Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
Elle vient juste de souffler ses quarante bougies en janvier 2018, la Commission Nationale Informatique et Libertés, la CNIL, en a presque les larmes aux yeux. Pour ses 40 ans, que de cadeaux. Un nouveau règlement, de nouveaux décrets, plus de budget, plus de ressources. Mais les plus beaux cadeaux ce sont des nouveaux supers pouvoirs : un super pouvoir de sanction et un super pouvoir de régulation. A l’ère du numérique, il est tout naturel que la CNIL voit sa personnalité sortir des rangs, adoubée par une volonté européenne de réguler le marché sauvage des données personnelles des citoyens.
Armée de la GDPR, la CNIL attire désormais l’attention des directions générales publiques et privées. Ses supers pouvoirs l’a font sortir des tiroirs des directions juridiques pour venir frapper en plein milieu des comités exécutifs à coup de Powerpoint. Avec son super pouvoir de sanction qui frappe directement le chiffre d’affaire, elle s’invite autour de la table des directeurs financiers et des actionnaires. Et avec son super pouvoir de régulation, elle fait trembler les organigrammes des directions informatiques et juridiques, obligeant les entreprises à nommer un nouvel élu, le DPO (Data Protection Officer ou Délégué à la Protection des Données).
Le DPO devient le nouveau bras armé de la CNIL au sein des organisations. Exit les anciennes définitions confuses de responsabilités, fini la pratique du « c’est pas moi », la CNIL ne veut voir qu’une seule tête. Un interlocuteur sur qui elle peut s’appuyer ou tirer selon les cas.
C’est quoi un DPO? D’après la description du poste et de la mission définie dans la GDPR, au Chapitre 4, Section 4, le DPO est une sorte d’hybride entre un ingénieur informatique et un juriste spécialisé dans les nouvelles technologies. Un mutant issu de l’évolution des espèces administratives, aussi à l’aise dans les arcanes des textes de lois que dans les coulisses d’un Data Centre informatique.
Dans la réalité, ce mutant n’existe pas, pas encore en tous les cas. Hormis de rares exceptions issues de carrières improbables, les entreprises se voient confrontées à des choix de recrutements difficiles. Certaines recrutent des profils informatiques et d’autres des profils juridiques. Et le plus notable, c’est la position qu’elles donnent au DPO dans l’organisation; soit investir sur un nouveau poste avec une nouvelle tête dans l’organigramme en misant sur le changement, soit prendre du vieux pour faire du neuf en nommant une personne déjà en poste et en misant sur plus de responsabilités.
La position et le profil du DPO en disent long sur la vision d’une entreprise pour traiter la protection des données personnelles.
Avec un profil informatique, l’entreprise mise sur la technique. Considérant que la protection des données est avant tout une affaire de technologie à coup de logiciels et d’architectures sécurisées. Le problème c’est qu’un ingénieur informatique ne sait pas négocier des textes de lois. Après 40 ans de CNIL, ça se saurait. Lire les 99 articles de la GDPR n’est pas naturel pour eux. Trop de mots et pas assez d’images ?
Avec un profil juridique, l’entreprise mise sur les formalités. Considérant que la protection des données est avant tout une affaire d’interprétation de la loi à coup de règlementations internes et de dossiers administratifs. Le problème c’est qu’un juriste ne sait pas mettre d’outils pratiques sur les 99 articles. Après 40 ans de CNIL ça se saurait. La lecture du GDPR est plus naturelle pour eux mais la rendre opérationnelle revient à éteindre un incendie avec du papier.
Selon son profil, la vision du DPO sera donc différente. Le profil informatique aura une vision horizontale de son système d’information, du poste de travail jusqu’au Data Centre avec pour objectif de protéger techniquement son entreprise contre la perte de donnée. Le profil juridique aura une vision verticale de la loi, du premier chapitre jusqu’au dernier avec pour objectif de protéger juridiquement son entreprise contre les plaintes à chaque non conformités de clauses.
Mais quelque soit son profil, la réponse à cet enjeu de protection des données est avant tout dans la position allouée au DPO dans l’organisation. Est-il un simple maillon sans influence dans une chaîne de décision qui le dépasse? Ou est-il une ancre assez solide pour maintenir la chaîne et stabiliser le bateau? Avec ses supers pouvoirs, la CNIL s’attend à ce qu’on la prenne au sérieux. La réaction des entreprises sur le positionnement de leur DPO est donc intéressante. Avec une position transverse et élevée, on donne au DPO un rôle de gouvernance, avec les moyens de s’appuyer sur toutes les ressources et profils nécessaires à sa mission. Avec une position cloisonnée et basse, le DPO se retrouve isolé et en dépendance des autres ressources, avec un rôle de parfait coupable en cas de problème.
Ne pas investir dans un nouveau poste c’est donc faire preuve d’une vision et d’un intérêt limité à la protection des données, en sous-estimant la CNIL. Les personnes internes déjà en poste et qui acceptent en cumul de leur mission la responsabilité de DPO, signent leur futur condamnation face à la CNIL. Ils bloquent l’embauche d’une ressource et étouffent le sujet dans l’organigramme. Il est quasi impossible de mener à bien cette mission sans être dédié et sans une légitimité organisationnelle.
Etre DPO n’est pas un cadeau. C’est être prêt à se confronter à une CNIL aux pouvoirs étendus et à faire face à une meute de professionnels de la déstabilisation qui vont le challenger à coup de procédures administratives et d’attaques informatiques. Le DPO devra aussi rendre des comptes aux plus hautes instances en internes sachant que l’échec n’est pas une option. C’est une mission difficile et seul l’avenir et la jurisprudence nous dirons quelles sont les meilleures réponses.
Les offres de poste de DPO, internes et externes, sont donc à scruter avec vigilance. Selon le profil, le salaire proposé et la position dans l’organigramme, le candidat saura juger des moyens à disposition et de sa capacité à tenir à moyen terme. Sachant que les promotions internes se transforment souvent en cadeau empoisonné.
> Chroniques précédentes :
