Dans la première partie de cet article, j’aborderai les responsabilités du DPO et la question de savoir si sa responsabilité personnelle peut être mise en cause pour les catastrophes qui surviennent dans l’organisation où il travaille. Dans la deuxième partie, je parlerai de son fonctionnement et des nombreux talents dont un DPO doit disposer : connaissances juridiques, ICT, professionnelles, en gestion des risques, expertise pour faire rapport à la direction et aptitudes sociales.

Responsabilités

Peu à peu, presque tous les articles à propos du GDPR s’accordent clairement sur ce point : la politique de confidentialité des données, c’est du sérieux ! Et comme Franklin D. Roosevelt l’a dit un jour : « Great power involves great responibility » (un grand pouvoir implique de grandes responsabilités).

Il en va de même pour le DPO ou le rôle qu’il endosse. Nombre de questions naissent ainsi quant à la responsabilité personnelle d’un Data Protection Officer si des failles aux grandes conséquences sont constatées. Imaginez que vous êtes le DPO d’une organisation qui perd les données médicales de tous ses patients ou celui d’autorités locales, régionales ou fédérales qui voient les données de ses habitants apparaître à un prix exorbitant sur l’un ou l’autre forum obscur.
Voilà déjà de quoi faire passer quelques nuits blanches à un DPO. Mais qu’en est-il alors si la Data Protection Authority ou DPA (l’autorité de protection des données) ou une instance juridique met en cause la responsabilité directe de celui-ci ?

Les administrateurs d’une organisation ne peuvent pas dégager leur responsabilité personnelle et se protéger uniquement en s’assurant qu’aucune catastrophe ne se produise. Mais ceux-ci sont conseillés par leur DPO. À l’heure actuelle, il existe toujours un vide autour de la responsabilité personnelle dans le cadre du GDPR. Dans les prochains mois, le WP29, le groupe de travail européen pour le GDPR (dénommé selon l’article 29 du GDPR), devra apporter les éclaircissements nécessaires. Toutefois, ces organes ont déjà exprimé le souhait « de ne pas prendre pour cible le DPO » en cas de catastrophes concernant la confidentialité des données. Par conséquent, l’attente générale réside dans le fait que les précisions ultérieures protégeront le DPO de toute responsabilité personnelle et donc d’un licenciement sur la base de ses conseils en tant que DPO.

Il y a toutefois un grand MAIS. Si le DPO donne des conseils erronés ou infondés de manière structurelle ou qu’il ne peut donner aucun conseil indépendant (en d’autres termes, si le DPO prétend que l’entreprise s’en sort bien à la place de protéger les données de manière objective), il est, selon toute vraisemblance, personnellement responsable.

Il apparaît dès lors plus que recommandé d’étayer correctement les conseils, d’établir un journal avec les conseils donnés et les décisions qui en découlent et de prendre régulièrement des conseils à l’extérieur. Ces conseils extérieurs peuvent venir de juristes, de spécialistes de l’industrie ou de spécialistes ICT ou d’autres secteurs pour autant qu’il s’agisse de projets ICT. Et pas question d’oublier le DPA dans tout ça. Selon les dires de notre secrétaire d’État, celui-ci occupera un rôle de prévention et de conseil.

Fonctionnement

Les grandes responsabilités et la responsabilité personnelle potentielle du DPO ne simplifient pas son rôle et son fonctionnement. Il devra souvent jouer le rôle d’« agent de police » et s’opposer aux désirs des organisations de contourner le GDPR. Il transmet souvent des messages difficiles, mais il ne sera naturellement pas désigné comme grand coupable du report de certains projets ou de la baisse de croissance de l’entreprise.

En dehors du fait qu’un DPO doit connaître le GDPR sous toutes ses coutures, il doit également disposer de plusieurs talents et compétences spécifiques pour conserver l’équilibre délicat entre les intérêts de l’entreprise et les règles en matière de confidentialité des données :

• Connaissances juridiques

• Connaissances ICT 

• Connaissances professionnelles

• Connaissances en gestion des risques 

• Expertise pour faire rapport à la direction

• Aptitudes sociales

Ci-après, nous revenons brièvement sur chacun de ces six aspects.

1. Connaissances juridiques

Le GDPR est une législation avec des interprétations, des arrêts, des amendements, et des recommandations et interdictions contractuelles. Il est donc tout indiqué de disposer de quelques connaissances juridiques pour pouvoir s'entretenir avec les juristes. Par ailleurs, des évolutions juridiques suivront encore après l’introduction du GDPR et la législation belge en matière de confidentialité des données évoluera elle aussi très certainement. À l’avenir, 
les arrêts d’une chambre ou d’une cour auront une influence sur la digitalisation et sur l’impact de celle-ci sur les processus opérationnels futurs et existants.

2. Connaissances ICT

Quel processus opérationnel lancé dans n’importe quelle organisation à l’heure actuelle n’a aucun impact sur l’ICT ou n’a besoin d’aucun outil ICT ou d’aucune intervention ICT ? Un DPO ne peut assurer aucun rôle compromettant au sein de l’organisation. Il est probable que votre DPO ne vienne donc pas du département ICT. Mais alors, qui peut endosser ce rôle ? Le domaine Business & IT Alignment dans toute sa complexité constitue depuis longtemps déjà un maillon essentiel au sein des organisations. Selon nous, il est préférable que le DPO de demain ait des connaissances et de l’expérience dans ce domaine. Poser les bonnes questions ICT et ne pas prendre la première réponse, souvent irréfléchie, comme argent comptant. Il est primordial d’être créatif tant dans les processus opérationnels que dans l’architecture ICT. Surtout si vous ne souhaitez pas être le DPO qui ne fait que réprimander et dire non et qui erre dans l’organisation comme une sorte de paria que personne ne désire voir arriver.

3. Connaissances professionnelles

La même chose s’applique bien entendu aux connaissances professionnelles. Le rôle de surveillance et parfois de réprimande du DPO doit également avoir une valeur ajoutée pour l’organisation. La compréhension du fondement de l’activité va l’aider à se conformer au GDPR et à faire emprunter une nouvelle voie au processus de création de l’entreprise à la place d’y mettre un terme. 

4. Gestion des risques

Ce n’est pas nouveau, mais rien n’est devenu plus simple sous le GDPR. La gestion des risques représente plus qu’une mise à jour d’un journal des risques et pour le GDPR, soumettre un fichier Excel ne suffira pas. Vous devez prouver que vous travaillez aux risques répertoriés. Qu’il y a une amélioration et que les risques disparaissent ou que leur incidence ou leur probabilité diminue.

Cela fonctionne uniquement si vous parvenez à évaluer les risques correctement après les avoir répertoriés. Quel sera l’impact si ce risque devient un problème et quelle est la probabilité que cela arrive ? Ces deux questions déterminent le facteur de risque que vous devez comparer à votre appétit pour le risque : quel risque voulons-nous connaître ou pas en tant qu’organisation ? La politique de sécurité est établie en concertation avec le conseil de direction et peut différer grandement d’une organisation à l’autre. Pour l’un, le piratage du pare-feu est un risque mineur, alors qu’un spécialiste évalue peut-être cela différemment. Il est donc recommandé d’accueillir l’expertise extérieure ou dont on dispose dans son environnement. Par ailleurs, il est préférable que le DPO n’évalue pas les risques seul. Demandez leurs avis aux différents acteurs pour un risque déterminé en termes d’impact et de probabilité. Cette méthode permet d’obtenir un chiffre nuancé avec lequel l’entreprise peut travailler.
.

5. Expertise pour faire rapport à la direction

Depuis son rôle opérationnel, le DPO doit faire des rapports aux plus hautes instances de l’organisation. Ainsi, il faut souvent appliquer des règles spécifiques. Certaines directions travaillent très formellement et selon un ordre du jour, d’autres se réunissent de manière très pragmatique. Parfois, un DPO doit donner des présentations, d’autres membres de la direction attendent un dossier complet y compris toutes les solutions et considérations x jours avant la réunion.

Un DPO doit être conscient de ces règles du jeu et s’adapter au système. Qui enfreint les règles tacites ne parviendra jamais à ses fins dans un accord. Et comme prôné clairement par le GDPR, un DPO au sein d’une organisation cherche à parvenir à une prise de conscience et, à terme, à une « approche intégrée concernant la confidentialité des données » au plus haut niveau.

6. Aptitudes sociales

Enfin, ajoutons encore que le DPO agit selon une législation qui a été imposée aux entreprises et qu’elles ne l’ont pas demandée. Il règne plutôt une certaine irritation vis-à-vis du législateur « invisible » que nous ne contiendrons pas longtemps. C’est un réflexe humain d’identifier la personne responsable de l’exécution au législateur. Le DPO peut accélérer ce processus, ou il peut se servir de ses aptitudes sociales pour distinguer l’homme des obligations professionnelles. Cela permettra de ne pas commencer les discussions à couteaux tirés et d’accroître la compréhension à l’égard du travail sur le long terme. L’objectif est de transformer votre organisation en une organisation « axée sur la confidentialité des données ».

Conclusion

Le bon conseil que l’on pourrait vous donner : « réfléchissez-y à deux fois avant d’agir ». Réfléchissez bien en tant qu’organisation à qui vous confierez le rôle de DPO, que ce soit en interne ou que vous fassiez appel à un consultant externe. Le fonctionnement de votre DPO déterminera la manière dont vous lancerez de nouvelles initiatives à l’avenir ou dont vous obtiendrez des réponses créatives et rapides et dont vous gagnerez la confiance du DPA en tant qu’organisation « axée sur la confidentialité des données »

Le GDPR ne doit pas être la nième norme qui menace votre modèle opérationnel. Si vous l’abordez bien, cette législation vous ouvrira des portes créatives afin d’utiliser ou de commercialiser les données disponibles d’une manière responsable. Je m’attends à une période passionnante pour les entreprises préoccupées par la confidentialité des données qui feront les bons choix dans l’engagement d’un DPO (entre autres).

Gert Maton, Senior consultant

Si vous voulez en apprendre plus sur le GDPR ou si vous voulez avoir recours à notre aide pour préparer votre entreprise d'ici mai 2018, veuillez me contacter via  Gert.Maton@realdolmen.com.