Certifier ses compétences sur la protection des données, un atout carrière devenu impératif pour les entreprises ?

Décryptages
Outils
TAILLE DU TEXTE

L’International Association of Privacy Professionals (IAPP) est la plus grande communauté internationale de professionnels de la protection des données. Les missions de cette association à but non lucratif sont multiples : organisation de conférences mondiales, recherches approfondies, formation, certification et networking de professionnels de la protection des données.

iappQuatre membres organisateurs et utilisateurs de ce réseau de haut niveau reviennent sur la place du sujet de la protection des données en 2020 dans les métiers du droit et les entreprises, mais également sur son impact sur les carrières des professionnels.

« Le sujet de la protection des données n’est pas un sujet nouveau » rappelle fort justement Aurélie Banck en introduction. « La loi en France date de 1978. Par contre, le RGPD a fait sortir ce sujet un peu confidentiel du périmètre des directions juridiques, de par la nécessité de mettre en place des programmes transverses incluant des mesures techniques et organisationnelles.»

Un sujet transversal

Les compétences du DPO reflètent d’ailleurs cette exigence de transversalité. Dès lors, les directions juridiques n’ont plus le monopole de la protection des données en entreprise ; d’ailleurs en qualité de DPO, je ne suis pas rattachée à la Direction juridique. D’un point de vue strictement légal, il s’agit d’un domaine à traiter comme un autre - d’un point de vue organisationnel, en fonction de la gouvernance de la data mise en place dans l’entreprise, la Direction juridique devra collaborer avec de nombreux acteurs.

Yann Padova, associé chez Baker & McKenzie (Paris) en charge de la protection des données, souligne que « la transformation digitale des entreprises passe de plus en plus par une appropriation de leurs données et la volonté de les exploiter au mieux s’agissant des données clients, et de les protéger au mieux s’agissant des données salariés. Cette matière est donc transversale par définition, puisque tant la RH, que les équipes marketing ou la communication, la DSI traitent des données personnelles. Notre conseil, par voie de conséquence, doit être aussi transversal et pluridisciplinaire. A notre niveau, cela nous amène à travailler de plus en plus étroitement avec d’autres départements de Baker, comme celui du droit social, du contentieux, le MNA et le fiscal.»

Un domaine du droit différent et stimulant !

Le sujet justifie donc une nouvelle approche en entreprise comme en cabinet d’avocats, comme le confirme Fabrice Naftalski : « C’est un domaine du droit différent et stimulant pour les juristes car la pertinence du conseil implique une compréhension fine des process opérationnels de son client, ce qui conduit l’avocat à interagir avec les directions métiers et fonctionnelles de l’organisation.»

Par exemple, la réalisation d’une étude d’impact sur l’utilisation de dispositifs connectés à des fins médicales est un travail pluridisciplinaire impliquant de discuter avec les professionnels de santé pour comprendre la finalité du traitement, les données nécessaires au traitement, les risques du traitement pour les patients mais aussi avec la DSI pour comprendre les mesures de sécurité déployées pour protéger notamment les données sensibles.

L’avocat doit sortir de sa « zone de confort » pour intégrer à sa pratique les enjeux de gouvernance, la dimension gestion de projet, l’analyse de process et technologies tout en suivant étroitement la doctrine des autorités de protection des données et la jurisprudence européenne en matière de droits fondamentaux.

On le voit, la protection des données demande nécessairement des pratiques collaboratives, le recours à des experts dans chaque métier, mais aussi des professionnels "connecteurs", expérimentés et qualifiés pour être à même d’intégrer à la fois les aspects juridiques mais aussi managériaux.

La protection des données pousse t-elle à la spécialisation ?

En termes d’évolution professionnelle et de compétences, il y a consensus sur la nécessité de la spécialisation des professionnels de la protection des données. Paul Jordan nous explique ainsi que "au fur et à mesure notamment que la loi sur la protection des données devient de plus en plus « mainstream », la protection des données est un domaine pour lequel la certification professionnelle et la validation d’une spécialisation sont de plus en plus demandées.
Cela s’explique aisément par les bouleversements de grande ampleur qu’amène la nouvelle réglementation de l’UE – RGPD et bientôt la nouvelle “directive sur la vie privée et les communication électroniques”.

Ajoutez à cela une mondialisation accrue et une économie numérique en constante augmentation, et vous obtenez tous les ingrédients qui rendent la spécialisation nécessaire.
Les données à caractère personnel, et le droit à la vie privée, sont les principaux moteurs de ces développements réglementaires, tant au niveau national qu’européen. Il existe, hors-UE, une tendance généralisée à amender les législations existantes relatives à la protection pour les adapter à l’ère moderne. Partout dans le monde, le niveau d’exposition au risque pour les organisations traitant des données personnelles a décuplé, c’est pourquoi celles-ci se trouvent dans l’obligation de revoir leurs stratégies d’entreprises afin d’intégrer pleinement ces nouvelles contraintes légales. C’est donc la volonté par les entreprises d’être à la fois conformes et compétitives qui a généré un besoin accru en expertise juridique certifiée.

Yann Padova insiste sur la dimension internationale du sujet : « une certification internationalement reconnue (comme celle délivrée par l’IAPP) devient indispensable, et c’est un plus irremplaçable pour la mobilité professionnelle, l’employabilité dans des groupes internationaux. C’est la garantie d’un niveau, d’une formation continue et de l’accès à un réseau et des services internationaux ». Aurélie Banck ajoute à cela l’importance dans ce cadre « d’appartenir à une communauté de professionnels, ce qui facilite les échanges » et Fabrice Naftalski souligne pour sa part « le niveau de garantie apportée par la certification sur la maitrise des compétences dans un domaine où l’offre de formation s’est développée assez récemment", donc pour lequel peu de professionnels ont eu une formation initiale. C’est une mise à jour d’importance qui est requise !

La certification sur la protection des données personnelle peut-elle devenir un atout "carrière" ?

En terme plus personnel, « la certification IAPP est une certification très reconnue notamment par les recruteurs anglo-saxons » d’après l’expérience d’Aurélie Banc. "Je crois même qu’il y a une étude aux Etats Unis démontrant que les professionnels de la protection des données certifiés IAPP voient leurs revenus augmenter (ce n’est malheureusement pas encore le cas en France).

 « La certification IAPP est une certification très reconnue notamment par les recruteurs anglo-saxons »

« Je suis pour ma part certifiée CIPP/E et CIPM : le 1er volet porte sur la réglementation européenne et le second sur l’aspect management : cette double approche est très intéressante : vous pouvez acquérir la connaissance de la réglementation en étudiant les textes ou dans le cadre d’une formation initiale à la faculté, mais la seconde partie relative à la gestion d’un programme est plus pratique et porte vraiment sur l’exercice du métier de DPO.» 

Paul Jordan exhorte les professionnels à considérer la certification comme un moyen efficace de mettre à jour leurs connaissances existantes et, par extension, d’apporter une valeur ajoutée à leur carrière, dans la mesure où les réglementations et leurs pratiques sont en constante évolution.

La certification professionnelle, en particulier lorsqu’elle est accréditée ISO, a vocation à rester continuellement à jour à mesure que le paysage réglementaire évolue. C’est pour cela que je recommande d’obtenir sa certification auprès d’une organisation reconnue et continuellement à jour. Elle doit idéalement être indépendante, auditée annuellement (exigences ISO) et en mesure de démontrer une excellente expérience à la fois en préparation et en certification dans le domaine.

La certification représente aussi un engagement envers la profession que l’on choisit. Souvent, c’est une première étape à laquelle se succèdent ensuite la formation continue et l’interaction avec une communauté de professionnels partageant les mêmes centres d’intérêt. Intégrer un tel réseau est essentiel à l’apprentissage continu, dont la certification professionnelle demeure le principal pilier."

Fabrice Naftalski confirme que « la « certification IAPP » est aujourd’hui un standard international, autrement dit la plus reconnue sur le marché par les professionnels de la protection des données compte tenu du rayonnement de l’IAPP à l’international et des investissements massifs et qualitatifs de cette organisation ces vingt dernières années dans des programme de formation et de certification adaptés aux différentes parties prenantes.

Les certifications IAPP sont ainsi souvent exigées dans le cadre des recrutements de privacy officers aux Etats Unis mais aussi de plus en plus en Europe et en Asie. Nous l’imposons aussi à nos équipes à partir d’un certain niveau de séniorité au sein de notre réseau d’avocats et certains de nos clients impose le CIPPE à l’ensemble de leurs directeurs juridiques en Europe continentale.» 

A signaler sur ce sujet :

L’IAPP propose quatre conférences sur la protection des données (DPI - Data Protection Intensive). Choisissez parmi plusieurs dates, lieux et langues. Chaque événement offre un regard approfondi sur les aspects pratiques et opérationnels de la protection des données, y compris les tactiques et les méthodes que vous pouvez mettre en œuvre immédiatement.
https://iapp.org/conference/dpi-series/


Lex Inside - L’actualité juridique - Émission du 15 novembre 2024 :

Lex Inside - L’actualité juridique - Émission du 13 novembre 2024 :

Lex Inside - L’actualité juridique - Émission du 8 novembre 2024 :