Juriste RGPD : Rôle, missions et formation

24/7/2023
⚙️ Mise en oeuvre

Avec l’explosion de la circulation des données et de la numérisation de la société, de nouveaux métiers se sont développé. L’entrée en vigueur du Règlement général sur la protection des données (RGPD) n’a fait accélérer ce processus. Pour rappel, le RGPD a introduit de nouvelles obligations en matière de protection des données personnelles pour les entreprises.

Pour répondre à ces nouveaux challenges, le métier de juriste a beaucoup évolué au regard de la demande toujours plus forte des entreprises de s’équiper de conseils en matière de protection des données personnelles. Dans ce contexte, le métier de juriste RGPD, ou juriste spécialisé en protection des données personnelles, a pris une importance considérable. Qu'il s'agisse de conformité aux réglementations ou de conseil en matière de protection des données, le juriste RGPD est incontournable.

Dans cet article nous allons nous intéresser :

  • Au métier de juriste en protection des données personnelles : son rôle et ses missions,
  • Aux compétences nécessaires à l’exercice du métier de juriste RGPD,
  • Aux formations recommandées pour devenir juriste RGPD,
  • Et enfin, aux raisons pour les entreprises de recruter un juriste en protection des données personnelles.

1- Juriste RGPD : quel est son rôle ?

Le juriste RGPD est professionnel du droit agissant en qualité de référent en matière de protection des données personnelles.

Un rôle de référent en matière de protection des données personnelles

Selon l’organisation de l’organisme, le juriste RGPD peut être rattaché à la direction des affaires générales, à la direction des risques ou encore à une direction juridique spécialisée dans la Data Protection. En tout état de cause, le juriste RGPD occupe un rôle essentiel dans le dispositif de gestion des risques et dans la mise en conformité des traitements de l’organisme pour lequel il exerce.

Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, pseudonymisation, destruction etc. Concrètement, un  traitement est tout ce qui peut possiblement être fait sur une donnée personnelle (article 4 RGPD). Par ailleurs, une donnée personnelles est toute informations directe ou indirecte se rapportant à une personne physique identifiable. Par exemple le nom, le prénom mais également le numéro de sécurité social, l’adresse IP etc.

Il peut aussi bien exercer au sein d’une entreprise privée (depuis les PME jusqu’aux grands groupes internationaux) qu’au sein d’un organisme public (hôpital, Urssaf, Pôle Emploi, ministères etc.).

Dans tous les cas, en tant que référent RGPD, l’un des rôles du juriste en protection des données personnelles est d’accompagner l’ensemble des services concernés et de se rapprocher des sous-traitants pour toute question relative à la protection des données personnelles.

Son rôle est essentielle avant même la mise en oeuvre de tout traitement de données personnelles, avant même le lancement de l’activité, pour une raison simple : le Privacy By Design. C’est un grand fondateur du RGPD qui signifie que la protection des données personnelles se réfléchi et se met en place avant le lancement de toute activité. Autrement dit, il s’agit pour le Juriste RGPD de conseiller les équipes sur la protection de la vie privée dès la conception de la stratégie de développement et dès la phase de conception.

Ensuite, le Juriste RGPD est chargée de conseiller sur tous les aspects de la mise en conformité au RGPD :

  1. Conseiller et sensibiliser l'ensemble des services de l'entreprise sur les obligations et les bonnes pratiques en matière de protection des données personnelles.
  2. Élaborer et mettre en œuvre les politiques de protection des données conformément aux exigences du RGPD.
  3. Surveiller les activités de traitement des données personnelles au sein de l'organisation et s'assurer de leur conformité aux exigences légales.
  4. Gérer les demandes d'exercice des droits des individus (droit d'accès, de rectification, d'effacement, etc.) et coordonner les actions nécessaires pour y répondre.
  5. Assurer une veille juridique constante pour se tenir informé des évolutions du droit de la protection des données et adapter les pratiques de l'entreprise en conséquence.
  6. Collaborer avec les responsables de la sécurité des systèmes d'information (RSSI) pour garantir la sécurité des données personnelles et prévenir les violations de données.
  7. Assurer la liaison avec les autorités de protection des données, comme la CNIL, et coopérer avec elles en cas de contrôle ou d'investigation.

Juriste RGPD : peut-il être DPO ?

Un Data Protection Officer (DPO) ou Délégué à la Protection des Données en français, est une personne au sein d'une organisation qui est chargée de veiller à la conformité de cette organisation avec les lois et réglementations concernant la protection des données. Le rôle du DPO a été formalisé et rendu obligatoire pour certaines organisations par le RGPD (article 37 RGPD).

Quelle différence entre un Juriste RGPD et un DPO ? Il s’agit avant tout d’un titre de poste qui est différent. En pratique, le juriste en protection des données personnelles est tout à fait qualifié pour occuper la fonction de DPO, voir il est la personne la plus qualifié pour occuper ce post. En effet, si vous choisissez de nommer un DPO interne, il est très fortement recommandé de désigner une personne formée aux sujets de la protection des données personnelles.

La seule limite juridique à la nomination du data protection officer consiste à ne pas nommer une personne en situation de conflit d'intérêt. Il est notamment exigé par le RGPD que le DPO ne cumule pas ce poste avec une fonction dirigeante tel qu’un responsable marketing, de DRH, de DSI, CTO, CEO. À l’inverse, la fonction de DPO est parfaitement compatible avec la fonction de Juriste RGPD car il dispose du recul nécessaire pour émettre des avis en toute neutralité.

Néanmoins, dans des plus grandes organisations, il est assez courant que le DPO soit le chef d’orchestre de la protection des données et qu’il soit entouré qu’une équipe composée de Juriste RGPD.

2- Quelles sont les missions du juriste RGPD ?

Afin d'accompagner les entreprises sur les questions liées au RGPD, le juriste en données personnelles assure différentes missions essentielles.

Assurer le conseil RGPD

Le juriste RGPD conseille toutes les équipes opérationnelles (marketing, RH, informatique, opérations…) en matière de protection des données personnelles. Il a une casquette d’expert et de conseiller sur toutes les questions liées au RGPD.

Il accompagne les responsables de traitement dans la réalisation des projets ainsi que dans leurs activités quotidiennes afin de s'assurer de leur conformité avec la réglementation.

Pour rappel, le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle. Le sous-traitant est la personne ou l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement. ⚠️ Le plus souvent, un organisme cumule plusieurs casquettes : responsable de traitement et sous-traitant.

Le juriste RGPD sensibilise les collaborateurs sur les différentes notions du RGPD, sur toutes les questions juridiques liées à l’exploitation de données personnelles, ainsi que sur l'impact du RGPD sur leurs métiers. Il peut également mettre en place et assurer des formations RGPD à destination des responsables de traitement mais aussi des collaborateurs afin de les sensibiliser à certaines notions clé (traitement des mails,  gestion des mots de passe, la pseudonymisation des données, l’anonymisation des données etc.).

⚠️ Le juriste RGPD n’est pas responsable de la conformité RGPD de l’organisme. Ce sont bien les responsables du traitement et les sous-traitants qui endossent cette responsabilité. Sa mission consiste à informer et conseiller.

Vérifier la conformité RGPD des outils et des sites web

Le juriste RGPD assiste les responsables de traitement dans leur choix d’outils ainsi que dans la mise en conformité de ces outils ou plus largement sur les outils conformes au RGPD by design.

Par exemple, un juriste en protection des données pourra conseiller au responsable e-commerce d’utiliser l’outil Matomo (une fois mis en conformité) pour analyser la performance du site web, plutôt que l’outil Google Analytics. Comme nous l’avons indiqué, le juriste RGPD doit être sollicité dès le démarrage des projets afin de réaliser, le cas échéant, une analyse d’impact.

Les personnes concernées doivent être informées de l’utilisation de leurs données. La rédaction des informations légales, par exemple la page “confidentialité” du site web, la sélection d’un outil pour récolter les consentements via les cookies, peut-être confiée au juriste RGPD.

Rédiger les documents contractuels

Le juriste RGPD est chargé de rédiger et de réviser les différents documents contractuels tels que les :

  • Les Data Processing Agreement (DPA) : contrats régissant les relations entre les responsables du traitement et les sous-traitants qui traitent leurs données,
  • Les clauses contractuelles types (CCT) RGPD : modèles de contrats de transfert de données personnelles adoptés par la Commission européenne,
  • Les clauses RGPD dans le contrat de travail : les employeurs ont une obligation d’information auprès de leurs salariés concernant le traitement de leurs données personnelles,
  • Etc.

Le juriste en protection des données endosse une responsabilité en matière contractuelle puisqu’il est chargé de la préparation, de la vérification, ainsi que de la sécurisation des contrats.

Prioriser les actions de conformité

En collaboration avec le responsable de traitement, le juriste RGPD cartographie les données personnelles que traite l’organisation et définit les actions prioritaires.

Il définit les moyens d’actions permettant le respect de la réglementation sur la protection des données personnelles.

Lorsque le juriste RGPD détecte un risque pour la protection des données personnelle, il peut engager une analyse d’impact. A l’issue, selon ses conclusions, il indique les actions à engager pour leur mise en conformité.

Mettre à jour et maintenir les registres de traitements

Le juriste RGPD peut être chargé de la mise à jour systématique de la documentation obligatoire, notamment le registre de traitement des données. Attention toutefois, les registre des traitements doivent être tenus avec les responsables de traitement. Ce sont ces derniers qui en restent responsables, pas le juriste.

Le juriste en protection des données organise les processus internes de manière à garantir leur conformité avec la législation sur la protection des données en général et sur le RGPD en particulier.

3- Quelle formation pour devenir juriste en protection des données personnelles ?

Les compétences attendues d’un juriste RGPD

Un juriste RGPD doit avoir une double compétence :

  • en droit du numérique,
  • en culture informatique.

Pour mener à bien ses missions et assurer son rôle de référent en matière de protection personnelle, le juriste RGPD doit également disposer de bonnes notions de cybersécurité. Bien entendu, il maîtrise la réglementation sur la protection des données, ainsi que les techniques afférentes (anonymisation, pseudonymisation etc.).

Pour se voir confier le pilotage de la conformité au RGPD, vous devez être à minima titulaire d’un Master II en droit. Le plus souvent, les juristes RGPD ont reçu soit une formation spécialisée en droit du numérique, soit en propriété intellectuelle qui est un sujet assez connexe. Mais ce qui compte pour ce type de profil est de pouvoir allier à la fois des compétences informatiques et juridiques. Certaines formations se développent en ce sens pour répondre au besoin urgent des organismes.

Les filières pour devenir juriste RGPD

Les filières de formation ont bien compris l’enjeu de former des professionnels capables de relever les challenges posés par l’évolution de la réglementation sur la protection des données personnelles.

Parmi les formations permettant d’exercer en tant que juriste RGPD, le master en droit numérique est l’un des mieux adaptés.

En effet, le master en droit du numérique affiche pour objectif de former les titulaires à la maîtrise des différents enjeux juridiques de la société numérique. Cela implique une maîtrise du RGPD mais aussi des enjeux de  la cybersécurité, de l’open data etc. Les titulaires d’un master en droit numérique sont formés pour traiter toutes les questions de droit relatives aux NTIC (nouvelles technologies de l’information) et évoluer dans un environnement réglementaire à la fois complexe et très évolutif.

Dans certaines universités, le master en droit numérique peut être suivi en alternance (contrat d’apprentissage ou de professionnalisation) afin de compléter le cursus théorique de périodes d’apprentissage pratique en entreprise.

Pour choisir le meilleur master en droit du numérique, retrouvez le classement EDUNIVERSAL. Il s’agit d’un système de classement français évaluant la qualité individuelle de chaque formation. Voici le classement EDUNIVERSAL des meilleurs masters Droit du numérique (en 2023) :

  1. Master 2 Droit des Activités Spatiales et des Télécommunications (M2 DAST) à l’université Paris-Saclay,
  2. Master 2 Droit de la Création et du Numérique à Université Paris 1 Panthéon-Sorbonne,
  3. Master 2 Droit du Commerce Électronique et de l'Economie Numérique à l’Université Paris 1 Panthéon-Sorbonne,
  4. Mastère 2 Droit et Pratique des Affaires - Majeure Droit du Numérique et Propriété Intellectuelle à l’HEAD - Hautes Études Appliquées du Droit,
  5. Master Droit du Numérique, parcours Droit de l'internet, des entreprises innovantes et des créations numériques à l’Université de Caen Normandie.

4- Pourquoi recruter un juriste RGPD?

Nous avons déjà évoqué nombre de ces raisons qui devraient inciter les entreprises à recruter un juriste RGPD.

A travers ses différentes missions, pilotage de la conformité et accompagnement des différents acteurs concernés, le juriste RGPD :

  • Contribue à diffuser une culture de la protection des données ainsi que les bonnes pratiques,
  • Aide les entreprises à appliquer le RGPD à tous les niveaux et au sein des différents services concernés (RH, marketing, DSI etc.) : processus, contrats, tenue de la documentation obligatoire …
  • Protège les entreprises des sanctions pour non-respect du RGPD : les organisations qui appliquent mal (voire pas) le RGPD s’exposent à des sanctions pouvant être très lourdes (jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros). L’intervention d’un expert en protection des données personnelles est indispensable pour éviter de commettre des erreurs qui pourraient vous coûter cher financièrement mais aussi en termes d’image d’entreprise, notamment en cas de violation de données personnelles.

La protection des données personnelles implique de se poser la question de la sécurité des réseaux informatiques par lesquels transitent ces données. Il s’agit d’enjeux désormais majeurs dans la politique de gestion des risques des entreprises. C’est dans cette optique que les organisations recrutent des profils aux compétences hybrides, ayant une culture aussi bien juridique qu’informatique.

👉 Pour faciliter et sécuriser le travail de vos équipes en matière de protection des données, pensez à utiliser le logiciel RGPD Leto : il a été conçu pour administrer automatiquement l’ensemble des données.

Pour plus d’information sur votre mise en conformité au RGPD, n’hésitez pas à demander une démo de notre solution !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Mentions légales RGPD : comment les rédiger ?
25/10/2023
Questionnaire : comment créer des enquêtes conformes au RGPD ?
26/7/2023
Juriste RGPD : Rôle, missions et formation
6/7/2023
Faire appliquer le RGPD en entreprise en 10 étapes
8/2/2023

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023