Le regard d’un DPO sur le RGPD

Lorsque vous rencontrez quelqu’un, l’une des premières questions qui surgit au moment de se présenter est : que faites-vous dans la vie ?. Je suis DPO. J’attends alors quelques secondes pour observer un regard perplexe et entendre une question inévitablement et poliment posée pour savoir ce que cela signifie...

Lorsque vous rencontrez quelqu’un, l’une des premières questions qui surgit au moment de se présenter est : "que faites-vous dans la vie ? ". Lorsque je suis dans un bar, ou lors d’un dîner et que cette question arrive, je réponds qu'en plus d'être directeur financier, je suis délégué à la protection des données. J’attends alors quelques secondes pour observer un regard perplexe et entendre une question inévitablement et poliment posée pour savoir ce que cela signifie...

Je me limite normalement à la réponse la plus brève possible pour ne pas ennuyer mon interlocuteur. Mais ces dernières semaines, tout le monde veut me parler de RGPD. Le mois dernier, mon coiffeur, mon opticien, mes amis, mes collègues, et même les écoles de mes enfants s’interrogeaient. J'ai donc commencé à prendre note de certaines des questions les plus fréquentes et de mes réponses, compte tenu de la confusion persistante et de la course de dernière minute effrénée pour la mise en conformité.

Que fait vraiment un DPO ?

En tant que DPO, je dépends de mon CEO pour mes multiples fonctions de responsable de la conformité, d’expert et de facilitateur en matière de protection de la vie privée, le tout en plus de ma casquette de directeur financier. En effet, je suis le premier point de contact pour tout ce qui concerne la protection des données sur mon lieu de travail. Pour devenir DPO, vous n'avez pas besoin d'un diplôme en droit, mais vous devez avoir une connaissance approfondie des législations nationales et européennes en matière de protection des données, et avoir des compétences dans le domaine de la sécurité informatique. Je m'assure que mes collègues qui effectuent le traitement des données comprennent leurs obligations liées au RGPD et je suis garant de notre conformité. On peut me demander des conseils relatifs à une évaluation de l'impact sur la protection des données, ce qui implique d'identifier les risques pour la vie privée et la sécurité et de proposer des moyens de les atténuer. Je dois trouver le juste équilibre entre maintenir de bons rapports avec les contrôleurs des autorités de surveillance et les équipes internes à l’entreprise, ce qui exige de l’implication, une grande capacité à faire la part des choses ainsi que des compétences en communication. Si, comme moi, vous agissez en tant que DPO en plus de votre emploi, vous devez vous assurer qu'il n'y a pas de conflit d'intérêts entre vos deux rôles. S'il n'y a personne dans votre entreprise qui possède les compétences pour assumer pleinement le rôle de DPO, celui-ci peut être externalisé pour éviter de devoir recruter une personne à plein temps en interne. La notion de "DPO as a Service" fait sens.

Mon entreprise a-t-elle besoin d’un DPO ?

Si votre organisation traite des données personnelles (des noms, des adresses et des photos avec des données biométriques pouvant identifier individuellement une personne) et qu'elle est basée dans l'UE ou propose des biens ou des services aux résidents de l'UE, oui vous avez besoin d'un DPO.  Encore plus si vous traitez des  catégories spéciales de données personnelles, telles que l'appartenance ethnique, les opinions politiques, les données sur la santé ou les dossiers de condamnations et d'infractions criminelles. Si les activités de base de votre entreprise impliquent un suivi régulier et systématique des individus à grande échelle, tel que le suivi du comportement en ligne, vous devez désigner un DPO. Cependant, la définition de grande échelle est parfois floue. Il convient de noter que le RGPD est une réglementation fondée sur des principes plutôt que sur des règles. Par exemple, les décisions auxquelles je suis confronté tombent souvent dans des zones grises et doivent être replacées dans leur contexte pour trouver une solution. Vous pouvez volontairement désigner un DPO même si vous n'êtes pas légalement obligé de le faire : en cas de doute, il est préférable de pêcher par excès de prudence.

Je suis propriétaire d'une petite entreprise. Suis-je exempté du RGPD ?

Au cours de la première rédaction du RGPD, des rumeurs affirmaient que les PME de moins de 250 employés pourraient ne pas être qualifiées comme étant de grande échelle, mais cette ambiguïté a été annulée par le Commissariat à l'information l'année dernière. Mêmes les PME doivent se conformer au RGPD !

Le RGPD aura-t-il une incidence sur nos activités de marketing B2B ?

Le RGPD s'applique uniquement aux données relatives aux individus, pas aux entreprises. Cependant, il existe encore une certaine ambiguïté concernant les adresses e-mail d'entreprise : comptent-elles comme des données personnelles ? Disons-le : si un nom est inclus dans le corps de l’adresse e-mail, peu importe comment il est formaté, il peut être utilisé pour identifier un individu, il doit donc être traité conformément au RGPD. Le marketing basé sur le consentement a été codifié par le RGPD, vous aurez donc besoin d'un processus séparé, individuel et granulaire (les cases opt-in pré-cochées deviendront explicitement illégales) et vous devrez permettre le retrait du consentement. Le principe de "l'intérêt légitime" devrait s'appliquer à la plupart des marketers B2B éthiques, c'est-à-dire tant que votre traitement des données ne porte pas atteinte aux droits et libertés d'un individu (il ne leur posera aucun problème ou ne les affectera négativement). Si la personne concernée a un intérêt légitime dans ce que vous commercialisez, vous pouvez collecter et traiter ses données. Par exemple, si votre entreprise vend des logiciels RH, vous pouvez collecter et gérer les données relatives aux gestionnaires RH basées sur leur métier et leur ancienneté, alors que l'envoi inconsidéré d'e-mails marketing à une liste d'adresses Gmail ou Yahoo serait clairement contraire aux intérêts légitimes.

Est-il trop tard pour me préoccuper du RGPD ?

Il n'est jamais trop tard pour commencer à examiner la portée du traitement de vos données et pour mettre de l’ordre dans vos affaires. Mon intuition est que les organismes de réglementation donneront la priorité aux entreprises qui recueillent des données sur les clients ou les employés et qui prévoient de faire quelque chose pour en tirer un avantage commercial - particulièrement si ces objectifs ne sont pas clairs pour ces clients ou employés. Mais même si vous n'êtes pas susceptible de faire l'objet d'un examen minutieux, vous devriez toujours revoir vos pratiques actuelles de collecte et de gestion de données personnelles, en particulier si vous les monétisez d'une manière ou d'une autre. Par exemple, vous pourriez envisager d'adopter des techniques telles que la pseudonymisation, qui sépare les données des identifiants directs, afin que vous puissiez toujours collecter et analyser les données personnelles tout en protégeant la vie privée de vos clients.

Comment convaincre mon entreprise du bien-fondé du RGPD ?

À la suite du scandale de Facebook et de Cambridge Analytica, il est clair qu'en tant que citoyens, nous avons besoin de plus de contrôle sur nos données personnelles. Le RGPD vise en fait à simplifier l'environnement réglementaire pour les entreprises, avec des réformes correspondant la façon dont nous vivons aujourd'hui à l'ère d’internet, où pratiquement tous les aspects de la vie tournent autour de nos données. Après tout, personne ne veut que ses informations personnelles soient perdues, volées ou se retrouvent entre les mains de personnes malveillantes. Il sera plus facile d'obtenir l'adhésion des principaux intervenants en positionnant (à juste titre) le RGPD comme une initiative d'amélioration de l’expérience client plutôt qu'un parcours de conformité.

Enfin, il convient de garder à l'esprit que le RGPD est une évolution, pas une révolution, donc si votre entreprise répond déjà aux réglementations actuelles en matière de protection des données, vous êtes déjà sur la bonne voie pour la conformité au RGPD. Il existe de nombreuses sources d'expertises professionnelles, des ressources et des outils pour vous aider, tels que « l’AccélérateurRGPD » d'Information Builders, ainsi que des évaluations sur mesure pour vous aider à identifier les lacunes dans vos pratiques actuelles.