Mon DPO externe

Nous recrutons !

Créé en 2018 par Florent Gastaud, ex-DPO du groupe OVH, Mon DPO externe accompagne des entités françaises et internationales dans la mise en conformité de leurs traitements de données à caractère personnel. L’accompagnement délivré par Mon DPO externe se veut pragmatique et pédagogique, tout en étant fondé sur une expertise juridique et technique de haut niveau. Nous privilégions la qualité à la quantité.

Le cabinet accompagne ses clients au travers de 4 types de missions :

la réalisation d’audits de conformité ;
l’externalisation long terme de la fonction de Data Protection Officer ;
la formation aux réglementations sur la protection des données ;
la réalisation de missions en détachement auprès de grands groupes.

En pleine croissance, Mon DPO externe cherche à agrandir ses équipes sur Paris.

Description du poste

DPO externe – Consultant(e) RGPD

Vous rejoignez le cabinet Mon DPO externe aux fins d’accompagner nos clients en qualité de Data Protection Officer (DPO) externe – Consultant(e) RGPD. Vous conseillez et réalisez des missions d’accompagnement tournées exclusivement autours des enjeux de conformité aux réglementations sur la protection des données personnelles auprès des clients du cabinet. Vous êtes amené à être désigné DPO externe pour certains de nos clients. Nous ne travaillons qu’avec des entités ayant la volonté et les moyens d’avancer vers une mise en conformité de leurs activités.

Vos missions sont diversifiées, à l’instar de celles d’un DPO internalisé, mais toujours centrées autours des enjeux de vie privée et de protection des données personnelles.

Rejoindre Mon DPO externe, c’est choisir d’intégrer une petite structure conviviale. Vous aurez la possibilité d’être force de proposition et de participer activement au développement de notre structure.

Nous recherchons actuellement un(e) Consultant(e) RGPD – DPO externe étant en charge d’accompagner nos clients web – tech. Vous serez ainsi la personne en charge de ce domaine d’activité au sein de notre cabinet et devez à cet effet disposer d’une appétence toute particulière pour ce domaine d’activité (acteurs de e-commerces, presse en ligne, etc.). Vos compétences liées aux enjeux de conformité associés aux technologies utilisées par ce secteur d’activité doivent être particulièrement poussées : cookies, sécurisation des espaces d’authentification en ligne, API, etc.).

Dans le cadre de vos activités de DPO externe, vous êtes amené à :

réaliser des audits de conformité sur place et/ou sur pièce, sur la base d’une méthodologie définie ;
assurer le rôle de “chef d’orchestre” de la conformité de nos clients, en ayant une démarche de conformité pro-active (nous impulsons les démarches de conformité et ne sommes jamais uniquement en attente des demandes de nos clients). Vous êtes en mesure de définir des programmes de conformité basés sur des critères de risques, et en assurer le suivi ;
dispenser des formations RGPD auprès de Data Protection Officer et/ou de salariés dans le domaine de la protection des données personnelles ;
rédiger des notes, des articles, des livrables en lien avec la protection des données personnelles ;
négocier des clauses contractuelles dédiées à la protection des données personnelles ;
réaliser l’ensemble des missions réglementaires incombant au Data Protection Officer, en vertu de l’article 39 du RGPD et plus globalement accompagner les clients Mon DPO externe dans leur démarche de mise en conformité (animation de Comités dédiés à la protection des données, étude de nouveaux projets en mode “privacy by design”, réalisation de PIA, réponse aux questions des opérationnels, etc.) ;
assurer une veille réglementaire et jurisprudentielle ;
accompagner la croissance et le développement du cabinet (planification et préparation d’évènements, alimentation d’une newsletter, réponse à des appels d’offre, etc.).

Dans le cadre de ses missions, le DPO externe est amené à se déplacer chez différents clients du cabinet, principalement situés en région parisienne. Des déplacements ponctuels en France et en Europe sont également à prévoir.

Poste situé sur Paris (télétravail + déplacements chez les clients)

Rémunération à définir selon votre profil et votre expérience

Poste à pourvoir en statut CDI

Le profil recherché

En synthèse

💼 3 ans minimum d’expérience (hors stages) ;

👩🏽‍💼👨🏽‍💼 Au moins 1 expérience en tant que DPO ou en tant que consultant(e) ayant piloté des missions de conformité ;

🎓 Être diplômé(e) d’un Master 2 en droit (idéalement du numérique / des nouvelles technologies) ;

💕 Être passionné(e) des enjeux de vie privée / suivre avec attention les évolutions des réglementations et de la soft law en matière de protection des données personnelles ;

🔐 Disposer de réelles connaissances techniques en matière de sécurité informatique (norme ISO 27001, maîtrise du mode de fonctionnement des attaques classiques de type “brute force”, “credential stuffing”, “déni de service (DDoS)”, etc.) ;

🍪 Maîtriser les enjeux techniques et réglementaires liés au dépôt et à l’usage de cookies et autres traceurs (CMP, TCF, cookies de mesure d’audience exemptés de consentement, proxification, … sont des notions devant concrètement vous parler!).

En détails

Vous disposez d’une formation juridique et justifiez d’une expérience hors stage(s) dans le domaine de la protection des données personnelles d’au moins 3 années (juriste data, avocat, DPO, consultant, …). Vous êtes passionné par les enjeux de vie privée et de protection des données personnelles, tout en étant en mesure d’opérer un juste équilibre entre les droits et libertés des individus et les intérêts business des entités accompagnées.

Le corpus juridique encadrant le traitement de données personnelles n’a plus -ou presque- de secret pour vous (RGPD, loi n°78-17 du 6 janvier 1978 modifiée et ses décrets d’application, Directive 2002/58/EC, Guidelines de l’EDPB, décisions majeures des autorités de contrôle, etc.). Vous faites preuve d’une grande rigueur dans la prise de connaissance et l’interprétation des textes juridiques, tout en étant en mesure de proposer des solutions de mise en conformité rationnelles et pragmatiques aux clients du cabinet.

Votre attrait pour le sujet de la protection des données vous pousse à régulièrement actualiser vos connaissances en la matière et à vous intéresser aux aspects techniques encadrant les traitements de données.

Vous êtes un professionnel du droit, ayant une réelle compréhension technique

Le monde des nouvelles technologies et de l’informatique n’est pas un monde barbare pour vous. Vous maîtrisez les notions clés de l’informatique ainsi que les concepts basiques de sécurité des systèmes d’information (SSI). Idéalement, vous disposez d’une formation et/ou d’une certification (de type ISO 27001 Lead Implementer par exemple) vous permettant de justifier vos connaissances et compétences dans ce domaine.

Parler d’IaaS, de PaaS et de SaaS entre deux réunions ne doit pas vous ennuyer. Vous êtes en mesure de comprendre comment un projet informatique est structuré, en ayant une connaissance élémentaire du fonctionnement des systèmes d’informations (savoir ce qu’est un FTP, une base de données, une API, etc.). Idéalement, vous disposez d’une formation, d’une certification ou de projets personnels vous permettant de justifier vos connaissances et compétences dans ce domaine.

Vous maîtrisez parfaitement le français et les outils de rédaction

Savoir parfaitement s’exprimer est essentiel pour un DPO externe. Vous devez maîtriser, tant à l’écrit qu’à l’oral le français. Vous disposez d’un niveau d’anglais professionnel vous permettant de travailler ponctuellement dans cette langue avec des interlocuteurs. Votre orthographe se doit d’être irréprochable. Vous savez faire preuve de synthèse et de pédagogie.

L’expression passe également par la retranscription des idées sur divers supports. Vous devez maîtriser les outils couramment utilisés en bureautique (Outlook, Word, Power Point, Excel, …), ainsi que les outils couramment utilisés par les professionnels de la protection des données personnelles (outil PIA de la CNIL, registre des activités de traitement, etc.). Si possible, vous disposez d’une expérience pratique dans l’usage de solutions d’accountability (One Trust, Data Legal Drive, etc.).

Vous savez rendre attractif et interactif vos écrits et supports.

Vous êtes autonome et disposez d’une capacité d’adaptation

Vous êtes une personne dynamique et investie dans votre activité professionnelle. De confiance, vous savez réaliser les missions vous incombant de manière autonome.

Afin de pouvoir réaliser des missions d’accompagnement auprès de différents clients, dans des environnements variés, vous disposez d’une capacité d’adaptation au changement.

Vous faites preuve d’initiative lorsque cela est adéquat. Vous savez impulser un projet et tout mettre en oeuvre pour le mener à son terme.

Pour postuler, c’est par ici !

Nous faisons notre maximum pour répondre à l’ensemble des candidatures reçues. À défaut de réponse de notre part dans les deux semaines suivant votre candidature, vous pouvez considérer que cette dernière n’a pas été acceptée.

* les champs comportant un astérisque sont obligatoire pour la prise en compte de votre candidature.

En complétant le présent formulaire, Mon DPO externe va traiter, en sa qualité de responsable de traitement, des données personnelles vous concernant aux fins (i) d’évaluer votre candidature, (ii) de vous proposer de futures opportunités professionnelles et (iii) de vous émettre des actualités relatives aux activités de Mon DPO externe par e-mail (si vous y avez consenti en cochant la case adéquate). Vous pourrez vous opposer à tout moment à leur réception via le lien de désinscription intégré au sein de chacun des e-mails émis par Mon DPO externe. Pour plus d’informations concernant le traitement de vos données personnelles, veuillez dérouler les titres ci-dessous.

Objet du traitement des données

Finalités & Base légale

Les données collectées par le biais de ce formulaire sont traitées par Mon DPO externe, Société à Responsabilité Limitée, immatriculée au RCS de Paris sous le numéro 841 961 329 00015, aux fins de :

évaluer votre candidature, sur la base de mesures précontractuelles qui pourraient être prises à votre égard (l’éventuelle signature d’un contrat de travail) ;
vous proposer de futures opportunités professionnelles en constituant une CVthèque (non diffusée à des tiers), sur la base des intérêts légitimes de Mon DPO externe ;
vous adresser les « chroniques Mon DPO externe », service gratuit visant à éditer, produire et diffuser, par quelque moyen que ce soit, des actualités et informations relatives aux sujets de protection des données personnelles et de vie privée, sur la base de votre consentement.

Données traitées

Catégories de données traitées

Dans le cadre de la gestion des candidatures émises à Mon DPO externe, ainsi que la constitution d’une CVthèque, nous sommes amenés à traiter les données suivantes :

vos données d’identification 👨‍💼👩‍💼 (nom, prénom, âge le cas échéant, etc.) ;
vos coordonnées (adresse e-mail 📧, numéro de téléphone ☎️, votre adresse postale le cas échéant) ;
des données relatives à vos qualifications et votre parcours 💼 professionnel (formations, diplômes, expériences professionnelles, motivations, CV, etc.) ;
des données relatives à vos prétentions 💰 salariales.

Dans le cadre de l’envoi des « chroniques Mon DPO externe » par e-mail (si vous y avez consenti), nous sommes amenés à traiter les données suivantes :

vos données d’identification 👨‍💼👩‍💼 (nom, prénom, âge le cas échéant, etc.) ;
vos coordonnées (adresse e-mail 📧, numéro de téléphone ☎️, votre adresse postale le cas échéant) ;
la date 📅 à laquelle vous avez formulé votre demande d’adhésion aux « chroniques Mon DPO externe » ;
suivi des taux d’ouverture, taux de clic et taux de rebond des communications e-mails adressées.

Source des données

Ces données proviennent :

du formulaire ci-dessus, vous permettant d’émettre une candidature pour un poste proposé par “Mon DPO externe” en qualité d’employeur ;
des évènements étant enregistrés lors de l’émission de communications par e-mail.

Aucune autre source de donnée n’est exploitée.

Prise de décision automatisée

Nous ne mettons en œuvre aucun traitement de données personnelles étant susceptible (i) de relever de la notion de “profilage”, telle que définie à l’article 4 du RGPD, ou (ii) pouvant entraîner une “décision fondée exclusivement sur un traitement automatisé”, telle que définie à l’article 22 du RGPD.

Destinataires des données

Catégories de destinataires internes

Seul les salariés étant en charge de l’évaluation des candidatures au sein de Mon DPO externe sont habilités 🔐 à accéder et à traiter les données personnelles nécessaires à la gestion des candidatures envoyées.

Catégories de destinataires externes

Dans le cadre de la gestion des candidatures, Mon DPO externe s’appuie sur des sous-traitants étant en capacité technique de traiter les données personnelles de candidatures. Ces sous-traitants agissent sur les seules instructions de Mon DPO externe et ne peuvent en aucun cas réutiliser vos données personnelles pour leur propre compte et/ou pour celui de tiers et/ou pour d’autres finalités que celles strictement déterminées par Mon DPO externe. Un contrat régit systématiquement la relation entre Mon DPO externe et les sous-traitants auxquels nous avons recours. Ces contrats comportent systématiquement des clauses conformes à l’article 28 du RGPD, prévoyant des obligations de sécurité, de confidentialité et de protection des données personnelles à charge des sous-traitants.

Mon DPO externe a notamment recours aux catégories de sous-traitant suivants :

hébergeurs de données (OVH notamment) ;
prestataire de routage d’e-mail (Sendinblue notamment) ;
prestataires de solutions SaaS et de solutions bureautique (Google Cloud notamment).

Localisation des données

Mon DPO externe privilégie autant que possible le traitement de vos données à caractère personnel au sein de l’Union européenne 👌.

Dans le cadre du recours à certains sous-traitants (y compris lorsque ces derniers sont des sociétés françaises, établies en France) des transferts hors de l’Union européenne 🌍 de vos données personnelles sont tout de même mises en œuvre par ces derniers. C’est notamment le cas dans les situations suivantes :

Sendinblue a recours à des sous-traitants ultérieurs, situés dans des pays en-dehors de l’Union européenne, notamment aux Etats-Unis ;
Google Cloud a recours à des sous-traitants ultérieurs, situés dans des pays en-dehors de l’Union européenne, notamment aux Etats-Unis ;
OVH a recours aux services de ses filiales, établies au Royaume-Uni et au Canada.

Ces transferts sont systématiquement opérés en vertu de la mise en place d’instruments juridiques conformes au Chapitre V du RGPD et notamment la signature de clauses contractuelles types adoptées par une autorité de contrôle ou par la Commission européenne et/ou en vertu d’une décision d’adéquation de la Commission européenne vers un pays assurant un niveau de protection adéquat.

Durée de conservation des données

Dans le cadre de la gestion des candidatures émises à Mon DPO externe, ainsi que la constitution d’une CVthèque, vos données sont conservées 2 ans ⏱️ maximum après le dernier contact émanant de votre part (envoi de votre candidature, échanges téléphonique, etc.). Si nous estimons que votre candidature ne sera pas susceptible de répondre à nos besoins futurs, vos données sont immédiatement supprimées.

Dans le cadre de l’envoi des « chroniques Mon DPO externe » par e-mail (si vous y avez consenti), vos données sont conservées durant l’ensemble de la durée de votre adhésion aux “chroniques Mon DPO externe”. Votre e-mail est conservé durant trente-six (36) mois ⏱️ à compter de votre résiliation aux “chroniques Mon DPO externe” afin de prendre en compte votre droit d’opposition et ainsi vous assurer de ne plus être destinataire de nos newsletters. Vos autres données personnelles sont supprimées 🔥 de nos bases lors de votre résiliation aux “chroniques Mon DPO externe”.

Vos droits

Vous disposez de la faculté de vous opposer à tout moment à la conservation de vos données de candidature au sein de notre CVthèque. Vous pouvez nous l’indiquer lors de l’envoi de votre candidature et/ou durant nos échanges ultérieurs.

Vous disposez également de la faculté de vous opposer à tout moment à la réception des “chroniques Mon DPO externe” grâce aux liens de désabonnement intégrés au sein de l’ensemble des e-mails 📧 envoyés par Mon DPO externe dans le cadre de son service de “chroniques Mon DPO externe” .

Vous disposez de la faculté d’introduire une réclamation auprès de l’autorité de contrôle compétente, de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès ainsi qu’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition pour motif légitime aux données personnelles vous concernant.

Pour exercer l’un de ces droits, merci d’effectuer votre demande :

via le formulaire en ligne mis à votre disposition ; ou
par courrier postal à l’attention de : Data Protection Officer, Mon DPO externe – 10 rue de Penthièvre – 75008 Paris – France.