Depuis mai 2018, le règlement général sur la protection des données (RGPD) oblige les entreprises à assigner un “DPO”, ou Data Protection Officer au sein de leur organisation. Ce nouveau métier consiste à gérer les données personnelles et à informer les autres employés des obligations à respecter au regard de la réglementation européenne.
Plus d’un an après la mise en place de cette réglementation, nous avons animé un atelier avec des DPO de différents secteurs d’activités avec une seule idée en tête : Comment les aider dans la mise en application du RGPD ? Nous vous partageons aujourd’hui leurs retours.
État des lieux
Pour mieux comprendre les Data Protection Officers et leur fonction, faisons déjà un constat de leur situation actuelle.
Les outils
Notre audience confirme que les applications ne sont qu’un moyen à la mise en place d’une gouvernance sur les données.
Les entreprises ont malgré tout adopté de nouveaux outils pour les aider à la mise en place du RGPD. Ces logiciels sont souvent jugés peu intuitifs et difficiles à utiliser. Toutefois, certains arrivent à se démarquer :
Parmi les outils du DPO, nous avons listé les très appréciés catalogues d’applications, principalement pour la vision macro offerte des échanges entre applications et la détection facile et rapide des informations personnelles en leur sein.
En parallèle, les data catalogs, derniers arrivés sur le marché, font mouche auprès de la communauté des DPO. Investir dans ces outils est un choix stratégique que certains participants ont déjà entrepris. La possibilité d’informer et historiser l’information sur les données, en allant recenser les données collectées par l’entreprise, les a en effet conquis !
La gouvernance
Les DPO ont bien conscience que l’effort doit être placé sur l’acculturation et une sensibilisation des collaborateurs pour espérer de meilleurs résultats.
La recherche d’une gouvernance n’a pour but que d’aider les métiers à appréhender et évaluer les risques sur les données qu’ils manipulent. Leur énergie est ainsi placée sur la mise en place d’un pilotage efficace et une communication de règles partagées afin que l’entreprise acquiert les bons réflexes. Car oui, la donnée reste un sujet que peu de collaborateurs maîtrisent en entreprise.
Les systèmes d’information
L’hétérogénéité des systèmes d’information est un environnement “normal” auquel les DPO sont confrontés.
Ils sont ainsi confrontés à essayer par tous les moyens de mettre en conformité des SI qui s’avèrent bien souvent complexes et coûteux à mettre à jour techniquement.
À l’international
Nous associons aux DPO le fameux Règlement Des Données RGPD, en oubliant bien souvent “le reste du monde”.
De nombreux pays ont également leur propre règlements comme la Suisse et les Etats Unis. Les DPO n’y échappent pas et l’entreprise non plus !
Une chose est sûre, l’ampleur du travail est gigantesque et demande une forte priorisation des sujets. Mais au-delà des priorisations liées à l’urgence, cela demande de trouver le bon curseur entre répondre aux normes de conformités et répondre aux exigences business !
Les challenges des DPOs pour 2020
Face à ce précédent constat, l’atelier s’est conclu sur 2020 et ses nouveaux challenges.
Nous avons réalisé avec eux la liste des “résolutions” pour la nouvelle année :
- Investir plus sur l’amélioration de la qualification et l’exigence de la documentation des données,
- Intégrer plus d’exemples dans la phase de sensibilisation des collaborateurs sur les bonnes pratiques,
- Apporter des indicateurs précis sur l’usage et la finalité de la donnée afin de prévoir au plus tôt les risques et impacts de celle-ci,
- Devenir une partie prenante dans la mise en place d’une gouvernance des données afin de garantir une acculturation efficace sur la donnée en entreprise.
