Oodrive : quand le DPO s’appuie sur des Privacy Champions
Le DPO est l’institution originale qui constitue l’un des évènements de l’entrée en application du RGPD, ce fameux règlement dont tout le monde parle depuis de nombreux mois, qui réglemente dans toute l’Union Européenne le traitement des données personnelles.
Ce Délégué à la Protection des Données, plus connu sous son acronyme anglais DPO, est le chef d’orchestre du RGPD. En clair, le successeur du Correspondant Informatique et Libertés ou CIL englouti par le RGPD, est le contrôleur de la bonne application du Règlement. Un peu comme un Commissaire Aux Comptes est le contrôleur des comptes de l’entreprise.
SOMMAIRE :
Quand le DPO joue un rôle central
Sa désignation est obligatoire pour les autorités ou organismes publics et pour les organismes de droit privé qui réalisent un suivi régulier et systématique des personnes à grande échelle, notamment par le profilage ou traitent à grande échelle des données sensibles comme les données de santé.
Dans tous les autres cas, le DPO est facultatif mais recommandé. En effet, cette nouvelle institution va informer et conseiller le responsable de traitement et le sous-traitant au titre de l’application de la Loi en matière de données personnelles et de ses évolutions.
Vis-à-vis en particulier des employés, le DPO assume son rôle de conseil, reconnu par le texte communautaire. Ainsi, on lui demande d’être facilement joignable par tous les employés.
Ce rôle central au titre des données personnelles se trouve d’ailleurs à tous les étages de la réglementation, pas seulement vis à vis de l’interne.
Quand il s’agit d’adopter le bon réflexe
Par exemple, quand un responsable de traitement constate une violation de données personnelles, le RGPD lui fait désormais obligation sous peine d’une sanction qui peut s’élever jusqu’à 2% du chiffre d’affaires de l’entreprise, de notifier cette violation à la CNIL, voire même aux personnes concernées par la violation.
Or, dans le cadre de cette communication, le responsable des traitements doit communiquer les coordonnées du DPO à la CNIL et aux personnes concernées par la violation.
L’un des enjeux clairs du RGPD est de transformer les contraintes réglementaires en avantage business.
Cette transformation requiert d’insuffler le réflexe « données personnelles » à toute l’entreprise et d’obtenir l’adhésion de tous les employés.
Pourquoi ne pas alors s’appuyer sur le DPO à cette fin ?
Quand il faut identifier ses Privacy Champions en interne
C’est dans cette idée que Oodrive, groupe de près de 400 Salariés dont l’activité principale est la gestion sécurisée des données sensibles dans le Cloud souverain, en proposant aux professionnels des solutions de partage, de sauvegarde et de signature électronique, a mis en place une pratique originale.
Le DPO nommé en interne par Oodrive, et qui n’est autre que son Directeur de la Cybersécurité (Group CISO), a désigné au sein de l’organisation et parmi les employés, des Privacy Champions.
Dans cette optique, le DPO a demandé aux responsables de chaque département d’identifier des candidats pertinents, pour leur connaissance fine de leurs process métiers respectifs, mais aussi leur capacité à servir de relais et leur légitimité vis-à-vis de leurs collègues.
Ces candidats se sont révélés très motivés, en cohérence avec les missions et valeurs d’Oodrive
Quand les anges gardiens de la protection de la vie privée déploient leurs ailes
Ainsi, c’est sur ces Privacy Champions que le DPO, « chef d’orchestre » de la mise en œuvre du GDPR, va principalement s’appuyer.
Ceux-ci ont reçu une formation de sensibilisation d’une demi-journée par deux Avocats spécialisés, qui s’est terminée par un quizz de 20 questions balayant l’ensemble des thématiques du Règlement et constituant une auto-évaluation.
De retour à leurs postes, ils se coordonnent au travers d’un Privacy Circle périodique, et sont régulièrement tenus informés des évolutions de la démarche de mise en conformité de l’entreprise au RGPD, à laquelle ils contribuent concrètement.
Quand la conformité de l’entreprise décolle, tout en douceur
Dans chaque département, les Privacy Champions sont en effet les premiers interlocuteurs de leurs collègues pour toute question relative au RGPD, en coordination avec le DPO.
En tant que partie prenante de chaque métier, ils renseignent le registre des traitements de données à caractère personnel, et coordonnent si nécessaire les PIA (Privacy Impact Assessment = analyse des risques sur la vie privée).
On le voit bien, le RGPD est aussi clairement l’occasion pour un certain nombre d’entreprises de remettre à plat certaines organisations et de valoriser des talents au bénéfice de l’organisation et de ses clients.
L’initiative originale d’Oodrive rentre clairement dans cet objectif.
Article co-rédigé par :
- Olivier Iteanu, Cabinet Iteanu Avocats ;
- François-Xavier Vincent, Group CISO & DPO Oodrive.