Par rapport à la loi « informatique et libertés » du 6 janvier 1978, le règlement européen sur la protection des données (RGPD) opère de nombreux changements de paradigmes. Il en est notamment ainsi de la désignation obligatoire d’un délégué à la protection des données/data protection officer (DPO) dans de nombreux cas (par exemple traitement « à grande échelle » de données sensibles : origine ethnique, santé, orientations sexuelles, données biométriques…).
Successeur du correspondant informatique et libertés (CIL), fonction créée en 2004 en France, les DPO sont les nouveaux stratèges chargés de définir et de mettre en œuvre la politique de conformité de protection des données personnelles (DP) au sein des structures qui les ont nommées. La non-conformité peut coûter à l’entreprise de 2 % à 4 % de son chiffre d’affaires mondial. Suite à une appréciation fine des risques, un DPO peut être amené à déconseiller au management de son organisation la mise en œuvre d’un traitement de DP qu’il estime, en conscience, contraire aux exigences du RGPD.
Selon, la CNIL 80 000 entreprises et organismes publics doivent désigner un DPO depuis l’entrée en vigueur du RGPD contre 18 000 auparavant. Or les organisations peinent aujourd’hui à trouver des DPO. Ainsi selon Albine Vincent, responsable du service des CIL de la CNIL, au 3 mai 2018, seuls 3 050 DPO avaient été dûment enregistrés. Les DPO expérimentés sont devenus des ressources humaines rares de plus en plus « chassés » ce qui fait « flamber » la rémunération de l’ensemble de cette profession.
Face à cette pénurie, non clairement anticipée par les pouvoirs publics et les organisations, la formation de nouveaux professionnels s’impose comme une évidence. Dès lors, comment former les DPO dont les organisations ont grandement besoin ? l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), association professionnelle de référence, privilégie à juste titre les formations longues (certifiantes ou diplômantes). Pourquoi ?
« Imaginons l’inquiétude d’un patient sur le point d’entrer au bloc opératoire et qui apprendrait incidemment que le chirurgien qui va l’opérer n’a suivi que trois jours de formation… Avec le niveau de sanction prévu par le RGPD, ce pourrait être le sentiment d’un chef d’entreprise, d’un responsable de traitement, qui met sa sécurité juridique et sa sérénité entre les mains de son DPO » (Bruno Rasle, DPO : la fin des autodidactes ?).
Parce que nous avons aussi la conviction – depuis longtemps – que le métier de DPO nécessite une formation exigeante, nécessairement « longue », nous avons créé, au sein de l’Institut Mines-Télécom Business School, un programme intitulé Data Protection Management (DPM) qui est accrédité par la CGE en tant que Mastère Spécialisé®.
Ce programme de haut niveau a pour objectif non seulement de former les participants à devenir DPO mais aussi de leur permettre d’évoluer ensuite vers d’autres postes en matière de gouvernance des données (Chief Data Officer…). La formation d’une durée d’un an compte 356 heures de cours et exige la rédaction d’une thèse professionnelle. Elle est en alternance, au rythme de trois semaines en entreprise et une semaine à l’école. Elle est ouverte à tous les profils, des juristes aux ingénieurs en passant par les diplômés de filière de commerce ou gestion. Outre l’acquisition de très solides connaissances en droit des DP, sécurité du numérique, cette formation pluridisciplinaire mise également sur l’acquisition de compétences managériales. Le MS DPM se singularise par la mise en place d’un module dénommé « clinique du DPO ». Ce dispositif pédagogique se propose d’informer gratuitement les organisations sur leurs obligations afin de faciliter leur conformité au RGPD. Ce faisant cette clinique s’inscrit pleinement dans la formation de nos étudiants par une mise en situation pratique réelle leur permettant de mettre leurs savoirs et compétences au service des acteurs économiques.
Xavier Strubel
Professeur
Institut Mines-Telecom Business School
A propos de Xavier Strubel
Xavier Strubel, docteur habilité à diriger des recherches (HDR) en droit privé, est professeur à l’Institut Mines-Telecom Business School (IMT-BS). Il a créé et dirige le Mastère Spécialisé® Data Protection Management (MS DPM). Il a été doyen du corps professoral et directeur du département Droit, Economie et Finances (DEFI) d’IMT-BS.
Ses enseignements, recherches et publications portent principalement sur le droit du numérique et le droit d’auteur.
A propos d’Institut Mines-Télécom Business School
École publique et socialement inclusive, proche des écoles d’ingénieurs, Institut Mines-Télécom Business School forme des managers et des entrepreneurs responsables, innovants et ouverts sur le monde, qui guideront les organisations dans les transitions au cœur de la société de demain : numérique, énergétique et écologique, économique et industrielle. Forte de la pertinence de sa recherche et de ses formations, de son soutien à l’innovation et à l’entrepreneuriat, de sa proximité avec les entreprises et de son ancrage dans son territoire, Institut Mines-Télécom Business School tend vers l’excellence pour contribuer au développement économique national et local et à la création de valeur pour toutes ses parties prenantes. Elle partage son campus avec sa jumelle ingénieure Télécom SudParis, également membre de l’IMT. L’école compte 1500 étudiants, figure chaque année au classement des meilleures business schools françaises et européennes, et est accréditée AACSB et AMBA.
