Jérôme Deroulez (Deroulez Avocats) : Les cinq commandements du DPO

Jérôme Deroulez (Deroulez Avocats) : Les cinq commandements du DPO
Jérôme Deroulez

Mettre le RGPD en musique, trouver sa place, travailler main dans la main avec les équipes compliance… Le quatrième anniversaire du Règlement européen, entré en vigueur le 25 mai 2018, est l’occasion de revenir, avec Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats, sur les points-clés du quotidien d’un DPO.

Rôle, place et qualités du DPO - Entretien vidéo avec Jérôme Deroulez

Être un chef d’orchestre

La vraie difficulté pour le DPO, c’est de réussir à mettre en musique le RGPD. Il faut avoir une vision globale, pouvoir auditer différents services dans une société, gérer toutes les relations entre responsable de traitement et sous-traitant au sein d’un même groupe. Le DPO doit parvenir à s’imposer, pour diffuser les bonnes pratiques : ce qu’on peut faire, ce qu’on ne peut pas faire, au marketing, en ressources humaines, aux contrats ou ailleurs. La prospection commerciale fait d’ailleurs partie des priorités du programme de la Cnil pour 2022. L’idée est de faire en sorte que tout le monde parle sur une même voix.

On peut être très inventif sur la sensibilisation et la pédagogie. Pendant le confinement, de nombreuses entreprises ont voulu mettre en place des jeux pour les collaborateurs. Ces jeux sont devenus des aspirateurs à données personnelles, car les gens discutaient. La plupart du temps, les entreprises n’avaient pas anticipé les conséquences de tels enjeux. Les DPO doivent se mettre dans la peau de tous les interlocuteurs, comprendre quand un service veut déployer un nouvel outil, quand une société veut en racheter une autre. Il doit donc être un bon négociateur. Il y a parfois des logiques de marchandage, il faut expliquer et convaincre, vendre le RGPD. Certains DPO ont encore l’impression d’être considérés comme des personnes étrangères, comme un frein à l’entreprise. Pourtant, le risque d’une mauvaise gestion des données n’est pas seulement la sanction : il est aussi réputationnel.

Trouver sa place

Où va le DPO ? L’entreprise doit se demander si elle choisira un DPO en interne, ou un DPO externalisé. Aujourd’hui, on retrouve toutes les configurations. Il y a l’ancien DPO qu’on a fait évoluer, celui qui a été recruté. Les profils sont souvent jeunes, ce qui peut poser un problème de légitimité quand il est nécessaire d’aller voir un RH ou un DSI expérimenté pour lui dire qu’il faut changer la façon de travailler. Mais en fin de compte, une entreprise qui gère très bien ses données pourra le valoriser, à la fois sur le plan réputationnel, mais également à la revente.

Comprendre le RGPD

Qu’est-ce qu’être conforme ? Comment être conforme ? Comment appliquer les grands principes du RGPD ? Toutes ces questions traversent la tête du DPO ? Le RGPD ne donne pas une liste à cocher, ce sont des principes à mettre en œuvre en fonction de l’organisation. Le DPO contrôle le respect du règlement, il veille à la bonne gouvernance et à l’effectivité des processus. Souvent, on remarque dans une entreprise qu’il y a de nombreux outils, des chartes vie privée, protection des données, etc. Pourtant, ça ne fonctionne pas, personne ne sait qui contacter pour la protection des données personnelles. Sur le papier, ces entreprises ont tout, mais ce n’est pas effectif. Selon l’activité et le périmètre de l’entreprise, les données seront échangées dans un cadre international, ou seront des données sensibles. Il faut être vigilant à tous ces points.

Travailler avec la compliance

On parle souvent de conformité RGPD, mais aujourd’hui, c’est un sujet intégré à la compliance. Les fiches de postes dans les grands groupes, en compliance, comportent toujours un volet protection des données. C’est logique : il faudra se demander comment faire remonter les alertes, comment mettre en place des enquêtes internes, comment gérer les transferts internationaux, etc. En revanche, la protection des données est un sujet plus timide en M&A. Pourtant, ces opérations entraînent la récupération de nombreuses données. Les salariés doivent être bien informés du traitement qui sera fait. La clé est de ne pas travailler en vase clos, car les sujets de conformité se rejoignent.

Adopter une démarche proactive

Lorsque l’on sensibilise sur la sécurité des données personnelles, sur les outils, les accès, nous créons de la valeur. Il y a une démarche proactive, qui pousse à toujours anticiper les risques à chaque nouveau projet. La gouvernance des entreprises évolue, ces dernières comprennent mieux les enjeux, notamment face à l’explosion du risque cyber.

Propos recueillis par Olivia Fuentes

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

Un petit quiz avant l'été ?

Un petit quiz avant l'été ?

Le conseil de la rédaction pour des vacances sereines et reposantes ? Vérifier que l'actualité des six derniers mois est bien maîtrisée. À vous de jou...

Les professionnels de la gestion de patrimoine face à la réforme du label ISR

Les professionnels de la gestion de patrimoine face à la réforme du label ISR

Le nouveau comité du label investissement socialement responsable (ISR), présidé par Michèle Pappalardo, travaille à sa modernisation. Les grandes lig...

Lanceurs d’alerte : 9 États européens sur 27 sont en règle

Lanceurs d’alerte : 9 États européens sur 27 sont en règle

La directive sur la protection des lanceurs d'alerte imposait comme date butoir de transposition par les États de l’Union européenne le 17 décembre 20...

Quels sont les sujets incontournables de l’été pour les DPO ?

Quels sont les sujets incontournables de l’été pour les DPO ?

Jérôme Deroulez, associé fondateur du cabinet Deroulez Avocats, revient pour Décideurs Juridiques sur les thèmes qui devraient occuper les délégués à...

Le réseau d’audit GMBA se dote d’un cabinet d’avocats

Le réseau d’audit GMBA se dote d’un cabinet d’avocats

Les six professionnels du cabinet Nosten Avocats ont rejoint en mai dernier le cabinet d’experts comptables GMBA, formalisant ainsi une collaboration...

Une gouvernance paritaire pour l’AFJE

Une gouvernance paritaire pour l’AFJE

Incarner la diversité des juristes d’entreprise pour mieux répondre aux défis du métier. C’est l’objectif que l’Association française des juristes d’e...

Oui, investir dans le Bitcoin peut être une bonne idée

Oui, investir dans le Bitcoin peut être une bonne idée

Longtemps mal vues des régulateurs car jugées trop volatiles, les monnaies virtuelles convainquent de plus en plus largement les investisseurs en quêt...

Brune Poirson (Accor) : "Le dialogue avec les gestionnaires d’actifs est crucial"

Brune Poirson (Accor) : "Le dialogue avec les gestionnaires d’actifs est crucial"

Directrice du développement durable au sein du groupe hôtelier Accor et présidente du jury du Prix de la Finance verte 2022, Brune Poirson évoque la m...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message