PDG ou délégué à la protection des données (DPD) : qui gagne le jeu du pouvoir ?
Pendant ce temps, le PDG et le délégué à la protection des données (DPD) sont des adversaires. Avec le durcissement des règles de protection des données, un conflit se développe dans les entreprises. Qui décide quels sont les intérêts économiques de l'entreprise en jeu ? Le chef d'entreprise ou l'expert qui veille au respect de la protection des données ? Morten Brøgger, PDG de Wire, connaît la réponse.
En attendant, le PDG et le délégué à la protection des données (DPD) sont des contreparties. C'est une évidence en raison du renforcement des règles de protection des données du DSGVO en mai 2018. Cela nécessite la nomination d'un délégué à la protection des données pour les entreprises comptant au moins dix employés. Si cela devient obligatoire, la pertinence d'un traitement sécurisé des données et des informations augmentera.
Bien que plus de la moitié des entreprises n'aient pas encore pourvu un poste à plein temps d'expert en protection des données, le sujet est enfin arrivé dans les salles de conseil d'administration. Néanmoins, il subsiste de nombreuses incertitudes, notamment en ce qui concerne une fonction dans l'entreprise qui a beaucoup gagné en importance à l'ère de la vie privée.
Le délégué à la protection des données veille au respect de la réglementation en matière de protection des données et est donc responsable de la protection de la vie privée des employés et des clients. Comme on attend d'eux qu'ils surveillent et remettent en question les processus et la culture de travail, ces employés assument une fonction importante et prédominante dans l'entreprise.
Un nouveau rôle
Dans la dernière enquête sur la cybersécurité réalisée par l'Office fédéral allemand de la sécurité de l'information, 70 % des entreprises ont été victimes d'attaques de pirates informatiques en 2016 et 2017. De nombreuses entreprises sont assises sur une bombe à retardement. Beaucoup d'entreprises tombent dans l'erreur de s'en remettre à des experts externes en protection des données pour examiner leurs opérations et leurs processus en matière de sécurité informatique ou de faire confiance à de coûteuses cyber-assurances. Cela cache d'autres risques.
Les fournisseurs externes pourraient compenser financièrement les mesures de protection et les pertes, mais ils ne peuvent généralement pas ramener les données perdues. Si l'ensemble du système informatique d'une entreprise est touché, la restauration peut coûter plusieurs millions d'euros, selon la taille de l'entreprise - sans compter la perte d'avantages concurrentiels et les coûts liés à la perte de ventes et à l'atteinte à l'image.
Même un seul fichier volé, piraté par le biais des données ou des mots de passe des clients, peut causer des dommages durables.
C'est là que le délégué à la protection des données entre en jeu et doit marcher sur les plates-bandes de la direction.
Liste de contrôle pour le futur DPD
Les tâches du délégué à la protection des données consistent notamment à alerter la direction en cas de violation de la protection des données et à insister pour que des modifications importantes soient apportées si nécessaire. Des solutions de stockage dans le nuage peu sûres ou les canaux de communication propres à l'entreprise sont des "points sensibles" pour les entreprises que l'expert en protection des données doit surveiller de près.
En général, lorsqu'il utilise des solutions logicielles, le DPD doit être en mesure de vérifier les caractéristiques suivantes et de répondre aux questions :
- Conformité avec la GDPR : si et comment les données personnelles sont traitées ?
- Logiciels audités : des audits de sécurité informatique indépendants sont-ils régulièrement effectués ?
- Disponibilité du code source libre : le code source libre présente-t-il des failles de sécurité critiques ou des portes dérobées potentielles pour des tiers ?
- Localisation des serveurs : les serveurs sont-ils situés dans l'UE et le cadre juridique relativement strict s'applique-t-il ?
- Cryptage de bout en bout : les transmissions de données ou toutes les communications sont-elles cryptées de bout en bout de sorte que seuls l'expéditeur et le destinataire y aient accès ?
Dans le meilleur des cas, le PDG établit une culture de sécurité interne en collaboration avec le délégué à la protection des données. Cela signifie qu'ils s'efforcent de faire en sorte que les employés adoptent une attitude positive à l'égard des politiques nécessaires, car dans le pire des cas, leur propre emploi et le bien-être de l'entreprise dépendent du fonctionnement des mécanismes de sécurité informatique.
Pas de jeu de pouvoir, pas de perdants
Le délégué à la protection des données peut mettre en lumière des vérités très gênantes pour le PDG : il aborde ouvertement les erreurs et les violations, exige des réformes et remet en question les flux de travail existants. Néanmoins, les experts en gestion et en protection des données représentent fondamentalement les mêmes intérêts. Au final, toutes les parties concernées tirent des avantages inestimables d'une coopération étroite : l'entreprise est mieux protégée contre les cybermenaces, les employés traitent les informations sensibles avec plus de prudence, les clients bénéficient d'une meilleure protection des données, ce qui est également payant pour leur propre respectabilité.
Il est donc important que le DPD mette en œuvre un nouveau flux de travail tout en intégrant des outils sécurisés dans les processus de travail. Ces derniers offrent également la possibilité d'augmenter encore la productivité de l'entreprise et donc d'avoir un impact positif sur les KPI. En fin de compte, il n'y a de gagnants que si le PDG et le DPD ne s'engagent pas dans une lutte de pouvoir, mais se serrent les coudes.
Le délégué à la protection des données est chargé de guider les processus plus globaux. Avec le PDG, les intérêts de l'entreprise sont ainsi durablement protégés.
