ni et pouvait être endossé par de nombreuses fonctions au sein des organisations (juridique, compliance, DSI…) sans réelle politique groupe et par opportunité de moyen.
Obligation contraignante pour les entreprises, l’édification de la fonction de DPO en rôle clé pour les groupes suscite des vocations ou des ambitions pour les candidats.
Une vocation
Certains opérationnels, principalement des juristes, ont pris le parti de se professionnaliser en amont auprès d’organisme tels que l’IAPP (International Association of Privacy Professionals), l’université de Nanterre, ou encore l’université Panthéon-Assas. Cependant, ces derniers restent peu nombreux dans un marché où les principaux concernés au sein des groupes ont endossé de fait le rôle et sont montés en compétences sur le tard.
Une ambition
Au sein des groupes français d’une certaine envergure, le DPO reportera au top management : il occupera donc une place très délicate, son sujet relevant de la stratégie globale. Entre expertise, pédagogie et pragmatisme, son rôle sera des plus transverses (il sera en interaction avec tous les services) et il aura pour missions de former, de conseiller et de faire des recommandations sur la conformité des traitements des données personnelles. Aussi sa nomination est un sujet éminemment politique qui ne se traduira pas nécessairement par une prime à la compétence mais plus par une récompense ou une volonté de mettre en avant un membre de la Direction.
Une obligation
Cette obligation se traduit par deux types de réponses : la nomination en interne ou le recrutement en externe. Concernant la nomination en interne, en fonction de la maturité des groupes, elle peut être attribuée soit à une personne stratégique au sein de l’organisation (par exemple un membre du CODIR ou du COMEX), soit à un profil plus junior pour un traitement de la fonction de manière plus administrative et moins centrale. Quant au recrutement en externe, les deux typologies de profi ls peuvent être recherchées (expert ou junior) en fonction de la maturité du groupe. Quel que soit le profil choisi par le groupe, la réactivité est au coeur des recrutements. En effet, les candidats, très sollicités, veillent à la rapidité des processus de recrutement, gage d’un poste plus exposé. Selon une étude Umanis publiée le 6 juin 2017, 2/3 des entreprises ne seraient pas prêtes pour se conformer au règlement RGPD en mai 2018. Aussi, quelle que soit la solution envisagée, les entreprises vont devoir faire de la nomination du DPO une priorité en 2018, d’autant que les nominations tardives pousseront les DPO à écouter les sirènes de groupes plus réactifs.