Le GDPR va augmenter les besoins en agents de protection des données automatisés
L'agent de protection des données deviendra la "voix" de la protection des données et de la conformité au sein de l'entreprise. Comment recruter ce mouton à 5 pattes ?
Il ne reste qu'un peu plus de six mois avant l'entrée en vigueur du Règlement général sur la protection des données en France et dans l'Union européenne. Et l'une des principales exigences du GDPR est la supervision des données personnelles. Plus précisément, le GDPR exige des entreprises traitant des données personnelles à grande échelle d’utiliser un agent de protection des données (DPO) indépendant. Ce DPO deviendra la «voix» de la protection des données et de la conformité au sein de l'entreprise.
Le DPO va donc devenir un rouage essentiel pour les entreprises, alors comment recruter ce mouton à 5 pattes ? Car c’est bien là que se situe le problème, selon une étude réalisée en avril 2016 par l’IAPP, 28 000 postes de DPO seront à pourvoir à travers l’Europe, un chiffre qui pourrait s’élever même à 75 000 selon d’autres experts. C’est donc vers une véritable pénurie de professionnels qualifiés que l’on se dirige. Pénurie à laquelle certains comptent répondre grâce à l’intelligence artificielle et l’apprentissage automatique. Mais, si pertinente soit elle, cette solution ne permettra pas de gérer correctement le caractère sensible des données qui seront manipulées. Par conséquent, avant d’envisager cette possibilité, il importe de comprendre le rôle et la fonction du DPO.
Le DPO est un responsable indépendant veillant au traitement et à l’usage approprié des données des citoyens européens. Pour ce faire, il doit se tenir au courant des législations et pratiques en matière de protection des données, procéder à des audits internes dans ce domaine et faire en sorte que tous les autres aspects du traitement des données demeurent conformes. Il travaillera ainsi à la conservation des données, leur anonymisation, l’évaluation des risques de sécurité des pratiques commerciales faisant intervenir des données personnelles, l’évaluation de l’impact sur le respect de la vie privée des nouveaux produits et services, des plateformes et des fournisseurs, ainsi que l’Internet des objets (IoT) et la gestion des piratages. Le DPO sera donc confronté à une charge de travail immense.
Pourtant, selon une récente enquête réalisée auprès de 310 professionnels de la sécurité informatique, 22% des entreprises interrogées n’ont toujours pas recruté de responsable de la protection des données (DPO, Data Protection Officer), et parmi celles-ci, 52% ne prévoient pas de le faire avant le second semestre 2018, voire au-delà, soit après l’entrée en vigueur de la nouvelle réglementation. Ainsi, si les entreprises ont conscience de l’importance du DPO, de l’urgence d’en recruter un et de la masse de travail à laquelle il sera confronté, pour 55% des répondants, les solutions d’IA ou d’apprentissage automatique suffiront à l’alléger dans ces tâches pour qu’il puisse mener à bien sa mission. Il faut donc s’attendre à voir les données clients maltraitées encore pour un moment.
Mais si ces solutions automatiques pourront avoir un réel impact sur le rôle du DPO, de par leur capacité à évaluer et à analyser des larges ensembles de données très rapidement, certaines tâches seront encore trop complexes pour un DPO automatisé : la procédure à suivre en cas de piratage de données, la formulation de recommandations pour la mise en conformité avec les normes ou encore la remontée de requêtes liées aux données vers d’autres membres de l’entreprise. C’est pourquoi, disposer d’un DPO au sein d’une entreprise qui soit à l’aise avec les données, la sécurité ainsi qu’une expérience de la conformité des données, sera indispensable.