Depuis l’entrée en vigueur du RGPD (règlement général sur la protection des données), certaines entreprises doivent nommer un DPO (data protection officer). Pour ce faire, deux possibilités:
- Nommer une personne en interne qui a les compétences pour chapeauter la mise en conformité de l’entreprise avec le RGPD au quotidien.
- Nommer un DPO externe, par exemple un juriste, qui apportera son expertise.
Si les deux solutions possèdent leurs avantages, une chose est certaine : l’ensemble de la société doit s’impliquer dans un projet de gestion de l’information. Ainsi, “même si on externalise le DPO, l’entreprise doit porter le projet”, assure Arnaud Massias, RSSI (responsable de la sécurité des systèmes d’information) et DPO France chez Liebherr-Aerospace Toulouse SAS, division Aéronautique et Ferroviaire du groupe Liebherr. Un métier qui consiste à gérer l’information de façon transverse au sein de l’entreprise sous tous ses aspects (de la protection de l’information et des systèmes qui la contiennent à l’archivage, en passant par le knowledge management ou encore la valorisation de l’information), comme il a pu l’expliquer lors du 1er afterwork sur la gouvernance de l’information organisé en juin par Everteam.
“Même si on externalise le DPO, l’entreprise doit porter le projet”
S’appuyer sur des correspondants en interne
“On peut externaliser plein de choses dans une entreprise, mais la protection des données personnelles doit être portée en interne, assure-t-il. Aussi, si le DPO va incarner cette démarche, l’entreprise doit s’appuyer sur un réseau de correspondants en interne”.
Bien sûr, dans un premier temps, il faut que la volonté de mettre en place une démarche de protection des données personnelles et, plus globalement, une politique de gouvernance de l’information, parte des hautes sphères de l’entreprise qui va évaluer les risques qu’encourt la société à ne pas être en conformité avec le RGPD – des risques aussi bien financiers que juridiques. Mais il est ensuite nécessaire d’avoir des relais au sein des différents services de l’entreprise, en particulier des personnes sensibilisées aux questions de protection des données.
Respecter les pratiques existantes au sein de l’entreprise
Par ailleurs, pour que les salariés intègrent ces problématiques et les prennent en compte dans leur activité, il faut se baser sur leurs pratiques, au quotidien, au sein de leur service. A quel moment de l’activité, dans les tâches qui lui incombent, ce collaborateur manie-t-il des données personnelles ? Pourquoi et comment le fait-il ? Comment puis-je améliorer cette façon de procéder, sans pour autant entraver les missions qu’il doit effectuer ?
Cette compréhension des pratiques de chacun doit s’accompagner, bien sûr, d’une mission de sensibilisation des salariés en interne via, notamment, le DPO. On peut même imaginer que les nouveaux collaborateurs intégrant une entreprise bénéficient d’une formation spécifique à la protection des données personnelles, aux risques et aux règles liés au traitement de celles-ci.
“Faire monter la culture de l’entreprise sur la sécurité de l’information”
Plus globalement, “il faut porter et pousser cette démarche afin de faire monter la culture de l’entreprise sur les domaines de la sécurité et de la sécurité de l’information. Il faut prêcher la bonne parole et faire en sorte que la maturité de l’organisation monte par rapport à ces thématiques”, explique Arnaud Massias. Un travail de longue haleine à effectuer au quotidien, afin que la protection des données rentre dans les mœurs.