Le data protection officer : l’art de savoir négocier
Trois années après l’entrée en application du Règlement général sur la protection des données (RGPD), le délégué à la protection des données (DPD ou DPO), commence à trouver sa place dans un contexte de forte évolution du droit de la protection des données personnelles. Chargé d’informer, de conseiller et de contrôler le respect des règles applicables conformément aux missions définies par l’article 49 du RGPD, il joue un rôle de point de contact voire de vigie afin de prévenir les risques liés à des traitements de données personnelles et doit également être associé à toutes les questions relatives à la protection des données. Autant d’éléments qui contribuent à lui donner un positionnement unique et spécifique, en écho avec les problématiques propres aux organisations au sein desquelles il est désigné (collectivités publiques, ministères ou établissements publics, entreprises, start-up, etc.).
Dialogue approfondi et interactif
Si la « création » du DPO par le RGPD s’inscrit dans les pas du correspondant informatique et libertés (Cil), elle marque cependant une forme de concrétisation et de reconnaissance du droit de la protection des données et de ses acteurs. Dont le DPO. Cette formalisation n’en reste pas moins complexe. Comment permettre la reconnaissance et la visibilité d’un DPO destiné à rendre compte au plus haut niveau de son organisation ? Comment mettre à plat l’ensemble des traitements de données dans un groupe de sociétés, y compris en procédant à des purges importantes des archives et des bases de données ? Comment faire dialoguer l’ensemble des acteurs impliqués, en les conseillant sur l’application de la législation applicable, tout en conciliant des impératifs économiques ou marketing ? Comment identifier les risques en jeu, en alliant approche juridique et sécurité des données ? Ces questions ne sont pas abstraites, elles reflètent au contraire la difficulté des missions du délégué à la protection des données. Comme leur grand intérêt : en effet, et c’est une conviction, pour être efficace et être écouté, le DPO doit jouer un rôle de négociateur afin de permettre la prise en compte quotidienne des impératifs du droit de la protection des données, droit fondamental au sens de l’article 8 de la charte des droits fondamentaux de l’Union européenne.
Ce rôle de négociateur passe par un dialogue approfondi et interactif avec tous les acteurs impliqués par les traitements de données personnelles (ressources humaines, juridique, compliance, marketing, communication, etc…) pour garantir un niveau de protection et une gouvernance RGPD efficace, à rebours d’approches trop formelles. Ce processus de négociation conditionne aussi le succès ou l’échec des procédures d’audit ou des révisions des procédures mises en place, afin de créer les conditions d’une réelle transparence et d’une vision à 360 degrés des mécanismes par exemple en matière d’information et de transparence.
La vision des chantiers à venir
Négocier nécessite enfin un calendrier et des objectifs précis : cela suppose une vision des chantiers à suivre ou à superposer ainsi qu’une visibilité du DPO. C’est la condition même du succès des programmes de compliance en matière de protection des données, alors même que chaque organisation doit faire sans cesse la preuve de cette conformité ou accountability, dans un contexte pour le moins incertain et risqué (au titre des transferts internationaux de données notamment). À défaut, l’action du délégué à la protection des données aura vocation à rester parcellaire ou inefficace, en tous cas, limitée.
Autant de questions à retrouver chaque mois dans ces Paroles de DPO, avec un prochain focus sur les enjeux liés à la sécurité des données et de cybersécurité.
Pourquoi des Paroles de DPO ?
Chaque mois, Jérôme Deroulez présente une tribune pour y relater son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.