[Cet article rédigé par Yael Cohen Hadria provient d’Océan Bleu 2020, que vous pouvez retrouver sur la page des téléchargements.]
Rôle déjà promu en France depuis 2004, le délégué à la protection des données (DPO) occupe, malgré lui, un rôle allant bien au-delà des missions qui lui sont confiées par le RGPD, faisant de cet acteur un véritable atout des entreprises, mais aussi un garant de l’éthique et du respect de la vie privée des personnes.
Le DPO, cet acteur protecteur dont le rôle est maintenant acquis
Deux ans après l’entrée en application du RGPD, et 16 ans après la création du CIL en France (Correspondant Informatique et libertés), le DPO est devenu un acteur incontournable. Son rôle est connu de tous, il devient même obligatoire dans de nombreux cas. Ceux qui n’ont pas de DPO en viennent même à s’en excuser !
Mais en quoi cet acteur incontournable est-il un protecteur de l’entreprise ?
Il prévoit les processus en fonction de l’esprit de l’entreprise. Le DPO doit avoir une bonne connaissance de l’entreprise et de son fonctionnement, afin d’appréhender les différents processus mis en œuvre au sein de l’entité impliquant des données à caractère personnel (article 38 § 2 du RGPD). Il est d’ailleurs important que l’entreprise communique en interne sur l’identité et sur les missions du DPO, afin de faciliter sa tâche et de fluidifier ses relations avec les opérationnels. En connaissant bien l’entreprise, le DPO sait quels processus lui sont adaptés ou adaptables et quels processus ne pourront pas être respectés. Cela est essentiel pour le maintien en conformité et la gestion de risques.
Il fédère les équipes autour de sujets transverses et novateurs. Le DPO n’est pas seul :
- Il adhère à des associations professionnelles, participe à des rencontres, des colloques, etc., et il soumet ses préconisations et leurs réalisations à un regard extérieur, pour vérifier l’efficience d’un processus ou mettre à l’épreuve une analyse (auditeur externe ou un cabinet d’avocats).
- Il collabore avec les opérationnels en interne. Cette collaboration est primordiale, pour l’associer en temps utile aux nouveaux projets, mais également pour mettre en œuvre les changements qu’il préconise. La collaboration avec le service informatique est l’une des plus essentielles pour sa vision globale des systèmes, mais aussi la technique des traitements de données.
- Il sait organiser des réunions « intéressantes » pour attirer les métiers vers lui et obtenir la connaissance des données contextualisées et/ou des données de l’entreprise.
- Dans les plus grandes structures, il construit un réseau de relais/correspondants au sein de chaque service de l’entreprise, permettant de faciliter la communication avec un point de contact unique. Cette communication doit s’entendre dans les deux sens : remontée d’information et de problématiques relatives à la protection des données rencontrées par les opérationnels d’une part, et diffusion d’une « culture RGPD commune », de bonnes pratiques, de directives communes, etc. d’autre part.
Il accompagne dans la gestion de risque. Il doit avoir les connaissances suffisantes en matière de RGPD, mais surtout il doit cultiver son indépendance.
En effet, dans sa mission de protection des données personnelles, l’entreprise doit garantir son indépendance : il ne peut recevoir d’instructions ni être pénalisé dans le cadre de l’exécution de sa mission (article 38 § 3 du RGPD). Il peut ainsi s’opposer à un projet présentant un risque trop important pour l’entreprise au regard de la protection des données.
La gestion de risques fait partie des compétences du DPO. En effet, chaque entreprise est exposée à des risques différents en matière de conformité RGPD, en fonction de son niveau de conformité, mais également de son activité, des traitements qu’elle met en œuvre ou encore du niveau de sensibilité de la direction de l’entreprise.
Il garantit la conformité, donc représente un atout commercial. En tout état de cause, la présence d’un DPO au sein de l’entreprise, attestant d’une démarche de mise en conformité, voire de maintien en conformité pour les entreprises les plus avancées, peut être un important argument commercial, tant vis-à-vis des partenaires commerciaux – clients ou fournisseurs – que des consommateurs. Cela appuie l’image de confiance de l’entreprise.
Le DPO, de la protection à la valorisation et la gouvernance des données
Par le biais de ses missions de conseil, de contrôle du respect de la réglementation et d’évaluation des risques, le DPO devient un véritable acteur de la valorisation des données, et donc de l’entreprise elle-même.
Ainsi il valorise, par sa cartographie, les actifs immatériels de l’entreprise. À travers sa mission de mise en conformité de l’entreprise et son maintien en conformité, il amène l’identification des actifs immatériels de l’entreprise, et la connaissance des traitements de données personnelles.
Pour ce faire, l’entreprise lui fournit les ressources nécessaires, conformément à l’article 38 § 2 du RGPD, qu’il s’agisse de ressources financières, organisationnelles ou humaines, afin que ses préconisations soit prises en compte et intégrées.
L’intervention du DPO permet notamment :
- L’amélioration de la qualité des données (principe de minimisation, véritable consentement), synonyme de gain de ressources pour l’entreprise, tout en lui assurant un meilleur retour.
- L’identification des processus à appliquer aux traitements (collecte, conservation, classification de sécurité, qualité des données, etc.) synonymes pour l’entreprise de centralisation de l’information sur les projets pour optimiser les travaux et éviter les projets réalisés en doublons ou les développements non nécessaires (Privacy by design).
- L’acquisition d’une vue globale de ses actifs immatériels, et donc la facilitation des projets s’appuyant sur les données pour valoriser les services et produits de l’entreprise.
- L’amélioration de la connaissance de l’entreprise en matière de RGPD, notamment par l’utilisation du Design Thinking appliqué au secteur réglementaire afin de simplifier la compréhension des sujets.
Cette vision globale permet au DPO de devenir un véritable acteur de la gouvernance des données, transcendant ainsi l’objectif initial du RGPD de protection des personnes.
À ce titre, l’intervention du DPO peut permettre la rationalisation des processus de l’entreprise, ayant pour conséquence un gain de temps, de personnel, d’argent et donc un gain de productivité.
Ainsi, il réalise en fait les missions d’un animateur d’une démarche de gouvernance de l’information, la seule différence est qu’il ne le fait que pour les données personnelles. Mais le travail est le même pour les autres données … pour lesquelles, le DPO ouvre le chemin. Il est donc l’acteur tout indiqué pour porter la démarche de gouvernance de l’information, au sens large, des entreprises.
Yael Cohen Hadria – Avocat associée et DPO – Marvell Avocats
0 Comments Leave a comment