Moi DPO (2/4) : Au centre du réseau

Dans notre série « Moi DPO » nous avons vu, d’une part, le portrait-robot du DPO en France et, d’autre part, comment démarrer une mission de délégué à la protection des données personnelles. Poursuivons l’installation de notre DPO par la construction de son réseau, interne et externe, sans lequel il ne pourra pas avancer efficacement.

1. Le réseau interne

Tous concernés :

Notre DPO est avant tout un chef d’orchestre ! La protection des données personnelles est l’affaire de tous au sein de l’entreprise :
– la direction qui prend les décisions en dernier recours et s’assure de l’adéquation des moyens avec les besoins

– les métiers qui manipulent les données au quotidien

– les services support qui traitent également beaucoup de données personnelles

Chaque personne de la société est donc un maillon important dans le respect des exigences du RGPD :
– le personnel d’accueil qui vérifie les pièce d’identité des visiteurs, tient un registre, vérifie les écrans de vidéosurveillance des entrées, donne accès au wifi invité, …

– le service RH qui recrute, tient à jour les dossiers du personnel et réalise les déclarations obligatoires, …

– la paie qui utilise les données bancaires des personnes

– la comptabilité qui détient les données des fournisseurs

– la logistique qui gère l’attribution des véhicules de service, leur géolocalisation, ou les cartes de fidélité de transport, les préférences de voyage, …

– le marketing et la communication qui analysent le trafic du site web, les comportements clients, qui organisent des évènements, gèrent les préférences alimentaires lors des repas d’entreprise, ou préparent des jeux et concours

– les CSE qui développent, entre autres, des aides et des actions socio-culturelles pour les salariés et leurs familles

– les métiers qui, en fonction de l’objet de la société, vont traiter des adresses, des données de santé, de prospection ou de communication, …

– le personnel d’entretien qui va avoir accès aux bureaux, aux armoires, aux ordinateurs

– le service informatique qui gère de nombreuses données personnelles, de l’AD aux journaux de sécurité, de la messagerie électronique aux dossiers informatiques de la société, …

Vous l’aurez compris, chacun a son rôle à jouer en respectant, à son niveau et dans son domaine de compétences, les règles et les bonnes pratiques nécessaires à la protection des données personnelles. 

Pour cela, une bonne sensibilisation de l’ensemble du personnel est nécessaire, à la fois sur les bons réflexes à adopter en matière de sécurité informatique, mais également en matière de confidentialité, de protection des données, de respect des droits des personnes. Cette sensibilisation doit être réalisée pour les nouveaux arrivants, mais aussi de manière périodique pour chaque personne et de manière renforcée pour les fonctions les plus exposées.

Des relais désignés

Cependant, notre DPO fraîchement nommé aura besoin de s’appuyer sur un réseau de personnes spécialement désignées pour le seconder.

La taille de ce réseau et sa structure dépendront beaucoup de la taille de la société, de sa structure et de son activité. En effet, une société internationale ayant des filiales dans différents pays du monde et une PME à établissement unique ne mettront pas en place le même réseau.

Dans certaines sociétés, seuls les services support, comme le service des ressources humaines et le service informatique, sont confrontés au traitement des données personnelles. Dans d’autres organismes, les services les plus exposés sont les métiers, par exemple dans le domaine de la santé. Le choix des relais en matière de protection des données personnelles doit donc refléter les caractéristiques de l’organisme.

Ces relais ont deux fonctions principales :
– remonter des informations auprès du DPO

– relayer les informations et recommandations du DPO auprès des équipes

Ils doivent donc être positionnés de telle sorte qu’ils aient accès aux informations « terrain » :
– quels sont les traitements de données personnelles réalisés dans leur champ d’action ?

– quelles catégories de données sont nécessaires à ces traitements ?

– pendant combien de temps ?

– comment sont collectées les données opérationnellement ?

– qui sont les personnes concernées ?

– quelles mesures de sécurité sont appliquées ?

Ils doivent également être en capacité de :
– diffuser la culture « Informatique et Libertés » à leur niveau

– connaître les procédures pour alerter le DPO ou signaler des incidents

Dans une structure simple, un relai peut être désigné dans chaque service qui traite des données personnelles.

Dans une structure plus complexe, un système de relais en cascade peut être mis en place : un relai principal est désigné au sein d’une direction avec des relais secondaires dans les services et ainsi de suite.

Dans son rapport d’activité 2020, la CNIL indique que si 75% des DPO n’ont pas d’équipe pour les épauler, 31% bénéficient  d’un réseau de référents « Informatique et Libertés ».

L’animation du réseau interne

Une fois les relais identifiés et désignés, notre DPO doit faire vivre son réseau interne.

La mission des relais doit être valorisée pour fédérer les personnes sur la sujet de la protection des données et les mettre en mesure d’avoir un rôle actif dans l’entreprise dans ce domaine.

L’animation du réseau DPO passera donc, par exemple, par des actions de formation plus poussée de ces relais : webinars thématiques, ateliers de travail sur la cartographie et le registre des traitements, formation sur l’analyse d’impact en fonction des domaines, newsletter spécialisée, point sur les actualités RGPD, etc.

Pour valoriser leur rôle, le DPO pourra aussi recueillir et diffuser des témoignages dans le cadre de retours d’expérience par exemple, ou faire le portrait d’une personne dans le magazine de la société afin de mettre en avant ses réalisations en matière de protection des données.

Ces relais sont les principaux points de contact du DPO au sein de la société et doivent être à même de réagir de manière pertinente en cas d’évènement particulier touchant à la protection des données :
– violation de données

– exercice de droit des personnes

– analyse d’impact

– contrôle de la CNIL

Ils doivent donc connaître les procédures mises en place par le DPO pour identifier et remonter les informations concernant ces évènements aux personnes habilitées (DPO, RSSI, DSI par exemple).

Certes, il ne s’agit pas d’en faire des DPO bis, mais plutôt de leur donner les moyens de se poser les bonnes questions et de relayer les bonnes informations aux bonnes personnes.

Les trois fondamentaux à retenir pour réussir son réseau interne sont :
– Animer régulièrement et activement le réseau

– Valoriser la mission

– Impliquer les personnes en les responsabilisant

Le comité de pilotage

Le réseau de relais DPO est différent du comité de pilotage RGPD de la société. Un point plus détaillé sur le pilotage de la mission DPO sera fait par ailleurs, mais il est important de le noter.

Le comité de pilotage ne rassemble pas les relais. Ces derniers peuvent être invités à telle ou telle réunion du COPIL, en fonction de l’ordre du jour, mais généralement, ils n’en font pas partie. Le COPIL a des missions différentes par rapport à celles des relais et est composé, par exemple, d’un membre de la direction, du responsable de la sécurité des systèmes d’information, d’un responsable juridique/conformité et du DPO. Son objectif relève essentiellement de la validation et des décisions sur les orientations et les enjeux.

En parallèle de son réseau interne, notre DPO développe un réseau externe sur lequel s’appuyer et partager ses expériences.

2. Le réseau externe

La fonction de DPO, relativement jeune, peut être assez méconnue au sein des organismes et notre DPO, de fait, peut se sentir parfois un peu seul ou incompris dans certaines situations.

Il est donc important qu’il puisse se reposer sur un réseau externe avec lequel il pourra partager son expérience et obtenir de l’aide.

Ce réseau externe peut être composé de différents acteurs : la CNIL, les associations et clubs de DPO, des sociétés de service spécialisées dans la protection des données, des conseils juridiques.

La CNIL

La CNIL dispose d’un service dédié aux DPO, au sein de la direction de la conformité. Ce service propose une permanence téléphonique afin de venir en aide aux DPO qui ont des questions. À ce sujet, la CNIL a publié le 12 février 2021 une charte d’accompagnement des professionnels précisant les modalités de traitement des demandes de conseils notamment.

Par ailleurs, la CNIL organise ponctuellement des évènements auxquels les DPO peuvent participer pour s’informer, et partager. Elle propose, par ailleurs, de très nombreuses ressources à destination des professionnels.

Malheureusement, les effectifs de la CNIL ne lui permettent pas de répondre à toutes les demandes et son temps de réponse peut être long par rapport aux préoccupations de notre DPO. Ce dernier doit donc se tourner aussi vers d’autres ressources.

Les associations et clubs DPO

Depuis qu’il existe des correspondants « Informatique et Libertés » (CIL), les « ancêtres » du DPO, il existe aussi des associations et des lieux de partage d’expérience pour eux. Ces groupes sont des appuis inégalables pour les DPO en mal de réponses et de solidarité.

Pour citer l’association la plus fédératrice, l’AFCDP propose de très nombreuses ressources documentaires, des groupes de travail, des temps forts comme l’Université des DPO, des groupes de partage régionaux, des webinars, des apéros, etc. La cotisation est vite rentabilisée !

En marge de ces associations, car il en existe plusieurs, des évènements ont été créés pour animer la culture de protection des données personnelles et la communauté des DPO, par exemple la nuit du DPO avec remise de prix pour le DPO le plus fédérateur, le DPO le plus innovant, le DPO le plus ambitieux et un prix spécial du jury.

Par ailleurs, connaissez-vous la date de la journée mondiale de la protection des données ? C’est le 28 janvier, à noter de toute urgence dans vos agendas !

Les sociétés de service spécialisées dans la protection des données et les conseils juridiques

Dans certains cas, notre DPO a besoin d’être épaulé par des professionnels spécialisés dans la protection des données personnelles ou dans la cybersécurité.

Que ce soit lors d’une analyse d’impact, l’audit d’un site web, la mise en place de certaines procédures ou plus simplement pour accélérer un projet de mise en conformité RGPD, notre DPO peut faire appel aux services de sociétés spécialisées ou de conseils juridiques.

Ces aides peuvent faire gagner beaucoup de temps et d’énergie mais aussi conforter notre DPO dans ses intuitions, l’aider à monter en compétences ou à acquérir des savoir-faire techniques lorsqu’il est confronté à de nouvelles situations.

Conclusion

Une des qualités de notre DPO est de savoir bien s’entourer ! Son réseau interne et ses appuis externes seront des atouts fondamentaux dans la réussite de sa mission.

Sans le premier, il se trouvera démuni au sein de sa société pour récupérer les informations et relayer la culture « Informatique et Libertés » et les bonnes pratiques. Il s’épuisera à être partout à la fois et finira par sombrer sous l’ampleur de la tâche dans l’indifférence la plus totale.

Sans le second, il évoluera en vase clos, sans bénéficier de la richesse des expériences de ses confrères. Il fera des erreurs qu’il peinera à corriger car il ne sera pas assez confronté à la diversité des interprétations et à l’évolution des pratiques. Au lieu d’être une discipline vivante et passionnante, il vivra la protection des données comme un concept figé.

Le réseau, le partage, la communication, sont donc les maîtres-mots de la fonction de DPO !

Retrouvez la série des articles « Moi DPO » :

– articles de Frédéric Le Corre : Moi DPO, les premières actions et Moi DPO : la constitution du registre des activités de traitement

– article d’Alice Picard : Moi DPO : la constitution du registre des activités de traitement

Je partage