Au fur et à mesure que se rapproche le 25 mai 2018, date d’entrée en vigueur du Règlement général pour la protection des données personnelles (RGPD), les articles se multiplient sur les enjeux et la manière, pour les entreprises, de se conformer à ce nouvel environnement réglementaire.
A côté d’autres contraintes (tenir un registre des traitements, procéder à des analyses d’impact, obtenir le consentement des personnes concernées…), les entreprises de plus de 250 salariés sont globalement dans l’obligation de nommer un Délégué à la Protection des Données ou DPO (Data Protection Officer) (voir le commentaire n°2 pour plus de précisions). Le texte du règlement donne quelques éléments sur le profil et la mission du DPO sans entrer dans les détails des qualités et compétences requises.
Ce que dit le RGPD
L’article 39 du Règlement est consacré aux « Missions du délégué à la protection des données ». Le DPO a notamment un rôle de conseil sur les obligations de l’entreprise, de contrôle du respect du règlement, d’interface avec l’autorité de contrôle.
Le second alinéa de l’article dit : « Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement ».
La notion de risque associé à la nature et à la vie des données apparaît en toile de fond de toute l’activité du DPO, et le CR2PA se réjouit de cette approche.
Ce que disent les experts
Des fonctions ou missions énoncées par le Règlement aux compétences et qualités nécessaires pour les mettre en œuvre, il y a une certaine marge d’interprétation, comme toujours. La littérature sur le sujet est abondante dans la presse et sur les réseaux sociaux professionnels ; or, elle concentre le plus souvent les compétences autour de deux disciplines : l’informatique et le droit, avec toutefois quelques ouvertures vers le management et la gestion de données :
« Les fonctions du DPO seront principalement définies par la gestion de projet à différents niveaux/services : la sécurité, gouvernance, protection des données (commerciales ou internes) ou encore la mise en conformité des données avec la réglementation européenne. Dans certaines sociétés, le DPO sera amené à traiter la donnée ou encore la segmenter afin d’optimiser les échanges internes sur ces sujets. Dans de tels cas, les besoins porteront sur des profils un peu plus techniques […] avec une forte appétence ou compétence en gestion de données », article de l’usine-digitale
Le guide « Données personnelles et Systèmes d’information » publié conjointement par le CIGREF, l’AFAI et TECH IN France évoque les qualités professionnelles de DPO (page 86) en insistant sur les connaissances en droit et en protection des données mais aussi sur la connaissance du secteur d’activité de l’entreprise concernée et sur l’autorité du DPO dans l’entreprise.
Dans un billet intitulé « On ne s’improvise pas DPO ! » Florence Bonnet estime que : « Parmi les savoir-faire recherchés par les organisations, la capacité d’analyse arrive en tête, suivie de la connaissance de la réglementation, de compétences en gestion de projet et enfin de compétences IT/sécurité. Côté savoir-être, le DPO doit faire preuve de réflexion stratégique (37%), de capacités de communication (36%), d’esprit pratique (35%) et de créativité (26%) ».
Au début de sa tribune « RGPD : où trouver un DPO ? Comment bien le positionner dans votre organisation ? », Gilles Garnier évoque (en février 2018) le retard des entreprises françaises à satisfaire aux exigences du règlement : « Les raisons de ce retard sont multiples mais il faut souligner que l’un des problèmes majeurs est le manque de compétences ». Il affirme ensuite : « Le DPO idéal est à 50% juriste, 50% sécurité et 50% Risk Management : en effet, il y a problème ! », et « Dans un monde idéal, le DPO est un juriste expérimenté, imbattable en matière de cybersécurité et, il a la capacité de piloter un programme avec une vision risque métier. Finalement, son rattachement au juridique ou à l’informatique ne poserait aucun problème. Sauf que dans les faits, il est impossible que le DPO puisse avoir toutes ces compétences », et encore que « Ce manque de visibilité 360° peut être un vrai frein à l’avancement de la mise en conformité RGPD ».
Le domaine « Risk management » mérite d’être divisé en deux parties : le risque immédiat lié aux traitements en cours, à l’environnement socio-économique, à cette connaissance de l’activité de l’entreprise et de ses rouages ; et le risque différé lié à la relation entre les données conservées (ou détruites) et la demande externe (personnes concernées, autorités, contentieux divers), relation assez complexe qui évolue au fil du temps et qui doit être supervisée méthodiquement.
La 4e compétence (ce que dit le CR2PA)
C’est pourquoi, le CR2PA, Club de l’archivage managérial, suggère, pour le ou la DPO de l’entreprise, quatre compétences indissociables et complémentaires, en ajoutant une quatrième compétence : la nécessaire connaissance et maîtrise de ce que sont les données (tous supports confondus) : comment elles sont créées et agrégées, structurées ou non structurées, à quoi elles servent, comment elles circulent, comment elles sont conservées (combien de temps et pour quelle raison) et comment elles sont détruites.
La panoplie opérationnelle du DPO serait donc la suivante :
L’expression « processus d’archivage » désigne ici le domaine de connaissances et de compétences qui permet au management d’une entreprise et à l’ensemble des collaborateurs d’identifier les données à risque, de les mettre en sécurité avec la bonne règle de vie (justifiée tant par la finalité de sa production que par le motif d’utilisation ultérieure) et d’assurer la maintenance des données et de leur support pendant toute la durée nécessaire – et pas au-delà.
Cette quadruple compétence est un modèle de référence. A part quelques exceptions, un DPO ne peut être parfaitement à l’aise dans les quatre domaines. En revanche, comme tout responsable, il doit s’entourer des personnes qui possèdent les compétences qui lui font défaut ou dans lesquels il est moins à l’aise.
Comme l’a fait remarquer un participant à la table ronde organisée par le CR2PA en octobre dernier chez L’Oréal : RGPD/GDPR. L’archivage managérial comme levier de conformité: « Les professionnels de l’archivage sont les mieux placés, voire les seuls, pour bien pratiquer les durées de conservation »; or, le contrôle des durées de conservation est un des points majeurs du RGPD.
En effet :
- comprendre que les données et les documents sont toujours connectés à un contexte de création et à un contexte d’utilisation a priori,
- comprendre que les données sont le plus souvent incluses dans des documents et qu’on ne peut statuer sur le sort d’une donnée (effacer, anonymiser, recopier) sans prendre en considération les risques de conservation ou de destruction attachés au document dans son ensemble,
- comprendre que les mêmes données, selon leur diffusion, leur classement et leur usage, n’ont pas la même valeur de conservation,
- comprendre qu’il ne sert à rien de détruire des données si leur copie se promène dans un autre serveur,comprendre que
- moins les données sont qualifiées à la création, plus il est difficile et coûteux de les gérer ensuite,
- comprendre que la destruction ponctuelle de données, à la demande, n’est jamais aussi efficace pour prouver la conformité à une réglementation que la mise en œuvre de règles cohérentes applicables à l’ensemble des actifs informationnels de l’entreprise,
sont autant de cordes tissées par l’archivage managérial et que le DPO devrait avoir à son arc!
Nul doute que la jurisprudence mettra en évidence les facettes documentaires et archivistiques du RGPD. Mais il n’est pas nécessaire d’attendre les premières sanctions et les premières affaires judiciaires pour s’intéresser de plus près à la gouvernance dans la durée des données à risque pour l’entreprise et donc à l’archivage managérial.
Il ne faudrait pas une fois de plus se tromper dans la relation entre la technologie et l’humain : le maniement des technologies ne sera pleinement profitable que si l’humain qui les met en œuvre a compris la valeur des données manipulées. L’analyse des données doit précéder leur exploitation par l’outil.
Oui, l’archivage managérial, entre analyse de risque et hygiène informationnelle, est bien un des quatre piliers de la protection des données !
