Quel est le rôle d’un DPO ?
À l’ère du numérique, où les données personnelles sont devenues le nouvel or noir, une figure émerge au sein des entreprises : le Délégué à la Protection des Données (DPO).
Dans cet article, plongez au cœur du métier de DPO, un rôle aussi stratégique qu’indispensable et découvrez comment il orchestre la sécurité des données personnelles.
Le Délégué à la Protection des Données est un métier récent qui recouvre plusieurs activités et a un rôle transversal au sein d’une entreprise. Son rôle est d’avoir une vision complète des traitements de données personnelles au sein d’une entreprise. L’enjeu est bien sûr de maîtriser les risques liés à ces traitements et d’acculturer chaque acteur (chef de projet, consultant..) aux bonnes pratiques de protection des données et de confidentialité.
Mais concrètement, que fait le DPO ?
Tout commence par comprendre l’organisation de l’entreprise et les spécificités de chacun des métiers. En effet, les services RH et les services financiers ne manipulent pas les mêmes données. Quant aux services IT, pilier essentiel au bon fonctionnement des équipes, gèrent une quantité considérable de données.
La cartographie des traitements de données personnelles
Pour avoir une vue exhaustive des traitements, le DPO réalise une cartographie des traitements de données personnelles.
Comme je le rappelle régulièrement, il suffit d’un nom et prénom ou uniquement d’une adresse mail, pour avoir un traitement de données personnelles.
Pour une entreprise comme SQORUS, les traitements de données personnelles sont identifiés pour toutes les fonctions transverses (RH, Marketing, Administrative…), mais aussi au sein de chaque division de consultants. En effet, des traitements de données personnelles sont effectués, au sein des projets au forfait et des TMA. Mais il est également essentiel de repérer les opérations de traitement des données personnelles réalisées par les consultants en régie pour le compte de leur client.
Maîtrise des risques et gestion de crise
Cette cartographie est importante à plusieurs titres :
En premier lieu, il permet d’identifier le risque lié à chaque traitement. Par exemple, le risque est plutôt faible quand le traitement est effectué directement sur un ordinateur client, au sein de ses propres systèmes sécurisés, sans possibilité de transférer des données sur un système tiers.
Cependant, lorsqu’il y a un traitement de données sensibles, ou qu’il est nécessaire de transférer des données sur un système tiers pour les transformer, il est crucial de sécuriser le traitement des données sensibles. Il convient alors de mettre en place un plan d’action pour sécuriser toutes les étapes, tant au niveau organisationnel que technique. C’est dans ces moments que l’on voit très bien l’imbrication des traitements de données personnelles avec la cybersécurité. Le DPO est un partenaire du RSSI dans la sécurisation de l’informations et des données.
En deuxième lieu, cette cartographie est très importante pour la gestion de crise, lors d’une cyberattaque ou une data breach. Comme nous le voyons, des sociétés certifiées et solides se font attaquer. Si lors d’une attaque, nous identifions une faille qui a permis de corrompre l’un de nos traitements de données personnelles, il faut donc contacter au plus vite le responsable de traitement.
Dans la cartographie, il faut donc aussi mettre le contact en cas de crise pour chaque traitement, et garder en tête les échéances contractuelles et réglementaires pour la déclaration de la data breach à la CNIL et/ou la plainte à déposer.
L’analyse d’impact et la gestion des risques
Comme l’entreprise évolue et ses outils aussi, nous avons des traitements de données personnelles dans nos projets internes. La conformité RGPD s’intègre lors de la réalisation d’un benchmark pour le choix d’une nouvelle application ou d’un nouveau partenaire.
En amont, il est important de faire une analyse d’impact, ou AIPD. Lors de cette analyse, il convient de vérifier la sécurisation d’un logiciel (authentification, conservation des données, …), les certifications de l’outil, la finalité de chaque traitement que nous souhaitons mettre en place… La profondeur de l’analyse dépend évidemment de la complexité du projet interne.
Formation et accompagnement de la conformité RGPD
Un autre rôle du DPO est de s’assurer de la formation de tous les collaborateurs sur les enjeux de traitement de données personnelles. Cette formation s’effectue de plusieurs manières : par un accès à une formation e-learning obligatoire et par des formations ponctuelles sur les actualités de la conformité, pour expliquer les dernières sanctions de la CNIL et l’impact des nouvelles réglementations sur le travail quotidien.
Côté contrat, le rôle du DPO est d’accompagner l’entreprise dans la relecture des aspects RGPD, mais aussi en soutien pour que chaque acteur complète les annexes dédiées au sujet. Le Délégué à la Protection des Données a une bonne vision des aspects contractuels, réglementaires et opérationnels. C’est un élément clé dans la maîtrise des risques sous ces trois aspects.
Sensibilisation à la cybersécurité
Pour finir, le rôle du DPO est de souligner l’importance des bonnes pratiques en matière de cybersécurité. En effet, une protection efficace des données personnelles ne peut être dissociée d’une politique de sécurité globale.
La cybersécurité repose sur trois piliers fondamentaux : l’humain, le logiciel et le matériel. Au cœur de cette triade, l’élément humain se positionne en tant que première ligne de défense.
Il est crucial d’adopter un comportement prudent, notamment pour déjouer les tentatives d’hameçonnage et de phishing, qui représentent les menaces les plus courantes. Il est également impératif d’installer des protections logicielles telles que les réseaux privés virtuels (VPN) et les logiciels antivirus, sans oublier d’effectuer régulièrement les mises à jour nécessaires.
Enfin, la vigilance concernant le matériel est indispensable : il convient de le sécuriser lorsqu’il est inutilisé et de privilégier les connexions Wi-Fi fiables et sécurisées. Il est important de souligner que ces mesures, bien qu’essentielles, ne constituent pas une liste exhaustive des actions à entreprendre pour garantir une sécurité informatique optimale..
Quel parcours pour devenir DPO ?
Selon le dernier baromètre de l’AFCDP, les DPO viennent pour 53 % de manière équitable d’un parcours de juriste ou dans l’informatique. Les 47 % restants viennent des fonctions administratives et financières, la qualité ou la conformité-audit.
La rigueur est essentielle dans l’exercice de cette fonction. Néanmoins, il est essentiel de reconnaître que chaque parcours est unique et présente ses propres atouts, sur lesquels il convient de s’appuyer.
Conclusion sur le rôle d’un DPO
Vous l’aurez compris, le Délégué à la Protection des Données, doit donc avoir une bonne connaissance des différents services de l’entreprise. Il doit comprendre les enjeux et les processus de chaque département et être capable de travailler en étroite collaboration avec les dirigeants de l’entreprise. Ses recommandations auront un impact sur la stratégie globale de l’organisation.
La polyvalence du DPO ne s’arrête pas là. Il doit aussi avoir une connaissance approfondie de la législation en matière de protection des données et doit être capable de comprendre et d’interpréter les lois et les réglementations et de les appliquer à l’entreprise.
Enfin, le DPO doit avoir des compétences en gestion de projet. Il doit être capable de planifier et de gérer les initiatives de protection des données de l’entreprise, de suivre leur progression et de s’assurer qu’elles sont menées à bien. Il doit aussi être capable de gérer les incidents de sécurité des données et de coordonner la réponse de l’entreprise.
TÉLÉCHARGEZ GRATUITEMENT NOTRE LIVRE BLANC
« TOUT SUR LA GOUVERNANCE DE PROJET IT »
À lire également dans notre dossier “gouvernance projet IT ” :
- Révolutionnez vos applications avec les nouvelles fonctionnalités APEX 23.2
- Simplifiez vos processus de validation avec APEX 23.1
- Le PMO, un rôle qui émerge avec la transformation des organisations
- Quelles sont les nouvelles fonctionnalités d’Oracle Integration Cloud Gen3 ?
- Comment faire des intégrations complexes avec Workday ?
- Plateforme Lowcode : le futur du développement d'applications ?
- L'utilisation de UIPATH comme solution RPA
- Comitologie projet : les instances de gouvernance d’un projet IT et leurs rôles
- Pilotage et gouvernance d’un projet SI Finance : quels profils impliquer ?
- Pilotage et gouvernance d’un projet IT : quels profils impliquer ?
- Gouvernance projet : quel rôle pour le comité de pilotage ?
- Les acteurs d’une équipe projet : organisation, rôle et compétences
- Le responsable SI au cœur du développement et de l’évolution des systèmes
- Responsable SIRH : quel rôle dans l’évolution des Systèmes d’Information RH ?
- Chef de projet SI : quel rôle et responsabilité dans un projet SI ?
- Consultant fonctionnel : un rôle proche des processus métier
- Consultant technique : un métier au cœur du développement technologique
- Architecte solution : un métier qui gère développement et déploiement
- Consultant DevOps : rôle, missions et compétences en développement
- Délégué à la protection des données (DPO) : quels rôles et missions ?
- RSSI : un travail clé au sein des métiers pour la sécurité des systèmes
- Le service delivery manager au cœur du pilotage des équipes
- Scrum master, un métier clé pour la gestion de projet Scrum
- Data scientist : un métier stratégique au service de la Direction
- MOA / MOE : comment les rôles se répartissent-ils sur un projet de mise en œuvre d’un système d’information ?