Même si la crise sanitaire semble ne pas avoir de fin, les DPO doivent retrouver le chemin de la conformité RGPD, tout en pensant à la valeur ajoutée qu’ils peuvent apporter à leur entreprise. Les enjeux de cybersécurité et de souveraineté ne sont pas à négliger non plus.
La crise sanitaire qui perturbe nos vies depuis plus de deux ans maintenant a détourné les délégués à la protection des données de leur objectif premier qui est d’assurer la conformité RGPD de leur organisation. Cette conformité est passée en arrière-plan par rapport à d’autres chantiers plus urgents : changements stratégiques visant à garantir la survie de l’entreprise, modifications organisationnelles et managériales, mise en place du télétravail et déploiement d’outils collaboratifs…
Dans la tourmente, le DPO s’est – la plupart du temps – retrouvé isolé. Il a même parfois été mobilisé sur des projets connexes à ses attributions habituelles, comme les enjeux de cybersécurité, très présents dans un contexte de travail à distance. Ces derniers lui ont fait prendre du retard sur la conformité RGPD.
Retrouver le chemin de la collaboration interne et externe
Quelque peu à part, en haut de sa tour d’ivoire, le DPO doit donc désormais retrouver le chemin de la collaboration avec l’ensemble des départements de l’entreprise : l’entité marketing / commercial, les achats, la direction des systèmes d’information (DSI), la direction des ressources humaines (DRH), ainsi que les entreprises partenaires et sous-traitantes.
Bien entendu, la direction générale doit, elle aussi, être fortement impliquée. Car si les dirigeants ont avant tout pensé à sauver leur entreprise ces deux dernières années, ce qui est légitime, il leur faut maintenant renouer avec les dossiers laissés de côté. Et apporter leur soutien, plein et entier, au DPO qui en a bien besoin.
Dépasser les simples enjeux de conformité
La conformité RGPD ne consiste pas uniquement à créer des documents et des procédures statiques pour les insérer dans un dictionnaire que personne n’ouvre jamais. Les processus doivent « vivre » et être incarnés au quotidien par toutes les business units de l’organisation, au premier rang desquelles se trouve la direction générale.
La conformité RGPD n’est pas non plus un simple dossier que l’on monte pour être certain de cocher toutes les cases lors de la phase d’audit de la CNIL. Elle doit apporter de la valeur ajoutée à l’entreprise. Les données dont la durée de vie est arrivée à échéance ne devraient-elles pas être systématiquement analysées avant suppression ?
Au-delà de la conformité RGPD, la donnée en tant que telle est source de très nombreux insights stratégiques. Les banques et les compagnies d’assurance sont d’ailleurs passées maîtresses dans leur traitement et leur exploitation. Les entreprises des autres secteurs d’activité devraient s’inspirer de leur exemple.
Appréhender la thématique de la cybersécurité dans sa globalité
Autre enjeu majeur pour 2022 : la cybersécurité. Elle ne peut désormais plus être ignorée par les délégués à la protection des données. Les cyberattaques de l’AFNOR par le ransomware Ryuk en février 2021 et de Bureau Veritas en novembre de la même année ont prouvé que n’importe quelle structure pouvait être victime de ce type d’acte malveillant. Même si la cybersécurité est un enjeu indirect pour le DPO, en cas de violation de données, c’est lui qui sera en charge de déclencher les procédures visant à avertir les autorités ainsi que les clients, entreprises partenaires ou collaborateurs concernés.
La cybersécurité touche de très près à la conformité RGPD. Par exemple, quand une entreprise se lance dans un processus de certification 27001, elle couvre tous les risques liés à la protection des données personnelles : confidentialité, intégrité, disponibilité, identification et durée de conservation de ces données. S’intéresser aux enjeux de cybersécurité est donc aujourd’hui une nécessité pour le DPO, les deux domaines étant extrêmement proches et complémentaires.
Prendre en compte la question de la souveraineté
Enfin, le DPO, dans le cadre de la politique « numérique responsable » de son entreprise, doit s’intéresser de près au caractère « souverain » de son prestataire d’hébergement. L’endroit et la façon dont sont stockées les données de l’entreprise et celles de ses clients – qu’elles soient sensibles ou non – ne sont plus des options que l’on peut laisser au hasard.
Le dramatique incendie survenu sur un des datacenters d’OVH en mars 2021 témoigne du caractère hautement stratégique du choix de son ou de ses fournisseurs de cloud. La cinquantaine d’entreprises qui intente aujourd’hui une action collective contre l’hébergeur français aurait dû se poser un certain nombre de questions fondamentales avant… Dans le cadre du RGPD, la question du transfert des données doit inciter tous les délégués à la protection des données à savoir précisément où sont stockées – et dans quelles conditions – les données de leur organisation.
On le voit, les enjeux pour les DPO pour l’année 2022 sont nombreux et diversifiés. Confrontés à la crise sanitaire, les délégués à la protection des données doivent s’imposer auprès des directions générales et des directions métiers pour poursuivre leur chantier de mise en conformité RGPD. Ils doivent en parallèle intégrer les enjeux liés à la cybersécurité et au caractère souverain de leurs prestataires d’hébergement, tout en réfléchissant à la manière d’apporter toujours plus de valeur ajoutée à leur organisation.
A lire aussi : Comment deepeo peut vous aider à maintenir votre conformité dans le temps.