![[Contenu augmenté] Conformité RGPD : l'enrichissant « retex » des DPO.](IMG/arton45686.jpg?1680010121)
Les enjeux de la conformité en matière de protection des données personnelles sont désormais plutôt bien connus ; les obligations en la matière, et les risques associés, également. Elle n’en reste pas moins un exercice relativement complexe, dans lequel le partage de bonnes pratiques s’avère être un outil particulièrement précieux.
Ces retours d’expérience, révélant le particulier savoir-faire des délégués à la protection des données (DPO) et l’importance des questions organisationnelles, montrent également la manière dont la fonction se transforme pour devenir un véritable métier à part entière.
Première conférence : Des origines du RGPD aux « 12 travaux du DPO ».
À la suite d’un très bref rappel historique des dispositifs légaux et réglementaires de la protection de données applicables en France, jusqu’à la consécration de la fonction de délégué à la protection des données (DPO), le constat est le suivant : quelques-unes de ses missions sont définies par les textes, mais la fonction est herculéenne. D’où la conceptualisation des douze travaux (d’Hercule).
Au premier rang de ces chantiers, la sensibilisation. Viennent ensuite la politique de protection des données/de confidentialité, la gestion de l’information et le recueil des consentements, la gestion de l’exercice des droits, le registre, la gestion des violations, etc.
L’originalité de la présentation faite lors de cette conférence ? Un retour d’expérience enrichi de plusieurs recommandations pratiques, le tout en langage clair.
Sur la sensibilisation par exemple : une fonction support certes, mais surtout « un aidant » : il ou elle doit être « un bon communiquant » et « être cool » : « il ou elle ne dit pas non, il dit oui, mais comment on va faire le truc » ! Autre exemple avec un conseil utile de l’intervenant : s’appuyer sur la méthode EBIOS établie par l’ANSSI, qui permet non seulement de travailler sur le 2e chantier (l’état des lieux), mais aussi sur celui de l’analyse d’impact (PIA).
Au-delà des « trucs et astuces », la conférence permet d’aborder l’importance de l’identification et du positionnement du/de la DPO (lettre de mission, sponsoring, etc.) vis-à-vis de la gouvernance et de l’organisation de l’entreprise. Elle convainc aussi surtout – si besoin en était ! – de l’importance des méthodes, de la traçabilité et de l’anticipation au vu de la diversité des pratiques et de la portée des enjeux en cause.
Animateur : Alessandro Fiorentino (Responsable de la practice protection des données Infhotep, Product Owner Adequacy).
Seconde conférence : Conformité RGPD dans un groupe international : les clefs d’un pilotage réussi.
Le déploiement de la protection des données dans un groupe international répond à des enjeux spécifiques, tout en étant confronté à plusieurs idées préconçues. Il est en effet à croire que groupe international signifie ressources supplémentaires, susceptibles de faciliter grandement la mise en conformité.
Tel n’est en réalité pas véritablement le cas : à l’international, il existe des problématiques supplémentaires, au premier rang desquelles l’existence de législations qui s’additionnent au RGPD et la présence d’entités variables selon les filiales. Il est donc nécessaire de connaître les spécificités locales, tant dans les textes, que dans les pratiques. Cette configuration spécifique génère aussi des opportunités, par exemple la découverte de l’existence de programmes existant à l’étranger, proches de celui à déployer, qui permettent de s’appuyer sur ce qui a pu être déjà fait. Elle révèle aussi des blocages, d’ordre presque culturel, et l’importance de s’appuyer sur les dénominateurs communs, de s’approprier les valeurs sous-jacentes du mécanisme, par exemple en parlant de « Data Protection » à la place de « RGPD ». De quoi également révéler l’importance du positionnement, du rattachement organisationnel du DPO au sein de l’entreprise considérée.
Outre le retour d’expérience sur ces particularités du déploiement à l’international, il a été question des compétences du DPO, au premier rang desquelles la gestion de projet, pour réussir à bâtir, animer et assurer le suivi du programme de conformité, en impliquant les parties prenantes de l’entreprise et en organisant les réseaux pour faire remonter la bonne information au sein des différents établissements et filiales. Mais une chose est sûre, à l’international ou non, il faut toujours se mettre à la place de ses interlocuteurs dont ce n’est pas le métier et chercher à leur simplifier la vie !
Intervenants :
Thomas Vini Pires, Consultant RGPD chez Data Legal Drive,
Daniele Lefur, DPO Econocom.
Ceci est un exemple des sujets abordés chaque année au Congrès RDV des Transformations du droit, ouvert à tous.
