Pour Stéphane Omens, DPO de Adeo Services (Leroy Merlin), et Didier Henin, RSSI de BUT Internationnal, le DPO est déjà une réalité. Avec Paul-Olivier Gibert, président de l'AFCDP, et Matthieu Grall, Chef du service de l'expertise technologique à la CNIL, ils ont évoqué leurs missions et stratégies sur ce nouveau poste.
Le vote du Parlement européen impose à toutes les organisations, publiques et privées, de mettre en place un DPO (Data Protection Officer), et cela dès 2018. Lire notre article « Sécurité : le DPO s’impose par la loi et dans toutes les organisations ». Nous vous invitons à découvrir les premiers retours d’expériences des entreprises qui ont anticipé cette décision et travaillé le rôle de leur premier DPO.
Président de l'AFCDP (Association Française des Correspondants à la Protection des Données Personnelles), l’association qui regroupe les CIL (Correspondant Informatique et Libertés) mis en place par la CNIL, Paul-Olivier Gibert fait une constat en forme d’avertissement : « Deux ans, c'est très court ! Et nous ne sommes plus dans l'ère de la déclaration, mais dans celle de la gestion ». Il est vrai que maintenant que tout le monde est concerné, il n’est plus temps de tergiverser.
Toutes les organisations doivent s’y soumettre, avec plusieurs obligations :
- Appliquer le corpus unique de règles pour tous les membres de l’EU ;
- Désigner un DPO ;
- Obtenir le consentement de la personne dont les données personnelles sont traitées ;
- Notifier les fuites de données ;
- Se soumettre aux pouvoirs accrus des autorités de contrôle.
Et Paul-Olivier Gibert de conseiller aux entreprises, qui sont désormais confrontées à la mise en place de la fonction de DPO et d’une stratégie de protection de la donnée personnelle, de « penser la donnée dès le début d'un projet, quelle est-elle, quelle est sa singularité ? ».
Un DPO chez Adeo Services
Le groupe, qui réunit 15 enseignes de bricolage dans le monde dont Leroy Merlin, a pris de l’avance et engagé son projet DPO depuis 2 ans. Pour Stéphane Omnes, DPO de Adeo Services, l’objectif est clairement d’être prêt dès que la directive européenne sera applicable, et cela en Europe comme dans le reste du monde. « Notre réflexion porte sur ‘comment gérer les risques ?'. Nous devons identifier les filières de risques, et nous assurer de ce que la data est devenue ». Et il invite à penser la donnée dès le début d'un projet.
Sa stratégie repose sur trois piliers :
- Le cadre règlementaire
- L’explosion des volumes de données
- Les valeurs du groupe
« Ma mission de chef d'orchestre est en construction, avec des réflexions sur la gouvernance et le sourcing des relais. L’Europe est facilitante avec ses processus qui ont vocation à atteindre une dimension européenne ».
Le DPO accompagnera la transformation digitale chez But
La chaine de magasins But n’a pas encore nommé de DPO, mais Didier Henin, RSSI du groupe, occupe le terrain et organise la fonction, également depuis 2 ans. Qui a commencé par la création d’un ESB pour accompagner la transformation digitale. « Nous avons un plan sur 3 ans, qui consiste à éduquer, à sensibiliser le COMEX afin d'obtenir un appui venant d'en haut. Il est difficile d'engager la prise de conscience des démarches de protection des données personnelles ! ».
La responsabilité du DPO
Comme le souligne Paul-Olivier Gibert , le DPO devra disposer de solides bases juridiques. La dimension européenne du projet ne l’exempte pas des adaptations locales, ni de la connaissance des règlementations hors de l’Europe. Il doit également « bien comprendre comment fonctionne et sécuriser un SI. Mais ce n’est pas une nouvelle dimension de la fonction RSSI ».
Du coté de la CNIL, Matthieu Grall, Chef du service de l'expertise technologique, insiste sur « le principal, c’est de trouver tous les moyens pour apporter de la confiance. Il faut concerner les gens, atteindre une compréhension fine du SI, et protéger la donnée de la collecte à la destruction ».
Pour gagner du temps, tous deux conseillent de désigner rapidement un CIL. Avec pour mission de s'attaquer dès maintenant à la question du DPO qui doit être considéré comme un avantage compétitif. « Il faut mettre en place une gouvernance d'entreprise sur la data pour aligner les responsabilités et en déduire des règlements ». Le volet sensibilisation et formation est également important, qui concerne la direction générale, la DSI, et toutes les personnes qui traitent la donnée. « Il faut mettre en place des règles de contrôle, de preuve par la documentation, l’audit et l’autogestion ».
Le juridique et les contrats
Le contrôle d'audit de la conformité doit être pris en compte dès la réflexion sur un projet, avec une révision de l’ensemble des contrats cadre – prévoir d’intégrer des clauses contractuelles - ainsi que des nouveaux contrats. Cette question rappelle que les prestataires sous-traitants sont également impliqués dans les démarches du DPO. Quant à la notion de privacy by design généralement associée au projet européen, elle demeure floue car soumise à interprétation libre…
Le Règlement européen sur la protection des données personnelles entrera en vigueur d’ici 2018. D’ici là les organisations vont devoir s’interroger sur les bons usages de la donnée et sur la légitimité de ce qu’on lui applique. Il faudra en particulier au DPO convaincre sa hiérarchie de la nécessité de disposer de moyens afin de convaincre et d’assurer la prise de conscience de cette problématique sécuritaire majeure. Ce qui ne pourra reposer que sur une vision globale des transferts de données et sur le sourcing des compétences.
Attention ! De l’avis même des RSSI présents, il existe un domaine pour lequel de nombreuses interrogations, voire inquiétudes demeurent… C’est celui quoi affiche la majorité des vols de données : les données de santé !