Empêcheur de tourner en rond, trop franco-français, sans budget et sans pouvoir, méconnu au sein même de son entreprise, qui n’a jamais entendu parler du CIL en ces termes ? Mais ça, c’était avant. Depuis l’adoption du règlement européen de protection des données (GDPR) et au fur et à mesure que nous nous rapprochons de la date de son application le 25 mai 2018, le sujet de la protection des données et la fonction de DPO[1] se retrouvent au cœur de nouvelles luttes de pouvoirs dans les organisations.
A l’approche de l’échéance, les entreprises définissent une nouvelle gouvernance autour de la protection des données personnelles, et cela ne se fait pas sans grincements de dents. D’un côté le service juridique et le CIL qui tentent de protéger leur chasse gardée, de l’autre la DSI qui souhaite en faire un sujet IT, la conformité qui veut s’emparer du sujet et enfin le data marketing qui s’inquiète des enjeux business.
Qui l’entreprise peut-elle désigner, pour exercer cette mission stratégique et de confiance qui exige aussi que le DPO bénéficie d’une certaine expertise et d’une expérience suffisante de cette fonction ?
Les entreprises s’interrogent encore alors même que les candidatures commencent à affluer. Comment expliquer ce nouvel engouement pour le poste de DPO ?
-
Le DPO aura un rôle éminemment politique et stratégique
Il ne rapporte pas à l’autorité de protection des données mais au top management ; par contre il devra coopérer avec l’autorité. Le DPO est d’abord un « facilitateur ».
Il devrait être présent dans toutes les réunions de senior et middle management dès lors qu’il y aura des implications en termes de protection des données. Il devra informer, conseiller, faire des recommandations sur la conformité des traitements de données personnelles et il sera consulté sur l’analyse d’impact.
Comme l’indique le G29 dans ses lignes directrices, le DPO devra « trouver des solutions » sans mettre sa société en péril. Il devra en effet choisir et prioriser les actions à mener pour supprimer ou limiter les risques d’impact sur la protection des données et sera donc amené à prendre des risques.
C’est donc une position extrêmement délicate qu’occupera le DPO mais c’est aussi ce qui constitue une des singularités de ce profil.
Dans tous les cas son avis sera décisif, y compris en cas de désaccord puisqu’il lui sera recommandé de documenter son analyse.
-
Un bon DPO devrait être un bon communiquant et un lobbyiste convaincu
La protection des données soulève de nouveaux enjeux qui ont des impacts en termes de communication, d’actions marketing et de stratégie dans l’entreprise.
Certaines organisations ont fait le choix d’embaucher des influenceurs , sortes de “privacy titan” capables d’inspirer confiance de par leur expertise et la reconnaissance de leurs pairs, leur talent de communicant et leur leadership tant vis à vis des autorités que des clients ou des salariés de leur entreprise.
-
Nouvelle visibilité, nouveaux moyens
De par la consécration de sa fonction dans le GDPR, du fait des actions qu’il devra mener au sein de son organisation et de la publication des détails le concernant vis-à-vis de l’extérieur, le DPO devrait profiter d’une réelle visibilité. Autre point important, le DPO devra avoir des ressources suffisantes pour lui permettre de remplir ses missions.
-
Un profil rare à la fois expert, expérimenté et polyvalent
Le DPO doit avoir de l’expérience et des compétences transverses. Il doit maitriser les principes et obligations juridiques, comprendre les impacts IT du GDPR, savoir évaluer le niveau des mesures de sécurité, adopter une approche d’analyse des risques tout en maitrisant les enjeux « métier » de son organisation.
-
Le DPO sera à la fois acteur et facteur de confiance
Facteur de confiance tout d’abord car la présence d’un DPO devrait rassurer les personnes concernées (clients, utilisateurs de solutions, salariés…).
Le GDPR garantit l’indépendance du délégué à la protection des données dans l’exercice de ses fonctions. D’ailleurs, le DPO ne devra pas être confronté à des conflits d’intérêts. Tel pourrait être le cas selon le G29 d’un senior manager tel que le DSI, le DRH, le responsable marketing ou le responsable du service financier. L‘autorité de l’état de Bavière a d’ailleurs récemment eu l’occasion de se prononcer en ce sens[2].
Acteur de confiance pour le top management enfin, car le DPO aura accès à des informations très confidentielles et devra prendre position. Il sera par exemple consulté par le responsable de traitement en cas de faille de sécurité portant sur des données personnelles ou en cas d’analyse d’impact, au risque d’être pris entre le marteau et l’enclume en cas de divergence de vue avec le top management sur la notification de l’autorité de protection des données…ou pas.
[1] Data Protection Officer ou DPO, nom et acronyme anglais du délégué à la protection des données.
[2] http://datamatters.sidley.com/baylda-fines-organisation-dpo-appointment/#page=1
