Vouloir dessiner le portrait-robot du DPO est sans doute aussi utile que d'atteindre la quadrature du cercle. C'est beau, mais ça sert pas à grand chose. Longtemps ignoré par les directions générales, les CIL (Correspondants Informatiques et Libertés), sorte de cousins éloignés des RSSI (Responsable de la Sécurité du Système d’Information) sont tout à coup projetés au centre du game et il va falloir désormais compter avec eux.
Alors le DPO, futur crack de l’open-space ?
Et moi et moi et moi
Le DPO (Data Protection Officer) a tout l'air d'un nouveau-né dans l'organigramme de l'entreprise. Peu, dans l'organisation, sont au fait de ses prérogatives réelles. « A quoi va-t-il servir ? » « Va-t-il mettre son nez dans mes processus ? » - Bref, c'est qui à la fin!
Rassurez-vous, sous ses airs de jeune premier, il n'en est pas pour autant un débutant ! Souvenez-vous des CIL, ces personnages un peu perchés qui nous expliquaient lors du séminaire annuel de l’entreprise que l’on peut faire supprimer notre nom de toutes les recherches Google et que c’était légal ; alors que nous, simples mortels de la DSI, nous rêvions d'une ouverture de session qui prenne moins de 4 mn... Vous sentez le décalage ?
On the right corner, donc, un CIL (ou un proche cousin) un peu dépoussiéré et candidat assez naturel au sein des organisations et, du côté gauche, à peu près le reste de la planète tant les contours de la mission du DPO sont divers et variés.
Un grand pouvoir implique de grandes responsabilités
Mais la donnée, c’est quoi au juste ?
"- Alors monsieur le DPO c’est quoi ton travail ? »
- "Et bien vois-tu, mon métier est avant tout de préserver ce que tu veux bien me confier."
- "C’est-à-dire ?"
- "Je ne sais pas, c’est à toi de me le dire. Explique-moi quel est ton métier, et demande-toi quels éléments tu voudrais protéger."
- "Ha ? mais je croyais que ton boulot ça concernait la donnée personnelle, les fiches RH ou ce genre de choses"
- "Entre autres oui, mais que fait-on du reste des données ? On ne la protège pas?"
- "bah si..."
Voilà qui pourrait résumer une discussion récurrente de machine à café ;
Bien que sa dénomination ait accompagné la mise en œuvre de GDPR qui se concentre sur les données personnelles, le périmètre DPO est bien plus vaste et sa mission est simple : protéger la donnée de l’entreprise.
Mais la donnée, c’est quoi au juste ? Comment l’identifier, la caractériser, la valoriser ? Le processus de la gestion de donnée est-il tout aussi critique que la donnée elle-même ?
Bref, vous l’aurez compris, il ne s’agit pas seulement de faire une belle carte avec la localisation des données pour faire un bon DPO. Il faut également être capable d’adapter des mesures cohérentes pour protéger cet actif immatériel de l’entreprise si précieux.
T'en es ?
Voici la question qu’un DSI pourrait poser à son tout nouveau DPO pour savoir s’il est un futur allié ou son pire cauchemar. Car il ne faut pas se mentir, qui dit « données » dit « système de gestion de la donnée ».
La quantité toujours plus phénoménale de données générées et les nouvelles données que nous irons chercher par quantités infinies auprès de ces brokers font que la DSI est plus que jamais le bras armé du DPO. De fait, la relation entre DSI et DPO peut parfois se tendre. L’un voulant préserver ses prérogatives et l’autre cherchant à faire respecter la réglementation (je vous laisserai décider qui est qui…). Cependant, leur relation est indivisible car ils sont interdépendants dans leurs missions respectives.
Tout bon système de protection passe par un socle de technologie qui demeure critique. Alors, bien qu’on ne lui demande pas de coder en C# au petit déjeuner, on demande tout de même au futur DPO de comprendre un tant soit peu la technologie sous-jacente qui gère ces données. En somme, quelqu’un pour qui le cloud n’est pas qu’une option de son smartphone.
Geek inside, what else?
Du juridique (beaucoup), car c’est bien là le cœur du sujet. L’entreprise va endosser de nouvelles responsabilités vis-à-vis de tiers, et son exposition juridique va s’accroitre considérablement. Un exemple ? Le principe de coresponsabilité : si votre dealer se fait pincer, vous plongez avec. C’est hard mais c’est légal.
Point de ténor du barreau là encore, mais une solide expérience dans la relation client/fournisseur/collègue. Une véritable capacité à négocier, rassurer, bref, être le visage qu’on montre quand la situation l’exige, et c’est rarement pour une partie de pêche. De ce point de vue, les profils d’entrepreneurs ont la côte, car le DPO partage cela en commun avec lui : il est souvent seul face à ses décisions ! Dans tous les cas, les caractéristiques d’un DPO devront intégrer une forte capacité à négocier, dialoguer et comprendre l’organisation. De ce point de vue, des profils trop juniors auront sans doute plus de difficultés à se faire une place prépondérante, même si cela ne doit pas être un motif d’exclusion.
Le principe de coresponsabilité : si votre dealer se fait pincer, vous plongez avec...
Et si on ne trouve pas ?
A défaut d’être en mesure de l’identifier clairement, on peut néanmoins déjà définir ce que le DPO ne peut pas être.
Le DPO ne peut pas être le DSI, RSSI ou un membre de l’équipe dirigeante. C’est assez logique finalement, le DPO engage la responsabilité de l’entreprise et s’appuie sur sa propre organisation pour cela. En d’autres termes il ne peut pas être juge et parti. A ce titre, les textes sont très clairs. Le DPO doit avoir une indépendance vis-à-vis de l’équipe dirigeante et doit disposer des moyens nécessaires pour la réalisation de sa mission.
Il s’agit donc bel et bien de créer une nouvelle case pour y caser ce DPO, et toute la difficulté réside dans le fait qu’il doit avoir de la visibilité dans tous les départements à la fois : Un véritable rôle transverse qui fait tant rêver les DRH !
Les DRH feraient-t-ils des bons DPO ? A creuser…
Dernière bonne nouvelle pour les entreprises qui se demandent si elles vont devoir embaucher ce nouvel hybride de la société, sachez que le G29 autorise le recours à des organisations externes. Exception faite des entreprises dont le cœur de métier concerne le traitement de données personnelles (Société de sécurité physique, hôpitaux, data broker) qui devront disposer d’un DPO en interne.