Mettre le RGPD en musique, trouver sa place, travailler main dans la main avec les équipes compliance… Le quatrième anniversaire du Règlement européen, entré en vigueur le 25 mai 2018, est l’occasion de revenir, avec Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats, sur les points-clés du quotidien d’un DPO.

Rôle, place et qualités du DPO - Entretien vidéo avec Jérôme Deroulez

Être un chef d’orchestre

La vraie difficulté pour le DPO, c’est de réussir à mettre en musique le RGPD. Il faut avoir une vision globale, pouvoir auditer différents services dans une société, gérer toutes les relations entre responsable de traitement et sous-traitant au sein d’un même groupe. Le DPO doit parvenir à s’imposer, pour diffuser les bonnes pratiques : ce qu’on peut faire, ce qu’on ne peut pas faire, au marketing, en ressources humaines, aux contrats ou ailleurs. La prospection commerciale fait d’ailleurs partie des priorités du programme de la Cnil pour 2022. L’idée est de faire en sorte que tout le monde parle sur une même voix.

On peut être très inventif sur la sensibilisation et la pédagogie. Pendant le confinement, de nombreuses entreprises ont voulu mettre en place des jeux pour les collaborateurs. Ces jeux sont devenus des aspirateurs à données personnelles, car les gens discutaient. La plupart du temps, les entreprises n’avaient pas anticipé les conséquences de tels enjeux. Les DPO doivent se mettre dans la peau de tous les interlocuteurs, comprendre quand un service veut déployer un nouvel outil, quand une société veut en racheter une autre. Il doit donc être un bon négociateur. Il y a parfois des logiques de marchandage, il faut expliquer et convaincre, vendre le RGPD. Certains DPO ont encore l’impression d’être considérés comme des personnes étrangères, comme un frein à l’entreprise. Pourtant, le risque d’une mauvaise gestion des données n’est pas seulement la sanction : il est aussi réputationnel.

Trouver sa place

Où va le DPO ? L’entreprise doit se demander si elle choisira un DPO en interne, ou un DPO externalisé. Aujourd’hui, on retrouve toutes les configurations. Il y a l’ancien DPO qu’on a fait évoluer, celui qui a été recruté. Les profils sont souvent jeunes, ce qui peut poser un problème de légitimité quand il est nécessaire d’aller voir un RH ou un DSI expérimenté pour lui dire qu’il faut changer la façon de travailler. Mais en fin de compte, une entreprise qui gère très bien ses données pourra le valoriser, à la fois sur le plan réputationnel, mais également à la revente.

Comprendre le RGPD

Qu’est-ce qu’être conforme ? Comment être conforme ? Comment appliquer les grands principes du RGPD ? Toutes ces questions traversent la tête du DPO ? Le RGPD ne donne pas une liste à cocher, ce sont des principes à mettre en œuvre en fonction de l’organisation. Le DPO contrôle le respect du règlement, il veille à la bonne gouvernance et à l’effectivité des processus. Souvent, on remarque dans une entreprise qu’il y a de nombreux outils, des chartes vie privée, protection des données, etc. Pourtant, ça ne fonctionne pas, personne ne sait qui contacter pour la protection des données personnelles. Sur le papier, ces entreprises ont tout, mais ce n’est pas effectif. Selon l’activité et le périmètre de l’entreprise, les données seront échangées dans un cadre international, ou seront des données sensibles. Il faut être vigilant à tous ces points.

Travailler avec la compliance

On parle souvent de conformité RGPD, mais aujourd’hui, c’est un sujet intégré à la compliance. Les fiches de postes dans les grands groupes, en compliance, comportent toujours un volet protection des données. C’est logique : il faudra se demander comment faire remonter les alertes, comment mettre en place des enquêtes internes, comment gérer les transferts internationaux, etc. En revanche, la protection des données est un sujet plus timide en M&A. Pourtant, ces opérations entraînent la récupération de nombreuses données. Les salariés doivent être bien informés du traitement qui sera fait. La clé est de ne pas travailler en vase clos, car les sujets de conformité se rejoignent.

Adopter une démarche proactive

Lorsque l’on sensibilise sur la sécurité des données personnelles, sur les outils, les accès, nous créons de la valeur. Il y a une démarche proactive, qui pousse à toujours anticiper les risques à chaque nouveau projet. La gouvernance des entreprises évolue, ces dernières comprennent mieux les enjeux, notamment face à l’explosion du risque cyber.

Propos recueillis par Olivia Fuentes

Prochains rendez-vous

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX

Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  

Voir le site »

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}

GUIDE ET CLASSEMENTS

> Guide 2024