RGPD : où trouver un DPO ? Comment bien le positionner dans votre organisation ?
Pour l'ex-RSII et ex-DPO, Gilles Garnier, la mise en application du Règlement Général de Protection des Données fait émerger de nombreux défis. Le premier est de trouver cette ressource rare et convoitée qu'est un Digital Privacy Officer. L'expert en protection de l'information d'Harmonie Technologie donne des pistes précieuses pour y arriver.
C’est un fait, la grande partie des entreprises ne sera pas prête pour le 25 mai 2018, mais le plus important, quand l’échéance arrivera, sera finalement d’avoir initié les projets RGPD, et d’être en mesure de justifier l’état d’avancement. Les raisons de ce retard sont multiples mais il faut souligner que l’un des problèmes majeurs est le manque de compétences. Les entreprises se retrouvent en difficulté pour passer du texte de loi à sa mise en œuvre opérationnelle. Elles ne savent tout simplement pas comment faire. Le RGPD exige des entreprises de revoir leurs processus autant du point de vue informatique qu’organisationnel. Mais par où commencer ? La réponse, qui semble simple, serait de dire : le DPO (Data Protection Officer). Sauf que, dans les faits, la seule question du DPO pose un certain nombre de problèmes et de complications pour les entreprises.
Choisir un DPO : véritable casse-tête ?
Le choix du DPO soulève une multitude de questions. Dois-je nommer quelqu’un en interne ? Est-ce que j’ai dans mon entreprise une personne compétente sur le sujet ? Cette personne doit-elle être DPO à temps complet ou à temps partiel pour pouvoir se concentrer sur d’autres tâches ? Y-a-t-il des DPO disponibles sur le marché de l’emploi ? La grande difficulté est en effet de trouver une personne qualifiée surtout à cause de l’aspect inédit du métier.
Les formations sont rares pour le moment mais il existe tout de même des labels de formations délivrés par la CNIL et des écoles comme l’ISEP ou encore Télécom EM qui forment les DPO. Ce n’est plus qu’une question de temps avant de voir apparaître les premières certifications RGPD et/ou DPO. Pour répondre à ces questions sur le choix du DPO les entreprises peuvent être accompagnées par un spécialiste de la cybersécurité mais attention, il faut s’assurer que ce prestataire ait bien, lui aussi, toutes les compétences requises pour pouvoir se positionner en tant que conseil.
Beaucoup trop d’offres dites RGPD sont disponibles sur le marché, mais sont finalement creuses. Par ailleurs, la fonction de DPO peut être externalisée. En effet, un prestataire de services peut également se substituer au DPO interne et prendre à sa charge le respect des obligations légales qui lui incombe.
Une fois le DPO nommé, quelle place doit-il occuper ?
L’arrivée du DPO implique des changements organisationnels. En effet, il faut bien faire une place à ce nouvel arrivant qui a un véritable pouvoir de décisions. Jusqu’à présent, quand le CIL (Correspondant Informatique et Liberté) était présent dans une entreprise, il n’avait pas de pouvoir réel mais seulement une activité de conseil.
Dorénavant, le DPO est inscrit dans la PSSI (Politique de Sécurité du Système d’Information) et impliqué dans toute action relative à la protection des données. Il gère notamment le bon déroulement des PIA (Privacy Impact Assessments) et s’assure que la conformité est correctement gérée. Il est en interaction avec le RSSI et éventuellement la DSI, et surtout avec le service conformité & juridique. Il intervient également dans la gestion de cybercrise si cela concerne les données à caractère personnel. C’est aussi celui qui peut notifier les autorités en cas de fuite de données.
Le DPO a donc un rôle clé et doit s’imposer dans un système où il n’était pas auparavant. Cela oblige les entreprises à repenser leur organisation et définir notamment son rattachement, en évitant les conflits d’intérêts et en gardant en tête qu’il fait ses rapports directement au niveau le plus élevé de la direction du responsable du traitement.
Le DPO idéal est à 50% juriste, 50% sécurité et 50% Risk Management : en effet, il y a problème !
Dans un monde idéal, le DPO est un juriste expérimenté, imbattable en matière de cybersécurité et, il a la capacité de piloter un programme avec une vision risque métier. Finalement, son rattachement au juridique ou à l’informatique ne poserait aucun problème. Sauf que dans les faits, il est impossible que le DPO puisse avoir toutes ces compétences. Il aura tantôt un profil juridique ou tantôt un profil technique, c’est ce qui définira son rattachement et qui enclenchera très probablement des difficultés dans le travail collaboratif. En effet, chaque service va fixer ses objectifs en fonction de sa compréhension et de son interprétation du RGPD sans avoir de visibilité sur ce qui est réellement possible de faire.
Ainsi, il arrive que, quand le projet RGPD est piloté par le juridique, ce dernier demande à chiffrer intégralement toutes les données, alors que d’un point de vue purement opérationnel et pour des raisons budgétaires, c’est infaisable. Ce manque de visibilité 360° peut être un vrai frein à l’avancement de la mise en conformité RGPD. Encore une fois, les entreprises peuvent faire appel à un spécialiste de la cybersécurité et de la gestion des risques qui jouera le rôle d’intermédiaire entre toutes les parties prenantes, avec une collaboration forte avec le service conformité & juridique. Il permet d’apporter un conseil avec une approche du RGPD par les risques qui peut manquer à l’équipe en place. Le secret du bon déroulement d’un projet RGPD réside dans la réunion de ce trio de compétences et une bonne communication entre tous.
Avec le RGPD nous sommes passés d’une ambition à une véritable déclinaison opérationnelle d’ampleur. Isabelle Falque-Pierrotin, présidente de la Cnil, et précédemment présidente du G29, expliquait devant les membres de l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) réunis à Paris le 24 janvier dernier que 80 000 entreprises et organismes publics vont devoir se doter d'un DPO contre 18 000 CILs en poste aujourd'hui.
Le défi des compétences est clairement pris en considération par les acteurs de la confiance numérique, notamment l’enseignement supérieur et des cabinets d’expertise qui vont renforcer la formation du métier de DPO. Cependant, on reste sur une période de transition et il va falloir attendre un peu pour que le retard soit comblé et répondre ainsi aux exigences de la fonction.
2018 et 2019 vont être des années difficiles pour les sociétés B2C du Middle Market et qui sont donc fortement affectées par le sujet. En effet, il est plus difficile pour elles de disposer du niveau de maturité que peuvent avoir les Grands Comptes habitués à des programmes de mise en conformité règlementaire et qui ont une capacité d’absorption de l’effort financier plus importante.