Les évolutions possibles du métier
Introduction
Le RGPD porte plusieurs nouveaux enjeux dont ceux de la gouvernance et de l’approche par les risques. Il oblige au réexamen des relations entre le DPO et tous les acteurs, dont le Responsable de la sécurité du système d’information (RSSI), les directions métiers, la DSI au service de ces dernières ainsi que l’auditeur interne.
Depuis la mise en place du RGPD, l’intégration d’un DPO oblige la Direction de l’entreprise à intégrer les actifs immatériels dans un processus de sûreté intégré à la gouvernance globale.
D’après l’enquête réalisée par Grant Thornton (auprès de 125 DPO internes et externes par questionnaire en ligne complété avec certains entretiens ciblés entre mars et juin 2022), la fonction de DPO qui en 2018 était principalement rattachée à la direction des systèmes d’information ou à la direction juridique se rattache en 2022 de la manière suivante :
-
27 % seulement à la direction juridique
-
10 % à peine à une direction informatique ou des systèmes d’information.
-
13 % bien souvent à la direction des risques (risques, audit et contrôle interne)
-
21 % à la Direction générale
Une autre enquête...
Les métiers possibles pour un DPO
Le métier de DPO se développe et se structure au gré des évolutions et de la maturité numérique de l’entreprise. C’est encore un nouveau poste dans les entreprises qui se voient dans l’obligation de repenser leur organisation en interne afin de donner tous les moyens à leur DPO pour qu’il puisse mener à bien ses missions.
Les activités du DPO peuvent différer selon qu’il soit externe ou interne à l’entreprise. En interne, sa fonction de peut se cumuler avec un poste déjà existant, par exemple, RSSI, sous réserve de ne pas créer de conflit d’intérêts. La répartition de ses activités dépend des métiers préexistants. Il peut par exemple être amené à travailler davantage dans un domaine spécifique telle la sécurité des données de santé stockées dans les hôpitaux. S’il exerce sa mission pour le compte de clients tiers à type d’ESN, cabinet d’avocat ou notaires, des attentes fortes sont exprimées en matière de capacité d’adaptation et d’intégration dans ces contextes.
D’après une étude publiée par l’association pour l’emploi des cadres (APEC) en 2022, 47 % sont issus d’autres...
Les évolutions du métier de DPO au regard de l’évolution des outils numériques et du Big data
Les ETI et les grosses PME ont à cœur d’avoir en leur sein un poste dédié à cette mission et inscrit sur le long terme ; c’est pourquoi, dès 2020, 70 % des DPO étaient recrutés en interne. Et au fil de l’évolution de la législation et de la digitalisation de l’entreprise, il a dû acquérir des compétences et les consolider sur la durée.
De même, pour gagner en responsabilités et en rémunération, le DPO peut envisager de se diriger vers le métier de CPO (Chief Privacy Officer) ou les métiers de l’informatique ou de la cybersécurité ou encore vers les nouveaux métiers de la donnée (Data Scientist).
Le DPO rapporte directement à la Direction générale en toute indépendance. Ce faisant, il doit à la fois convaincre sa direction et les équipes opérationnelles des investissements et des changements de pratiques à opérer. La première étape de ce changement de processus consiste d’abord en la sensibilisation de l’ensemble des collaborateurs.
La maturité numérique de l’entreprise passe par la sensibilisation et la formation continue des collaborateurs en son sein.
Le DPO devrait donc avoir l’oreille de la DRH en tant que partie prenante de la formation continue. Au-delà de la sensibilisation, il peut se faire formateur au niveau des directions et des services.
Cependant, les actions de sensibilisation restent encore trop générales et pas suffisamment orientées sur les enjeux opérationnels des différents métiers. Elles ne permettent pas encore d’accompagner le changement et de faire évoluer les pratiques quotidiennes qui, in fine, font la conformité.
Les enjeux de la conformité restent encore trop théoriques et éloignés du quotidien des salariés, de sorte que selon la taille de l’entreprise, la tâche reste entière pour décliner les enjeux du RGPD dans les métiers et les systèmes d’information. On note souvent que les durées de conservation restent trop...
Le métier de DPO et l’approche « éthique »
En complément de l’aspect responsabilité sociétale des entreprises (RSE) un nouvel enjeu a émergé à l’occasion de la transformation numérique des organismes c’est la responsabilité numérique des entreprises (RNE).
Cette transformation, en effet, entraîne de nouveaux risques pour les entreprises et pour l’être humain, c’est pourquoi il est nécessaire d’aborder les aspects éthiques à l’origine du RGPD et du métier de DPO ainsi que la responsabilité numérique des entreprises (RNE) dans ce contexte.
Il y a trois piliers à la RNE :
-
les enjeux de la gestion des données ;
-
les enjeux liés aux impacts environnementaux du numérique ;
-
les enjeux liés aux impacts sociaux du numérique.
De ces trois piliers découle les préoccupations suivantes : le respect de la vie privée des employé(es), garder l’individu au cœur de l’entreprise même avec le développement de l’IA, avec pour préoccupation l’inclusion du bien-être des salariés dans ce contexte de renforcement de la digitalisation du monde du travail.
Nous voyons donc que dans le cadre de ces bouleversements apportés par la digitalisation du monde des affaires, l’approche éthique devrait être au cœur des préoccupations des organisations. Le RGPD répond à un enjeu éthique vis-à-vis des personnes concernées par l’utilisation de leurs données à caractère personnel, dans un cadre de plus en plus numérisé.
Avec le RGPD, la gouvernance des données est de plus en plus intégrée à la stratégie d’entreprise et non plus uniquement considérée comme une simple conformité à respecter.
Le RGPD vient s’ajouter aux nouvelles règles éthiques qui s’installent peu à peu dans l’entreprise depuis l’avènement de la responsabilité sociétale des entreprises (RSE) via le développement de la responsabilité numérique des entreprises (RNE).
Cependant, déjà...
Le métier de DPO et l’approche « internationale »
Le RGPD a transformé le paysage mondial de la confidentialité des données et occasionné une accélération des travaux de groupe sur le sujet, de sorte que le texte européen a servi de fondement à la réflexion des autres pays permettant de renforcer la protection des données personnelles échangées, mais surtout d’insister sur la transparence et la responsabilité.
Les pays concernés sont par exemple les pays d’Amérique du Sud comme l’Argentine, le Brésil et le Chili, et d’Asie, comme le Japon et la Corée du Sud. En Australie, la loi sur la protection de la vie privée (Privacy Act) est en vigueur depuis 1988, mais elle a été récemment modifiée pour insister sur les fondamentaux du RGPD. Aux États-Unis, la transformation du modèle fédéral est en marche depuis que plusieurs États ont introduit une législation sur la protection des données, notamment la Californie avec le California Consumer Privacy Act et le Colorado avec le Colorado Consumer Protection Act.
La difficulté qui aurait pu se faire jour concernait le volume de données à traiter car cela aurait pu limiter les capacités d’intelligence de la donnée autant que rendre obsolète les applications technologiques de gouvernance des données, mais cette difficulté a au contraire...