Apparu il y a quelques années, le DPO (Délégué à la Protection des Données ou Data Protection Officer) s’est forgé une place centrale au sein des organisations. Au point de devenir un véritable Business Partner, au moment où les datas s’imposent comme un enjeu stratégique pour les entreprises… Éclairage.
L’entrée en vigueur du RGPD en 2018 a changé la donne dans les entreprises. Lorsque le Parlement européen entérine, deux ans plus tôt, la mise en place d’un Règlement général sur la protection des données (RGPD), l’information passe sous la plupart des radars. L’ambition est pourtant forte : garantir aux citoyens de l’UE que leurs données personnelles soient traitées uniquement dans un objectif auquel ils ont donné leur consentement. Pour se conformer, les entreprises concernées doivent nommer un DPO, ou délégué à la protection des données, véritable référent interne en matière de RGPD.
« En voyant avant tout l’aspect légal à faire respecter, dans un premier temps, la plupart des entreprises se sont tournées vers leur direction juridique pour cette fonction, analyse Alan Daifuku, Directeur Associé chez IMfinity. La dimension technique a ensuite très rapidement surgi ! Comme le RGPD traite de conservation et de traitement de données – et que ces données sont pour l’essentiel aujourd’hui numériques – les directions SI (Systèmes d’information) se trouvent nécessairement en première ligne. Mais rapidement, les aspects business ont pris le dessus avec un double enjeu central : le pilotage du risque et la conquête de nouveaux marchés. »
« En 5 ans, le DPO a bouclé le même chemin que celui parcouru en 30 années par les directeurs juridiques, souligne Arnaud Desclèves. D’abord installé pour tenir une place assez administrative, il a dû se métamorphoser pour prendre aujourd’hui un rôle stratégique, à l’image de celui des directeurs juridiques. Dorénavant le DPO, c’est celui qui permet de conclure les deals et les transactions ! »
Les questions liées aux données et à leur protection expliquent en grande partie ce bouleversement rapide. Pour vendre un logiciel par exemple, le DPO doit être capable d’expliquer comment sont traitées les données, où elles sont stockées et justifier les choix et les arbitrages. Le tout en assurant une bonne conformité avec le RGPD et en ménageant une certaine part de risque inhérente au développement de l’activité… En d’autres termes, rassurer et convaincre le client ! « C’est la force d’un bon DPO : en lien avec les équipes commerciales et techniques, savoir positionner le curseur du risque en s’appuyant sur ses compétences et sur son expérience, estime Arnaud Desclèves. Un vrai Business Partner. »
Indépendant et neutre, le DPO doit être en mesure de discuter avec n’importe quel service de la société, sans aucune contrainte, pour faire part de ses points d’attentions et de ses demandes. Dans la hiérarchie, mieux vaut le rattacher à la direction générale.
« Fonctionnellement, si son supérieur est le directeur SI, il pourrait avoir les mains liées pour formuler ses recommandations, estime Alan Daifuku. Le DPO doit au contraire être libre, par exemple de former les équipes qui ont accès à des données personnelles et de déployer des bonnes pratiques auprès du service SI. De plus, il est le point de contact unique lors de la gestion d’une crise pouvant avoir une incidence sur les données personnelles de l’entreprise ».
Pour aider les entreprises à se mettre en règle, la CNIL délivre une certification aux DPO formés aux bonnes pratiques. Et pour l’expertise et la mesure du risque, le management de transition constitue une réponse clef en main aux besoins des entreprises. Immédiatement opérationnel, le DPO de transition saura identifier les enjeux de la structure, aller à la rencontre des différents services et cerner les actions nécessaires. « Même s’il ne connaît pas tous les rouages de l’entreprise, son expérience, sa formation et sa hauteur de vue lui permettent de comprendre immédiatement le contexte et d’identifier les optimisations. Il mène un mini-audit des pratiques avec un regard extérieur et émet des recommandations pour des améliorations appuyées sur ses compétences et son expérience. »
Capable de jongler avec les dimensions juridiques, techniques et financières, il contribuera ainsi directement à trouver le juste point d’équilibre, maîtriser les risques et faciliter la conquête de nouveaux marchés. Pour structurer une politique de protection des données, pour installer un plan international, ou assurer un remplacement, le manager de transition DPO apporte une réponse optimisée aux obligations légales et aux enjeux business des datas.