Scorecard Data Protection Officer
Voici comment évaluer un Data Protection Officer en entretien : les compétences à noter, les questions à poser et les signaux d'alerte. Une grille de base, à ajuster selon votre contexte et vos priorités.
Un exemple à adapter. Cette scorecard est un modèle, pas une grille à appliquer telle quelle. Gardez les critères qui correspondent à votre poste et à votre équipe, ajustez ou retirez les autres. Le bon profil dépend de votre contexte.
Data Protection Officer
La mission en une phrase
Registre des traitements tenu et fiable
Le registre est complet, à jour et reflète la réalité des traitements opérés par les métiers, avec une cartographie claire des flux de données et des sous-traitants.
Analyses d'impact menées sur les traitements sensibles
Les traitements à risque sont identifiés et font l'objet d'une analyse d'impact documentée, avec un plan d'action pour réduire les risques résiduels.
Demandes des personnes et incidents traités dans les délais
Les demandes d'exercice de droits et les violations de données sont gérées dans les délais réglementaires, avec une notification à l'autorité quand elle s'impose.
Culture de la protection des données diffusée dans l'entreprise
Les équipes connaissent leurs réflexes, sollicitent le DPO en amont des projets et intègrent la protection des données dès la conception.
✗ Faible · Reste sur des généralités, récite le texte sans savoir le traduire en décision opérationnelle.
✓ Excellent · Cite les principes clés, sait les appliquer à un cas concret et distingue ce qui relève de l'obligation de ce qui relève de la bonne pratique.
✗ Faible · Voit le registre comme un document figé à produire une fois, sans démarche de mise à jour ni de contact avec les opérationnels.
✓ Excellent · Explique sa méthode pour recenser les traitements auprès des métiers, qualifier les finalités et garder le registre vivant dans le temps.
✗ Faible · Confond l'analyse d'impact avec un simple questionnaire de conformité, sans hiérarchisation des risques.
✓ Excellent · Sait identifier les traitements qui en nécessitent une, structurer l'évaluation des risques et arbitrer entre mesures techniques et organisationnelles.
✗ Faible · Ne sait pas évaluer la gravité d'une violation ni dans quels délais réagir, ou improvise la relation avec l'autorité.
✓ Excellent · Décrit un processus de qualification d'incident, sait quand et comment notifier la CNIL et tient une posture claire en cas de contrôle.
✗ Faible · S'arrête à la dimension juridique et délègue toute compréhension technique sans pouvoir challenger les choix.
✓ Excellent · Dialogue avec l'IT et la sécurité, comprend les notions de chiffrement, de minimisation et de durée de conservation appliquées aux systèmes.
✗ Faible · Ignore les mécanismes d'encadrement des transferts ou ne s'intéresse pas aux engagements des prestataires.
✓ Excellent · Sait sécuriser les flux hors Union européenne, revoir les clauses contractuelles et auditer la conformité des sous-traitants.
✗ Faible · N'a jamais formalisé de démarche de sensibilisation et compte sur les seules notes de service.
✓ Excellent · A déjà conçu des formations, des supports et des rituels pour ancrer les réflexes de protection des données dans les équipes.
Pédagogie et capacité à vulgariser
✗ Faible · Reste dans un langage juridique fermé, ce qui décourage les équipes de le solliciter.
✓ Excellent · Traduit une exigence réglementaire en consigne simple et actionnable pour un métier qui n'est pas juriste.
Indépendance et sens de l'éthique
✗ Faible · S'aligne sur les attentes business dès qu'un arbitrage devient inconfortable.
✓ Excellent · Sait tenir une position de conformité face à un projet rentable et documente ses recommandations sans céder à la pression.
Diplomatie et capacité à embarquer
✗ Faible · Adopte une posture de censeur qui isole la fonction et bloque les projets sans alternative.
✓ Excellent · Obtient la collaboration des métiers en posant la protection des données comme un appui, pas comme un frein.
Rigueur et fiabilité documentaire
✗ Faible · Travaille de mémoire, sans documentation, ce qui rend la conformité impossible à prouver.
✓ Excellent · Tient une trace propre de ses analyses et décisions, condition d'une conformité démontrable en cas de contrôle.
Compétences techniques
Sur quels critères décidez-vous qu'un traitement nécessite une analyse d'impact, et comment la conduisez-vous ?
→ Maîtrise concrète des analyses d'impact, du repérage des traitements à risque jusqu'aux mesures de réduction.
Comment travaillez-vous avec les équipes techniques pour vérifier que les principes de minimisation et de sécurité sont bien appliqués ?
→ Aisance à dialoguer avec l'IT et à challenger des choix sans se limiter à la dimension juridique.
Réalisations & expérience
Racontez comment vous avez pris en main la conformité au RGPD dans une organisation où tout était à construire.
→ Capacité à structurer une démarche de bout en bout : état des lieux, priorisation des risques, mise en place du registre et des processus.
Mise en situation
Une violation de données vous est signalée un vendredi soir. Décrivez vos premières actions.
→ Réflexe de qualification d'incident, sens des délais et clarté sur la décision de notifier l'autorité.
Un projet stratégique pose un risque réel sur les données personnelles mais la direction veut le lancer. Comment vous y prenez-vous ?
→ Indépendance, capacité à proposer des alternatives et à documenter une position plutôt qu'à bloquer ou à céder.
Motivation & fit
Qu'est-ce qui vous tient dans une fonction où l'on est souvent celui qui pose des limites ?
→ Ancrage dans le rôle, goût de l'arbitrage entre droit, technique et business, et solidité face à l'inconfort.
Savoir-être & collaboration
Donnez un exemple où vous avez réussi à faire adopter un réflexe de protection des données à une équipe réticente.
→ Pédagogie, diplomatie et capacité à embarquer les métiers dans la durée.
Vision purement théorique du RGPD, sans cas concret à raconter
Le poste se joue dans l'application au quotidien, pas dans la récitation du texte.
Refus de comprendre la dimension technique des traitements
Un DPO qui ne sait pas dialoguer avec l'IT ne peut ni vérifier ni challenger la conformité réelle des systèmes.
Posture de blocage systématique, sans alternative proposée
Une fonction perçue comme un frein finit isolée et contournée par les métiers.
Tendance à s'aligner sur le business dès qu'un arbitrage est inconfortable
L'indépendance du DPO est une condition de sa crédibilité et de la protection de l'entreprise.
Aucune trace documentaire de ses analyses et décisions passées
Sans documentation, la conformité ne peut pas être démontrée en cas de contrôle de l'autorité.
Lecture du score
Notez chaque compétence et savoir-être de 1 à 5. Repère de décision : moyenne supérieure ou égale à 4 sur les must-have et aucun red flag majeur = go ; 3 à 4 avec réserves = à challenger en second tour ; un must-have sous 3 ou un red flag majeur = no-go. Un nice-to-have faible ne doit jamais éliminer un bon profil.
Qu'est-ce qu'une scorecard pour recruter un Data Protection Officer ?
Une scorecard data protection officer est une grille d'évaluation structurée : elle liste les compétences et savoir-être à noter de 1 à 5, les questions d'entretien à poser et les signaux d'alerte. Elle permet de comparer les candidats sur des critères objectifs plutôt que sur une impression. On parle aussi de scorecard dpo, scorecard délégué à la protection des données, scorecard responsable rgpd.
Comment utiliser cette scorecard Data Protection Officer ?
Téléchargez-la en PDF, Excel ou Notion, notez chaque critère de 1 à 5 pendant l'entretien, puis additionnez les scores du panel pour décider sur des faits. La version Excel calcule la moyenne et la décision automatiquement.
Faut-il privilégier un profil plutôt juridique ou plutôt technique ?
Le coeur du poste est juridique, mais un DPO efficace sait lire les enjeux techniques pour vérifier que la conformité existe vraiment dans les systèmes. Choisissez selon votre contexte : une organisation à forte intensité technologique gagne à recruter un profil juriste à l'aise avec l'IT, tandis qu'un environnement plus classique peut s'appuyer sur un solide socle juridique épaulé par les équipes sécurité. Dans tous les cas, la pédagogie et l'indépendance pèsent autant que la spécialité d'origine.
Quelle est la différence entre un DPO et un Head of Legal ?
Le Head of Legal couvre l'ensemble du droit de l'entreprise et défend ses intérêts dans la négociation et le contentieux. Le DPO a un périmètre dédié, la protection des données personnelles, et une mission de conseil et de contrôle qui suppose une indépendance, y compris vis-à-vis de la direction. Les deux fonctions se complètent mais ne se confondent pas : confier la protection des données au Head of Legal par défaut, sans garantir cette indépendance, fragilise la conformité.