DPO : qui pour endosser la fonction ?
Et si la fonction de DPO était confiée à un informaticien ou à un expert en sécurité ? L’étude de I’IAPP ouvre le champ d’investigation.
Les professionnels de la protection des données et les responsables de la gestion des organisations partagent une question commune : qui doit être le DPO, le responsable de la protection des données ? Certains prétendent qu’un professionnel du droit convient le mieux à ce rôle; d’autres soutiennent qu’un professionnel des opérations s’impose naturellement. Au vu de l’extrême difficulté pour trouver les bons profils, I’IAPP (International Association of Privacy Professionals) avance une série de pistes de réflexions. Et ses conclusions étonnent….
A la lumière du GDPR, les organisations ont désormais le devoir de nommer un délégué à la protection des données si elles représentent une autorité publique, si elles exercent une surveillance systématique des personnes ou si elles réalisent certaines activités de traitement des données. Cela étant, de nombreuses entreprises, qui ne sont pas légalement tenues de nommer un DPO, le font pour tenter de respecter les meilleures pratiques en matière de protection des données et, par là, de démontrer leur conformité. Au niveau mondial, a chiffré l’IAPP, on attend quelque 75.000 DPO.
DPO… Un juriste, vraiment ?
Dans un premier temps, on a associé la fonction au métier de juriste. En vertu du règlement général de l’Union européenne sur la protection des données, il est recommandé aux personnes qui comprennent la loi et ses exigences de porter le chapeau afin de contribuer au respect de la protection des données. C’est logique : une personne légalement formée qui comprend le GDPR sera en mesure de conseiller l’organisation et de rédiger les politiques et les contrats de manière à définir les limites et les responsabilités juridiques pertinentes. Cependant, cela ne résout en rien le problème de la conformité opérationnelle…
Pour l’IAAP, l’exemple de Facebook est criant. Facebook est une société cotée en bourse qui dispose évidemment d’une équipe juridique pour gérer ses responsabilités. Pourtant, la société est également sous le feu des projecteurs pour ce qui est considéré comme la plus grande violation de données à caractère personnel. Cela ne signifie pas que son équipe juridique est incompétente. On peut plutôt se demander si son équipe métier, ses ingénieurs et le reste des équipes sont compétents ou même impliqués dans le programme de gestion de la protection des données; on peut également se demander si l’équipe juridique a été consultée pour des projets…
Supposons maintenant que le professionnel juridique soit également au courant des opérations. Cela garantirait-il la conformité opérationnelle avec les lois ? C’est très improbable. Un DPO ne peut pas être la même personne qui gère les procédures opérationnelles standard, audite, organise la formation et effectue un suivi quotidien des pratiques de protection des données au sein de l’organisation.
De même, si la compréhension des lois est la clé ou l’unique considération de l’aptitude d’un délégué à la protection des données, toute personne possédant une certification professionnelle serait suffisante, les avocats ne disposant pas de ces certifications devant être moins qualifiés.
Par conséquent, soutient l’IAPP, ce n’est pas la nomination d’un individu, mais celle d’un comité possédant les antécédents pertinents qui permettra de manière réaliste à une organisation de travailler à la conformité opérationnelle dans la protection des données.
A Singapour, deux affaires récentes ont montré que des PDO, qui n’étaient pas de juristes, ont réussi à défendre leurs organisations contre de nouvelles sanctions, telles que des amendes. Appelons-les sociétés A et B et leurs DPO, respectivement DPO A et DPO B.
Priorité à la mise en oeuvre
La société A est une société qui a subi une violation de plus de 100 000 enregistrements, ce qui satisferait parfaitement aux exigences de la plupart des juridictions, constituant une affaire sérieuse obligeant la société à signaler la violation directement à l’autorité de réglementation. Une fois conscients de la gravité du problème, le DPO A a engagé un cabinet de conseil en confidentialité pour examiner la cause fondamentale de l’incident et les défaillances potentielles au sein de la société A. Le DPO A a découvert que leur fournisseur informatique ne protégeait pas suffisamment le système informatique contre lequel les données ont été divulguées et ne permettaient pas de respecter les obligations de protection de la société A. En outre, le DPO A a découvert que le personnel avait besoin d’une formation de recyclage. Ainsi, le DPO A s’est rapidement battu pour mettre fin aux services dudit fournisseur informatique et a fait appel à une équipe d’experts en confidentialité pour former tous les responsables à la relance du programme de reconversion. En outre, le DPO A avait précédemment mené un exercice de confidentialité pour préparer les politiques et procédures pertinentes. Appuyé par des preuves de ces activités, le DPO A a réussi à démontrer aux autorités de réglementation que la société A était sérieuse en matière de respect de la vie privée et qu’elle maîtrisait les choses. Finalement, les régulateurs ont émis un avertissement à la société A… sans aucune amende.
D’autre part, la société B est une société qui avait reçu une plainte contre les mauvaises pratiques de son personnel en matière de confidentialité. Les autorités de réglementation ont mené une enquête et ont découvert que la société B avait mis en place ses pratiques en matière de confidentialité, mais le membre du personnel qui avait commis l’infraction avait agi de son propre chef. Plus important encore, le membre du personnel avait refusé d’assister à la formation alors même que la société B avait fait appel à une équipe d’experts pour trois sessions distinctes. À la fin, les régulateurs ont décidé que la société B n’enfreignait pas la loi sur la protection des données, tandis que l’individu se voyait infliger une amende.
Ces cas particuliers montrent que la clé de la responsabilité ne repose pas sur le fait que le DPO ait une formation juridique ou des connaissances en matière de sécurité de l’information, mais qu’il ait aidé à mettre en œuvre des pratiques de protection des données appropriées.
DPO, un sport d’équipe
Le DPO doit être compétent et confiant pour assurer la liaison avec les parties prenantes externes comme les régulateurs et faire preuve de compétences de leadership dans son travail avec des équipes internes.
Ce point sera essentiel, car la conformité au GDPR est un sport d’équipe qui implique l’informatique, le marketing, le service d’exploitation et de nombreux autres départements de l’entreprise.
Le GDPR énonce une série d’exigences très spécifiques pour le rôle de DPO, notamment le conseil sur les évaluations de risque, les contre-mesures et les évaluations d’impact sur la protection des données.
Cela signifie que les DPO doivent avoir une expérience pratique significative des certifications de respect de la vie privée et des normes de sécurité des informations. Des compétences qui devront s’appuyer sur une vaste expérience des infrastructures informatiques et des audits des systèmes informatiques. En outre, les risques évoluant constamment, les DPO devront comprendre l’influence des technologies émergentes sur ces risques.
Cela nécessitera un large éventail de compétences techniques et d’expérience, allant de la compréhension de la confidentialité des données à la gestion des risques liés à l’information, en passant par la protection appropriée des informations en fonction de leur niveau de risque grâce aux personnes, aux processus et aux technologies. Tout cela en fait le rôle idéal pour un informaticien ambitieux intéressé par tout ce qui touche à la confidentialité des données.
De toute évidence, les entreprises devront adopter une approche plus pragmatique et découvrir si leur personnel compte des informaticiens ou des experts en cybersécurité qui pourraient assumer le rôle de DPO avec une formation et un coaching approprié.