Le DPO, le CIL de demain ? - Interview d'Hélène LEGRAS -CIL/DPO du Groupe AREVA
Interview d'Hélène LEGRAS -CIL/DPO du Groupe AREVA,
Elle intervient lors de la matinée d'étude :
1. Qu'est-ce qu'un DPO ? Est-ce un nouveau métier ? une évolution du métier de CIL ?
Le DPO sera associé de manière appropriée et en temps utile à toutes les questions touchant à la protection des données personnelles de son entreprise et est soumis au secret professionnel.
Le DPO protège les données personnelles des salariés de sa société mais aussi celles de ses clients. Il aura plus de missions et responsabilités que l'actuel CIL, même si a priori les CIL d'aujourd'hui constituent le vivier des futurs DPO de demain.
Véritable acteur de la conformité, il fait de l' « accountability » (prouver la conformité), du «Privacy by design » (respect de la protection des données dès la conception) , du « Security by default » (sécurité par défaut) et il fait aussi des études d'impact pour les traitements à risques.
2. Quelles sont les qualités d'un bon DPO ?
Toutes ces tâches nécessitent que le DPO ait un réseau qu'il anime et avec lequel il travaille en étroite collaboration. Le DPO a son réseau interne et externe mais il est aussi le point de contact de l'autorité de contrôle (la CNIL en France).
Le DPO veille à la sécurité et à la confidentialité des données et empêche qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Le règlement prévoit que le Responsable de traitement signale les failles de sécurité dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Plus que jamais DPO et RSSI se coordonnent et échangent pour que cette obligation soit respectée.
Le DPO aura un rattachement hiérarchique fort au sein de son entreprise pour que cette dernière puisse défendre la conformité informatique et libertés surtout que les sanctions pourront désormais représenter 4% du chiffre d'affaires mondial ou 20 millions d'euros. Et la publicité de cette sanction perdure, ce qui porte atteinte à l'image de marque de l'entreprise !
Le DPO devra avoir des moyens techniques, humains et financiers pour mener à bien ses tâches, qui nécessitent une disponibilité de tous les instants.
3. Qui peut-être DPO dans une entreprise ?
Les DPO ont des cursus de formation et d'activités variés : ils sont juristes, Informaticiens , Responsables de la Sécurité des Systèmes d'Information, auditeurs, commerciaux, risk managers, avocats, CIL externes, consultants. Mais surtout le DPO a des qualités humaines et professionnelles : manager au sein de son réseau, organisé et pragmatique, communicant et relationnel, pédagogue, disponible et réactif. Il est passionné par sa fonction qui nécessite de connaître le droit, l'informatique et les arcanes de l'entreprise.
4. Comment anticipez vous la mise en place du nouveau règlement européen ?
Le RGPD a été adopté par le Parlement européen le 14 avril 2016, publié le 4 mai 2016 au JO de l'UE et est entré en vigueur le 25 mai 2016. Mais les entreprises ont une période transitoire de 2 ans pour se mettre en conformité. Deux ans cela passe très vite. Les entreprises ont tout intérêt à nommer un DPO avant 2018 et à faire sa fiche de poste ! Elles doivent cartographier leurs traitements et mettre à jour le registre qui répertorie les traitements automatisés de données personnelles de l'entreprise afin de mettre en place des règles d'entreprise (Binding Corporate Rules).
Le DPO sera l'élément clé pour que les entreprises, les organismes publics,.... appliquent le Règlement Général sur la Protection des Données Personnelles, qui concerne les 28 pays de l'Union Européenne.
5. Pourriez-vous vous présenter en quelques mots ?
Juriste de formation, j'ai rejoint la société FRAMATOME en 1991 où j'effectuais des déclarations à la Commission Nationale de l'Informatique et des Libertés. FRAMATOME a été fusionnée dans AREVA en 2001. J'ai été nommée Correspondant Informatique et Libertés mutualisé pour le Groupe AREVA le 1er mars 2007.
En charge des questions Informatique et Libertés, je suis devenue avec l'adoption du Règlement Général sur la Protection des Données le Data Protection Officer (Délégué à la Protection des Données) du Groupe.
Je suis aussi la Vice Présidente de l'Association des DPO, fondée par Alain Bensoussan en janvier 2016, qui vise à aider les CIL à devenir DPO car effectivement le DPO n'a pas les mêmes missions que le CIL actuel.
Sept. 2016
Inscrivez-vous à notre newsletter
Recevez les articles du Mag des compétences
