Le DPO : un rôle clé et des défis majeurs


Rédigé par Tim Bandos, Digital Guardian le 13 Aout 2020

À l'heure actuelle, les délégués à la protection des données (DPO) ont fort à faire. L'impact du Covid-19 les a vus lutter pour maintenir les obligations de conformité au RGPD en même temps que les entreprises s'adaptaient et réagissaient aux mesures de confinement en plaçant les employés en chômage partiel ou en leur demandant de télétravailler. De plus, les cybercriminels cherchant à tirer parti de la pandémie ont compliqué la tâche de sécurisation des données en multipliant les menaces, ce qui a représenté un grand défi pour les DPO.



Tim Bandos, vice-président de la cybersécurité chez Digital Guardian
Chargé de superviser la stratégie de protection des données de l'organisation, le rôle du DPO est complexe et évolue rapidement avec la généralisation progressive des nouvelles technologies — comme l'IA, l'IoT, les FinTech et MedTech. En outre, les juridictions du monde entier introduisent des réglementations plus strictes en matière de confidentialité, ce qui alourdit la charge de la protection des données pour les entreprises internationales.

Toutefois, les DPO sont en difficulté face à l'amenuisement de leur budget et de leurs ressources. Selon une récente enquête, plus d'un quart des délégués de la protection des données et de la vie privée affirment que leur plus grand défi est de faire face aux restrictions budgétaires et pallier au manque de ressources. La recherche souligne également que le montant consacré à la protection des données représente souvent moins de 5 % du budget global type d'une organisation.

De toute évidence, les entreprises doivent veiller à ne pas poursuivre ce manque de financement des activités de leurs DPO car cela mettrait la conformité des entreprises en danger une fois les ressources de protection des données épuisées.

DPO : Une importance croissante

Depuis que le RGPD est entré en vigueur, la nomination d'un DPO est obligatoire par toute organisation qui collecte, traite ou stocke des données personnelles des citoyens de l'UE. D'une part, le DPO est responsable de la formation de l'entreprise et de ses employés à la conformité mais également de la formation du personnel impliqué dans le traitement des données. Le rôle du DPO ne s'arrête pas là. En effet, il conduit la réalisation d'audits de sécurité réguliers et agit également comme principal point de contact entre l'entreprise et toute autorité de contrôle chargée de superviser les activités relatives aux données.

À l'approche du RGPD, les DPO se sont principalement concentrés sur la mise en œuvre des systèmes et des processus nécessaires pour atteindre la conformité. Cela comprenait la mise en place d'un modèle de gouvernance centralisé qui englobait l'ensemble de l'organisation, de la salle de conférence à l'informatique en passant par la sécurité. Par ailleurs, l'attention s'est tournée vers le suivi et la progression de la gouvernance à travers toute l'organisation.

Depuis, ce rôle n'a jamais cessé d'évoluer. En sa qualité de défenseur de la confidentialité des données, le DPO tire parti des relations clés avec les membres de l'équipe de direction pour garantir que tous les systèmes et processus de l'entreprise sont conçus et exploités dans le strict respect des règles de confidentialité.

Alors que de plus en plus d'organisations entreprennent des parcours de transformation numérique, les DPO doivent travailler plus étroitement avec les équipes informatiques et de cybersécurité. La raison de cette collaboration accrue réside dans le fait que les frontières sont perméables entre la sécurité des données et la sécurité des informations. Au cours des prochaines années, le rôle du DPO devrait encore gagner en influence et se renforcer au niveau de la complexité.

Des défis accrus

Malgré l'accent croissant sur la confidentialité des données porté par les réglementations et le flux continu, les DPO semblent avoir du mal à obtenir les ressources et le budget nécessaire pour réaliser les missions qui leur incombent. Mais ce n'est pas le seul défi qui point à l'horizon. Les DPO signalent que leur deuxième principale préoccupation est de travailler avec d'autres unités commerciales pour intégrer les mesures de protection des données et de s'assurer que l'ensemble des collaborateurs de l'entreprise comprennent bien les enjeux.

Plus encore, le problème des effectifs nécessaires à l'amélioration des performances et de la sécurité dans leur organisation. 76 % travaillent dans des organisations où moins de 10 personnes se consacrent à la protection des données et à leur confidentialité.

L'impact de la récente crise du coronavirus peut cependant marquer un tournant pour de nombreuses organisations. L'obligation de gérer un environnement opérationnel en évolution rapide a permis de mettre en exergue l'importance de la protection des données et le rôle central du DPO dans l'atténuation des risques pour l'entreprise et ses employés.

À l'avenir, les organisations devront réinventer les moyens de respecter leurs obligations de conformité sans oublier les besoins pratiques et commerciaux de l'entreprise.

Parallèlement à l'amélioration des compétences des DPO et au financement approprié de leurs activités de protection des données en constante évolution, la pression se fait sentir pour développer la créativité — et faire passer le message.

Développer une culture du respect de la vie privée

Les organisations qui favorisent une prise de conscience à l'échelle de l'entreprise des problèmes liés à la protection des données seront mieux équipées pour utiliser la conformité à leur avantage. Avec la maturation des processus et des structures de confidentialité des données, le lancement d'une feuille de route pour un parcours commun contribuera à garantir que l'ensemble des salariés l'entreprise est sur la même longueur d'onde et que les structures de reporting sont rationalisées.

Alors que des réglementations comme le RGPD peuvent sembler très techniques, l'information et la formation des personnes au sein de l'entreprise sont essentielles, et doit être effectuée dans un langage simple pour communiquer les exigences et s'assurer de leur bonne compréhension par tous.

De plus, une formation de sensibilisation à la sécurité donnera aux employés un aperçu complet des risques auxquels les organisations sont confrontées. Des moyens d'arrêter les attaques d'hameçonnage aux meilleures pratiques de gestion et de protection des données, le but est de créer un état d'esprit à même de réduire le risque de fuites de données. En effet, une fois que les employés peuvent faire le lien entre les risques de confidentialité des données et leurs propres rôles au sein de l'entreprise, de fait la conformité devient partie intégrante de la culture organisationnelle.

Le DPO a pour mission de veiller à ce que l'organisation continue de respecter ses obligations en matière de confidentialité et de protection des données, quel que soit le défi opérationnel. Pour rester conforme, il faut aider les DPO à s'acquitter de leurs innombrables responsabilités — notamment en sensibilisant aux obligations de protection des données et en créant une culture respectueuse de la vie privée qui assure la sécurité de l'organisation et de ses employés.



Dans la même rubrique :