Data Protection Officer – Comment choisir son DPO et bien le positionner ?
Maxime JAILLETLe Data Protection Officer (DPO) est un acteur clé de la conformité RGPD de votre entreprise. Bien choisir son profil est vital pour que l’entreprise devienne privacy-friendly. La protection des données doit devenir une priorité de l’entreprise et plus encore un facteur de créations de valeurs. Pour cela, vous pouvez vous appuyer sur des solutions telles que la CMP d’Axeptio. On vous en parle. C’est notre product news du jour.
Qu’est-ce qu’un Data protection Officer et pourquoi devez-vous en désigner un ?
En France, pendant longtemps, nous avons eu le CIL, le Correspondant Informatique et Libertés. Un expert juriste avec une fonction de conseil pour accompagner la mise en conformité de son entité.
Depuis, il y a eu le RGPD et désormais, on parle de DPO ou Data Protection Officer. Le DPO est le référent-clé sur la mise en conformité RGPD de l’entreprise. Il ne prend pas la responsabilité des activités d’exploitation de données personnelles mais il aide chaque direction à mettre en conformité ses traitements.
Il a donc une fonction :
- de conseil pour aider l’entreprise à remplir ses obligations légales ;
- de contrôle, pour s’assurer que les choses sont bien faites en pratique. Attention ! Le DPO, ce n’est ni la police ni un agent de la CNIL.
Désigner un Délégué à la Protection des Données peut être obligatoire dans certains cas :
- Pour les autorités publiques (collectivités territoriales, établissements publics, services de l’administration centrale de l’État…) ;
- Pour les entreprises dont l’activité consiste à faire du suivi et de l’exploitation des données à grande échelle. Ce sont notamment toutes les entreprises technologiques (GAFAM, Opérateurs de réseaux de télécommunication, régies de publicité géolocalisée…) ;
- Pour les entités qui traitent des données sensibles à grande échelle (hôpitaux, hébergeurs de données de santé…).
Dans les autres cas, la désignation est facultative mais elle est clairement recommandée. Pourquoi ? Le DPO est un facilitateur, c’est donc un must-have pour toute entité qui démarre son plan de conformité RGPD, une mairie par exemple.
Comment désigner son DPO et quel est son rôle ?
Bien choisir son DPO, c’est LA question délicate par excellence. Précédemment, nous vous avons donné des conseils pour recruter le bon profil.
Car c’est l’enjeu. Data Protection Officer, ce n’est pas un poste facile. De la capacité de cette personne à agir efficacement dépend le succès de la démarche de conformité RGPD de l’entreprise. Une erreur de casting a donc un vrai impact et changer de profil en cours de route n’est pas aisé.
Le DPO a un rôle clé dans l’entreprise :
- Il devient un acteur partie prenante de la démarche de transition digitale de l’entreprise en s’efforçant de diffuser une culture de la protection des données et de la sécurité. Actions de sensibilisations, formations des nouveaux entrants, elearning… constituent une partie non négligeable de ses missions ;
- Par son action, il intègre la politique de sécurité de l’entreprise (PSSI) : il veille au bon déroulement des DPIA quand ils sont conduits, il audite la conformité RGPD des applications informatiques et des traitements de données ;
- Il prend part aux cellules de crise chargées de détecter et gérer les incidents de sécurité donnant lieu à des violations de données personnelles ;
- Il interagit avec les autres services transverses chargés de veiller à la conformité des activités de l’entreprise : direction juridique, direction de la compliance, DSI… ;
- Il est l’interlocuteur référent de l’autorité de protection des données, coordonne la réponse de l’entreprise en cas de demandes d’observations, de contrôles ou de procédures de sanction.
Où positionner votre DPO ?
Le Délégué à la Protection des Données est souvent rattaché à la Direction Juridique ou la Direction Technique.
Le plus important est de faire reconnaître ses missions au sein de l’entreprise :
- Il doit être positionné à un niveau hiérarchique lui permettant d’adresser un bilan de ses difficultés et de l’état de conformité de l’entreprise aux instances de direction ;
- Son travail doit bénéficier du soutien au plus haut niveau pour devenir une priorité de l’entreprise. Cela suppose donc qu’il dispose des moyens nécessaires pour réaliser ses missions.
- Evidemment, le DPO devra aussi faire en sorte de bien collaborer avec les services et ne pas être perçu comme un facteur de contraintes.
Comment faire collaborer le DPO avec les autres services ?
C’est souvent toute la difficulté. Faire comprendre l’importance de la protection des données pour que la conformité-RGPD soit embarquée dès l’étape de conception des projets, des applications et des fonctionnalités.
Le Data Protection Officer ne peut se démultiplier partout. Il devra compter avec l’aide des autres. Pour cela, il va :
- s’appuyer sur d’autres services qui porteront ses spécifications : le RSSI au moment de vérifier la sécurité IT des applications ; la compliance ; l’audit des risques afin de minimiser le risque de non conformité de l’entreprise ; la RSE au moment d’évaluer l’empreinte carbone de l’entreprise et d’essayer de l’optimiser…
- déployer un réseau de Relais Informatiques et Libertés, c’est-à-dire de profils métiers bien intégrés dans leurs directions et qui coordonneront efficacement la mise en conformité concrète des traitements.
L’enjeu aujourd’hui, c’est de montrer que la conformité RGPD n’est pas qu’une question d’obligation légale. C’est aussi un facteur de différenciation et de création de valeurs. Un moyen pour cela est de s’appuyer sur des outils qui reflètent une vraie vision.
Axeptio propose par exemple une Consent Management Platform très particulière. Elle permet bien entendu une gestion conforme des cookies d’un site web mais pas seulement :
- Elle contribue à une gestion optimale des performances du site et de la qualité de l’UX. Elle soumet en effet à un principe de consentement préalable tous les cookies non nécessaires du site. Le déploiement d’une CMP est donc l’occasion de supprimer les tags obsolètes ou de remplacer certains outils surdimensionnés ou trop gourmands au regard du besoin.
- Elle est un moyen pratique de concrétiser les valeurs d’une entreprise. L'éthique n’est pas qu’un discours car une entreprise qui installe cette CMP fait une transparence totale sur les cookies déposés, les finalités d’utilisation et le fonctionnement technique du site web.
- Elle aide l’entreprise à s’améliorer continuellement. Une CMP affiche en sorte la liste des ingrédients du site. Elle vous pousse par conséquent à vous améliorer en supprimant les cookies trop intrusifs, à faire mieux en collectant moins.
- Elle permet d’enrichir l’expérience utilisateur en proposant une fonctionnalité de gestion de la vie privée. C’est une vraie réponse à l’inquiétude croissante des utilisateurs qui demandent plus d’éthique, de transparence et de contrôle.
- Elle aide à approfondir la relation utilisateur et fait prendre le virage du marketing choisi. Comment ? En créant, dès la visite du site web, une première interaction forte. Elle vous pousse donc à mieux communiquer avec votre audience et c’est exactement ce que demandent vos utilisateurs.
Conclusion : Choisissez un DPO multi-compétences, business-oriented mais avec une vraie éthique
Les entités ont passé un cap. Fini le temps où pour montrer sa préoccupation pour la vie privée, on désignait un profil idoine.
Désormais les entreprises sont sommées, au-delà des discours, de faire la preuve de leur éthique. Le Data Protection Officer est donc devenu une fonction-clé parce que son rôle est de veiller à ce que l’entreprise respecte une réglementation pensée d’abord pour répondre à la préoccupation des utilisateurs.
Choisir le bon profil, multi-compétences et adapté au fonctionnement de l’entreprise, est donc un enjeu clé. Mais une fois désigné, il faut lui faciliter la vie :
- Lui donner une capacité d’influence forte en montrant un niveau de soutien élevé par la direction générale ;
- Lui donner les moyens d’agir.
Le DPO ne doit pour autant pas passer pour un empêcheur de tourner en rond et encore moins un gendarme. Pour qu’il soit perçu comme pro-business, la protection des données doit elle-même être considérée comme créatrice de valeurs.
Pour y parvenir, vous pouvez vous appuyer sur des solutions dédiées qui ont une vraie vision. Axeptio séduit un nombre très élevé et toujours en augmentation de clients, en France mais également dans le monde.
Car une CMP n’est pas qu’un outil technique pour gérer des tags dans des codes sources. Ni une solution légale pour répondre au RGPD. C’est un vrai moyen d’enrichir l’expérience utilisateur. Autrement dit, c’est une façon incontournable, 100 % conforme et crashtestée par les régulateurs, de faire du RGPD une vraie préoccupation marketing.
Ne partez pas si vite
Quelle UX design pour votre bandeau cookies ?
Maxime JAILLETAdoptez une UX design claire et transparente pour votre bandeau cookies ! La réglementation pousse à recueillir un consentement actif et spécifique. Emplacement, contenu, ergonomie… Proposez une expérience utilisateur fluide permettant d’être informé et d’exprimer ses préférences. Devenez ainsi un acteur du marketing choisi.
Comment gérer la conformité RGPD de votre site Wordpress ?
Maxime JAILLETVotre site web Wordpress respecte-t-il les standards du RGPD ? Une démarche active sera nécessaire de votre part pour réaliser cette mise en conformité. Gestion des cookies, transparence, sécurité, consentement… les mesures à appliquer sont multiples. Heureusement, vous pouvez vous appuyer sur des outils dédiés… à condition de bien les choisir.
En 2020, la palme d’or des amendes au RGPD revient à… l’Italie
Maxime JAILLETEn 2020, l’Italie est le pays européen qui a prononcé le plus important montant d’amendes liées au RGPD. Un palmarès qui doit beaucoup à une activité intense de l’autorité de protection des données italiennes, le Garante. Le régulateur lutte notamment contre le télémarketing sauvage.