Le DPO : de la contrainte à l’opportunité

A à peine un mois de la mise en place du RGPD, les entreprises s’activent pour assurer leur conformité et parfaire leur processus internes. Si elles craignent la sanction financière, l’un des pans non négligeables du règlement est pourtant clé pour se mettre en conformité : l’intégration d’un Data Protection Officer.

En charge de la protection des données au sein de sa structure, le data protection officer DPO est responsable de la localisation, l’anonymisation et la préservation des informations personnelles récoltées par l’entreprise.

Dans un contexte de mise en conformité pour les entreprises, comment appréhender l’intégration d’un tel expert en douceur ? Avec une nouvelle émulation autour de la protection des données et de l’éthique digitale, comment intégrer le DPO dans la politique de responsabilité sociétale de l’entreprise ?

Ce nouveau statut fait du Data Protection Officer le véritable garde-fou de la protection des données en entreprise. Il devient le garant de la manière dont les informations personnelles sont récoltées, traitées et conservées au sein des infrastructures IT. Son rôle est de définir et d’impulser une stratégie de protection des données conforme notamment aux exigences du RGPD. Plus qu’une simple mise en conformité, sa position fait de lui le moteur de la vision de l’entreprise en matière de collecte et de traitement des données privées.

A mi-chemin entre expert en cybersécurité et en droit, le poste de délégué à la protection des données requiert une double compétence. Dans une période riche en cyberattaques et en recrudescence des ransomwares, il est crucial de pouvoir détecter les signes d’une intrusion/vulnérabilité assez tôt pour protéger au mieux les données et prévenir les autorités au plus vite. Le RGPD oblige les entreprises à signaler toute violation/fuite de données dans les 72 heures après leur découverte auprès de l’autorité nationale de régulation, l’Agence Nationale de la Sécurité des Systèmes d'Information(ANSSI) en France. Mais cette cyber-compétence doit également s’accompagner d’une maîtrise du cadre juridique de la notion de vie privée et de protection des datas. Le Data Protection Officer doit être au fait des derniers amendements à la loi afin d’assurer une protection optimale des données privées et de garantir la conformité de l’entreprise.

Cependant, la mise en conformité au RGPD a un coût. S’ils sont impossibles à chiffrer, les frais pour se mettre en règle seront néanmoins élevés. La nouvelle fonction de DPO n’échappe pas à la contrainte budgétaire. De nombreuses ETI n’auront pas les moyens de financer un professionnel de la protection des données à temps plein. Dans ce contexte, de nouveaux services sont à inventer !

La fonction de DPO doit se mettre en place à la manière de celles des comptables ou experts-comptables, qui collaborent régulièrement avec plusieurs entreprises en partageant leur temps. Un délégué à la protection des données peut aisément effectuer des missions au sein de plusieurs structures à la fois, sous couvert de la mise en place d’une politique de confidentialité stricte. Soutenue par la nécessité de réduire/maîtriser les coûts de mise en conformité, l’émergence d’un nouveau business model est avérée : le DPO-as-a-Service. De nombreux acteurs se positionnent déjà sur ce marché. Grâce au cloud, l’expertise peut ainsi être externalisée pour s’adapter aux besoins et budgets spécifiques de chaque entreprise.

La protection des données comme une part intégrante de la Responsabilité Sociétale de l’Entreprise

Avec un accent mis sur la protection de la vie privée, le RGPD se place du côté des particuliers. Il est pour eux une réelle opportunité. Par son approche éthique du traitement massif de datas, il pousse les entreprises à une utilisation raisonnée des données personnelles. Une telle stratégie, alliée à des bonnes pratiques, démontre un investissement volontairement moral. C’est pour les individus l’assurance que l’entreprise a mesuré et compris leur inquiétude et qu’elle se positionne en garant d’une gestion réfléchie de leurs données personnelles.

Dans ce cadre, le DPO est un maillon essentiel pour l’entreprise et ce jusque dans sa RSE. Basée sur le bien-être ou encore le développement durable, la politique RSE vise à minimiser l’impact de l’entreprise sur la société. Une gestion éthique des données personnelles peut alors aisément s’intégrer à une stratégie responsable et sociétale plus globale. In fine, ce sont autant de marqueurs positif qu’une organisation renvoi à ces parties prenantes.

Le délégué à la protection des données représente la colonne vertébrale du RGPD. En position centrale dans la mise en conformité de l’entreprise, il prend ensuite la responsabilité de la définition, de l’application et du suivi des bonnes pratiques. Si le RGPD peut sembler contraignant, il est en réalité une véritable opportunité d’inscrire la protection des données parmi les bonnes pratiques de l’entreprise en matière de traitement raisonné et éthique des datas.