Intervention 1 - DPO
Sarah Velté (Wiseorga) 27 septembre 2023
"je suis manager consultante à Paris, dans un petit cabinet de conseil de la gouvernance des données, orienté RGPD"
"je vais vous présenter concrètement le rôle de DPO et le raisonnement juridique appliqué à des cas concrets"
"j'ai fait du droit toute ma scolarité à la Sorbonne"
"en M1 j'ai fait de la propriété intellectuelle, j'ai suivi le cours de Pierre Sirinelli"
"le master de droit des créations numériques a 30 ans maintenant, c'est le plus ancien"
"je suis passé en startup, j'ai détesté les startups, c'est horrible, sans foi ni loi comme milieu, les juristes sont détestés, et le droit du travail est très très très limité"
"j'ai aussi fait un stage chez Vuitton, alors là les gens scannaient des magazines de mode pour voir si la marque était utilisée"
"et ils attaquaient aussi les artistes qui détournaient leur logo : moi je trouvais ça marrant, mais parfois il faut travailler pour des gens avec qui on est pas d'accord"
"j'ai ensuite travaillé comme juriste d'entreprise à l'IRPI, beaucoup de veille et chaque semaine un flash de commentaire de jurisprudence"
"c'est quelque chose que j'ai acquis au quotidien"
"ensuite j'ai travaillé pendant 3 ans à l'A(?), c'est la Sacem mais pour les arts visuels, on a fait du droit pur et aussi du lobbying au Parlement européen"
"c'était très administratif, en 6 ans j'ai eu le sentiment d'avoir fait le tour"
"je voulais faire mon mémoire de M2 sur les données personnelles sur internet, c'était en 2010 et ça m'intéressait personne, je pensais que ça a allait rester dans un tiroir"
"puis le RGPD est entré en application, et j'ai vu une opportunité d'emploi, en plus le droit d'auteur c'est un monde tout petit où tout le monde se connaît"
"d'un coup je suis passé d'un groupe de 50 à 4500 personnes, en changeant de job et de matière"
"je n'avais pas mesure à quel point ça allait être différent"
"un gros service juridique avec une 15aine de personnes, une équipe droit des contrats, des DPO, des gens qui s'occupaient plus des assurances"
"il faut savoir un peu tout faire : juridique, technique, orga, gestion de projet, communication et gestion de crise, il ne faut pas avoir peur des situations de crise"
PagesJaunes et Mappy : "le but de ce genre de boîte, c'est de revendre la géolocalisation des gens pour leur pousser des pubs pour Carrefour et Leclerc parce qu'ils vont passer devant leurs magasins 3 fois par semaine ; j'ai appris ça en y arrivant"
"on n'a pas que des alliés dans ce métier, on peut trouver des gens aux objectifs aux antipodes des vôtres, il faut faire avec"
"l'importance du réseau, c'est que ça vous permet de ne pas chercher du travail"
"il y a une dimension très commerciale, il faut avoir une expertise à toute épreuve, c'est très concurrentiel"
"et puis j'ai vu passer une offre sur Twitter, j'ai répondu, ça fait 3 ans que j'y suis"
"on a eu une plainte CNIL assez sympathique, le salarié est allé chez son ex grâce à la géolocalisation de son véhicule, et toute la boîte l'a su"
"je vois des CV où y'a beaucoup de gens qui font du Python, moi ça me parle pas trop"
"ça ne peut être que du plus, mais à ce stade, en début de carrière, le RGPD ça s'apprend en se maniant, c'est très technique au niveau juridique, y'a très peu de jurisprudence"
"en tant que juriste spécialisée droits d'auteur, on peut se sentir tout seul : il faut être ouvert aux autres"
"si vous vous vouez à ce genre de métier, il faut d'abord faire valider vos acquis, 2 ans d'ancienneté c'est très rapide"
"formez-vous tout le temps et demandez-vous ce que vous pouvez faire en parallèle, par exemple moi en ce moment je me forme sur Excel"
"au moment de l'entrée en vigueur du RGPD, c'était un peu la foire"
"y'avais beaucoup d'avocats qui disaient "la RGDP", des gens qui vous disent "on sait plus quoi faire de toi, voilà t'es DPO", des gens en période d'essai, et c'est encore comme ça"
groupe Garrero (?) : "des juristes, des gens en fin de carrière qu'on a mis là, des profils gestion de projet, des gens des RSSI, il faut être mouton à cinq pattes"
"c'est une réglementation de compliance, c'est assez nouveau dans le droit français : il faut démontrer à une autorité de contrôle qu'on est en conformité avec une réglementation"
"on ne va pas forcément vous demander de coder : on vous demande de savoir parler avec des gens qui maîtrisent ce métier"
"il faut que les RSSI savent parler aux juristes et inversement"
"il faut prêcher la bonne parole, faire comprendre la démarche : si un DPO est isolé, il faut qu'il comprenne la structure-même dans laquelle il travaille"
"il peut y avoir des moments de crise, des incidents de sécurité ça arrive, on ne s'arrête vraiment jamais d'être DPO même en vacances"
"les intrusions ça arrive toujours le vendredi soir, toujours le dimanche à 2h du mat, c'est comme ça"
certification DPO : "moi je l'ai"
"c'est la CNIL qui a mis ça en place il y a 3/4 ans pour faire le tri entre les vrais DPO et ceux un peu bidon"
organismes de certification agrées : AFNOR, etc.
"c'est hyper important, c'est ça qui va vous distinguer des autres ; c'est pas obligatoire, mais dans les faits c'est indispensable"
"je suis vraiment pas techos, mais discuter avec des gens, c'est ce qui m'a permis d'apprendre ça"
"j'ai mis 2 ans avant de capter que ça pouvait être bien de se faire certifier"
"je vous conseille fortement d'adhérer à l'AFCDP, honnêtement c'est super bien fait, faut vraiment pas négliger ce réseautage"
"il faut avoir une ou deux personnes qui vous parrainent, c'est pas très cher mais moi je l'ai fait payer par ma boîte"
"c'est une association qui organise annuellement un colloque, qu'on peut suivre en ligne"
"et tous les matins, je lis les sujets sur le forum de l'asso, ils résument tout, c'est des questions hyper concrètes"
"et avec une des admins on est devenu copines"
"si vous avez un master en alternance, il faut demander à votre boîte de vous ouvrir un accès à l'AFCDP"
est-ce qu'il faut parler anglais pour être DPO ?
"parfois, parler en anglais c'est mal perçu, l'ordonnance de Villers-Cotterêts est encore en vigueur"
est-ce que l'offre d'emploi est concentrée sur Paris ?
"non justement, et c'est ça que je trouve intéressant : toutes les collectivités doivent avoir un DPO, et des collectivités il y en a partout, elles sont à la ramasse"
"un DPO est indépendant, il doit pouvoir dire merde à un responsable de traitement"
"le seuil de 250 salariés c'est pour avoir un registre de traitements, pas un DPO, faut pas confondre"
"dans tous les cas, le registre de traitements est fortement recommandé"
"à la base mon cabinet c'est 2 ingénieurs consultants qui ont ouvert ça il y a 10 ans"
"ne soyez pas choqués mais le but d'un cabinet c'est de vendre ; le nôtre vend des schémas directeurs, j'en fais toujours des hyper précis du parcours de la donnée personnel"
"ils ont remporté un appel d'offre de partenariat avec un gros cabinet d'avocats un peu par hasard, ça leur permet d'accompagner toutes les collectivités d'IdF"
"chaque semaine, on fait une veille de l'actu de la CNIL française et des autres CNIL européennes, on suit la veille de noyb, les publications de l'ANSSI, du CEDP, suivez les bonnes personnes sur LinkedIn"
"n'hésitez pas à mettre des alertes Google, c'est bien pratique, ça peut vous remonter des jobs"
"si vous parlez plus de 2 langues, en cabinet de conseil, ça peut aller à 44 000€ en début de carrière"
"en collectivité ça sera beaucoup moins, mais vous aurez plus de congés, ça sera pas le même rythme"
"n'acceptez pas un stage en DPO, c'est un traquenard, c'est trop gros, visez des postes d'adjoint"
"on est dans des métiers de représentation, soignez votre apparence dans les entretiens" "et prenez des notes, moi je demande des compte-rendus des échanges"
"y'a des postes d'alternants qui ne sont jamais pérennisés : si vous êtes alternants, au bout de 6 mois, commencez à chercher ailleurs"
"j'ai fait une réunion de crise, personne n'est venu parce que je n'étais pas assez haut dans la hiérarchie, il a fallu engager la responsabilité professionnelle"
"une fois les gens ont fait un signalement sans écrire au DPO, ils ont directement écrit à la CNIL, sympa"
"faites-vous connaître, discutez avec tout le monde"
"une fois que vous serez en poste, vous allez vous faire bombarder de mails ; ayez un tableau de suivi, y'a plein de logiciels de gestion de tâche, vérifiez quand même qu'ils sont RGPD-compliants"
"c'est valable dans tous vos métiers, ça peut paraître basique mais c'est un vrai conseil"
"identifiez vos alliés et les gens qui ne sont pas vos alliés : nous les juristes, on est payés pour minimiser les risques, alors que les entreprises veulent souvent en prendre"
"je vous donne un exemple : quand on laisse la géoloc des téléphones, l'IDFA peut noter devant quel commerce vous êtes passé"
"vente-privée se rémunère comme ça, ils vont voir PagesJaunes et leur disent : j'ai X millions de personnes qui viennent tous les jours sur mon appli, mettez votre brique logicielle chez moi, je vous dirai où ces personnes sont passées"
"j'ai un alternant qui m'a dit : on a l'IDFA d'une personne, on sait qu'il va tous les jours à cette adresse, soit chez l'oncologue soit chez sa maîtresse, y'a une boîte qui vend des huiles essentielles pour guérir les cancers et qui veut me donner beaucoup de sous pour lui pousser leurs pubs"
"il a fallu qu'on lui dise non, mais surtout expliquer pourquoi ; il voyait pas le problème, il allait toucher une commission de 30%"
"généralement, les DSI sont les alliés du DPO, le marketing beaucoup moins"
j'ai dû partir avant la fin (il faut demander des notes à un M2 Droit du numérique présent ce jour-là)