Gardien des données, un rôle à 360 degrés

Le 25 mai prochain marquera le troisième anniversaire de l’entrée en application du règlement général sur la protection des données (RGPD). Et avec lui celui de l’arrivée des délégués à la protection des données – data protection officers (DPO) en anglais – au sein des entreprises. Encouragée par la Commission nationale de l’informatique et des libertés (Cnil) en France, leur présence a notamment été rendue obligatoire dans toute organisation devant collecter des informations sur la vie privée des personnes. C’est le cas au sein des banques, où le DPO joue un rôle essentiel dans la mise en conformité et veille au bon respect des obligations RGPD, particulièrement exigeantes dans le secteur. « Le rôle de DPO au sein de BNP Paribas consiste à déployer des politiques de données responsables et éthiques afin que sécurité et confidentialité soient assurées à nos clients, explique Ramy Houssaini, responsable de la protection des données de la banque. La protection des données est pleinement intégrée dans chaque décision opérationnelle du groupe. »

Garant de la sécurité

Au sein de la Banque de France, deux spécialistes des données personnelles cohabitent : Dominique Jeanne, DPO, et Paul Coulomb, directeur de la prévention des risques et chef de projet du RGPD. « Nous nous répartissons les tâches, indique Dominique Jeanne. De mon côté, après la phase de mise en conformité, je m’occupe aujourd’hui plus particulièrement de l’assistance à l’intégration des aspects protection des données personnelles dans les traitements. Le rôle de conseil auprès des métiers augmente avec la prise de conscience de l’importance de la protection des données personnelles. » Aujourd’hui, plus de 70 % de son temps est ainsi consacré au conseil et à l’analyse de risques. « Solliciter mon avis est presque devenu un réflexe, ce qui n’était pas le cas au début », observe la DPO. Rien d’étonnant dans un secteur où le traitement des datas s’effectue à large échelle. Dans ce cadre, le DPO se pose comme le garant de la sécurité. « En notre qualité de banque centrale, nous détenons une masse énorme de données sur le public – fichiers sur les surendettés pour le compte de l’Etat..., commente Paul Coulomb. Par conséquent, nous recevons beaucoup de demandes de particuliers voulant exercer leur droit d’accès à l’information. »

Karine Huberfeld, elle, est à la fois responsable du pôle contentieux, corporate, marques et données personnelles du groupe franco-allemand Oddo BHF, mais aussi son DPO depuis 2018. Depuis lors, après la phase de cartographie et de mise en conformité au RGPD, elle doit donc également jongler au quotidien avec les nouveaux processus, les incidents divers, les analyses d’impact, les audits de traitement des données ou encore la coordination. Et si cette ex-avocate également passée par l’Autorité des marchés financiers (AMF) est familiarisée avec l’environnement réglementaire, la tâche n’en est pas moins immense… « On apprend à gérer son temps autrement, assure-t-elle. Pendant la phase de mise en conformité RGPD, mon temps était consacré à plus de 50 % aux données personnelles. » Aujourd’hui, elle peut néanmoins compter sur l’assistance d’un juriste à Paris et d’un autre chez Oddo BHF Tunis.

Une fonction faite pour durer

La mission de DPO nécessitant une vision à 360 degrés des enjeux en matière de données personnelles, certains avocats occupent également le terrain. C’est le cas de Jérôme Deroulez, avocat et DPO externalisé. Pour lui, ce rôle qu’il compare à celui d’un chef d’orchestre nécessite, dans le domaine financier, de maîtriser également parfaitement les enjeux bancaires. « L’évolution des nouvelles technologies dans ce secteur pose aussi beaucoup de questions croisées en la matière, ajoute-t-il. De fait, le DPO bancaire s’apparente un peu à un mouton à cinq pattes. »

Son profil n’est en tout cas plus l’apanage des domaines juridique et informatique ; il n’est désormais plus rare de voir des personnes de tous horizons se lancer dans la bataille. « Le métier de DPO requiert des compétences transverses : juridiques afin de suivre la doctrine des autorités de protection des données et la jurisprudence européenne, techniques pour l’analyse des processus et des technologies, mais aussi organisationnelles, notamment pour la gestion de nouveaux produits, ou encore stratégiques via l’intégration des enjeux de gouvernance », liste Ramy Houssaini. Sans oublier les qualités relationnelles, indispensables pour créer une relation de confiance avec les différents métiers de la banque. « Il faut parfois faire le gendarme lorsque cela est nécessaire, mais aussi s’adapter aux gens pour les faire progresser », affirme Paul Coulomb.

Une chose est sûre : le DPO est appelé à s’installer dans le paysage. Les formations qui se multiplient en la matière (universitaires avec des masters spécialisés, Mooc*) en sont la preuve. Reste à présent à inscrire les efforts déployés pour être en conformité RGPD dans la durée. « Il faut veiller à ce qu’il n’y ait pas de relâchement. Ce sera le challenge des DPO dans les années à venir », confirme Dominique Jeanne. Pour Karine Huberfeld, la création d’une sorte de cercle des data protection officers serait également bienvenue pour éviter l’isolement. « Comme la fonction est encore assez nouvelle, l’échange de bonnes pratiques avec d’autres DPO du secteur bancaire et financier pourrait être utile », estime-t-elle. A bon entendeur.

*Formation en ligne ouverte à tous.