Qu’est-ce qu’un DPO? Quelle est la mission principale d’un DPO? Qui assume cette fonction dans une entreprise? Quelle formation est nécessaire pour devenir DPO?
Pour en savoir plus sur ce métier, retrouvez ci-après notre interview avec Colin Chaleon, DPO & Consultant en sécurité de l’information chez sequal by Meanquest.
Je m’appelle Colin Chaleon et je suis titulaire d’un Master en Droit européen. Je me suis spécialisé en droit de la protection des données personnelles dans le cadre d’un Mastère spécialisé. Je possède une première expérience en tant qu’assistant DPO (Délégué à la Protection des Données) au sein de la branche vins et spiritueux du groupe LVMH. J’ai finalement rejoint sequal by Meanquest et j’exerce maintenant la fonction de DPO & Consultant en sécurité de l’information auprès de nos clients.
Le métier de DPO est particulier car il est défini et est encadré par la loi informatique. Ses missions sont donc assez précises: il doit veiller au respect des lois et règlements de protection des données applicables à son entreprise. Pour cela, il la conseille, la guide et lui propose des recommandations quant à la protection des informations personnelles qu’elle traite.
Toute organisation s’occupe du traitement des données personnelles dans le cadre de son activité et de ses processus internes (ressources humaines, marketing, finances, communication, production etc.). C’est pourquoi le rôle de DPO est important pour toute entreprise: il est celui qui doit veiller à identifier les traitements de données personnelles dans les différentes activités, les flux de données, ainsi que les risques associés. Il est celui qui propose les plans d’action pour mitiger ces risques.
Le Délégué à la Protection des Données est également le point de contact privilégié des personnes concernées (les personnes dont les données sont traitées par l’organisation), mais aussi des autorités de protection des données afin de coopérer avec celles-ci en cas de contrôle.
Le métier de DPO est passionnant car il est en constante évolution. Les évolutions technologiques et juridiques actuelles relatives à la protection des données nous amènent, en tant que Délégué à la Protection des Données obligatoire, à travailler sur des sujets toujours plus divers et variés (l’intelligence artificielle, le cloud, le big data etc.).
C’est un métier qui demande également des connaissances plus ou moins approfondies dans des domaines non-juridiques: la sécurité de l’information, la gestion de projet, technologies de l’information, la cybersécurité, etc. J’apprécie tout particulièrement de pouvoir développer mes compétences dans ces domaines car c’est à la fois challengeant et stimulant intellectuellement.
Les compétences requises peuvent, selon moi, être regroupées en trois volets:
En Suisse romande, la majorité des entreprises semble consciente de l’existence d’une loi relative à la protection de la vie privée et des données personnelles. Lorsque nous auditons nos clients, tous (ou presque) affirment être au courant que la nouvelle version de la LPD (Loi fédérale sur la protection des données) est entrée en vigueur en septembre 2023. En revanche, très peu se sont engagés dans un programme de mise en conformité car très peu réalisent qu’elles sont impactées par cette mise à jour. Il y a donc encore un grand travail de formation et de sensibilisation à faire auprès des entreprises.
Je ne pense pas que la LPD ait modifié de façon conséquente la relation entre les entreprises et leurs clients historiques. En revanche, les entreprises qui se mettent en conformité avec le règlement ont tendance à adopter une posture beaucoup plus transparente auprès de leurs clients, notamment parce que la nouvelle LPD a renforcé le devoir d’informer les personnes concernées, ou encore le droit d’accès aux données pour les personnes concernées. Ces éléments contribuent à une attitude et des pratiques plus respectueuses des droits des personnes, et notamment des clients/consommateurs.
Selon moi, il est essentiel de se doter d’un véritable programme de conformité et de gouvernance de la protection des données afin de conserver une telle dynamique dans le temps. En effet, le programme de conformité va permettre de fixer des jalons à atteindre par l’entreprise sur une durée déterminée, afin de s’inscrire dans une démarche d’amélioration continue. Chez sequal, nous travaillons beaucoup sur les bases posées par la norme ISO 27001 et son extension dédiée à protéger les données sensibles, ISO 27701, pour doter nos clients de cette dynamique. Nous pensons que ce sont d’excellents référentiels et outils de travail pour se mettre en conformité de façon pérenne.
Traiter les données personnelles de manière conforme suppose d’adopter une série de bonnes pratiques, à commencer par se soumettre à un audit initial permettant de faire un premier état des lieux de la conformité au sein de l’entreprise. Il permet d’identifier les types de données personnelles traitées, les flux de données et les risques associés. Le résultat de cet audit permet ensuite d’élaborer un programme de mise en conformité par étapes. Une documentation rigoureuse doit tout d’abord être mise en place, avec les essentiels de la protection des données (registre des activités de traitement, accords sur le traitement de données personnelles, clauses de confidentialités etc.). Cela n’est pas suffisant: la conformité à la LPD ne peut être assurée sans une solide sécurité informatique des données. Pour cela, nous recommandons l’implémentation de mesures de sécurité pertinentes en fonction du contexte de l’entreprise. Par exemple, nous incitons nos clients à adopter certaines mesures de base, comme ne plus transmettre de données personnelles dites sensibles en clair par mail, mais plutôt d’utiliser des plateformes sécurisées que nous leur mettons à disposition. Nous proposons également des mesures telles que le chiffrement des données, leur anonymisation, des bonnes pratiques de contrôle des accès, ou encore des méthodes de gestion des incidents de sécurité. En suivant ces recommandations, nos clients peuvent non seulement se conformer à la LPD, mais également renforcer la confiance de leurs clients et partenaires.
Le métier de Délégué à la Protection des Données (DPO) va, à mon sens, subir des évolutions certaines dans les prochaines années, notamment avec l’arrivée des nouvelles réglementations de régulations européennes relatives à l’IA, le DMA (Digital Market Act), le DSA (Digital Service Act), etc. Je pense que la Suisse se mettra à niveau comme elle l’a fait avec la nLPD face à l’arrivée du RGPD, et que le Délégué à la Protection des Données obligatoire, externalisé ou non, se verra probablement impacté. Chez sequal nous sommes déjà confrontés de façon récurrente à des sujets liés à l’utilisation d’outils d’intelligence artificielle, tels que Microsoft Copilot. Nul doute que ces domaines vont prendre de plus en plus de place dans notre quotidien.
Le rôle du Délégué à la Protection des Données (DPO) est primordial pour assurer la conformité des entreprises aux réglementations de protection des données. Son expertise en matière juridique et technique, ainsi que ses compétences organisationnelles et relationnelles, en font un acteur clé pour toute organisation traitant des données personnelles.
Si vous souhaitez en savoir plus sur les responsabilités d’un DPO, les défis qu’il rencontre, ou si vous êtes intéressé par une collaboration pour améliorer la gestion de vos données personnelles, n’hésitez pas à nous contacter. Nous serions ravis de discuter de vos besoins et de vous accompagner dans votre démarche de conformité.
Restons connectés
