Les juristes pourraient devenir les nouveaux "experts data" des entreprises

Jusqu’à présent contraintes à remplir des formalités déclaratives issues de la loi informatique et liberté, les entreprises vont devoir revoir toute leur politique de sécurisation avec le règlement relatif à la protection des données personnelles [texte en anglais version adoptée par le Conseil de l'UE sur laquelle le Parlement européen a donné son accord, ndrl] (voir notre interview), voté par le Parlement européen le 14 avril dernier. Il sera applicable d'ici 2 ans, soit à compter de 2018.

Parmi les principales nouveautés, le texte impose de se doter d’un data protection officer (DPO) (voir l’article 37 du règlement), chargé de superviser tous les aspects juridiques et réglementaires de la data (voir notre interview). Si la fiche de poste n’est pas encore bien définie, l’objectif est d’en faire une fonction clef.

Selon le texte, seront notamment concernées les autorités publiques, et les entreprises « dont l’activité consiste en des traitements qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique des personnes concernées » (voir article 37 du règlement).

En pratique, « toutes les entreprises qui utilisent ou produisent des données pour suivre régulièrement et systématiquement des personnes (fichiers clients, campagne d’e-mailing, paiement en ligne, fichier RH, etc.) devraient être touchées par cette nouvelle réglementation, quelle que soit leur taille (start-up, TPE, PME, ETI, grands groupes). En effet, dès lors qu’elle vend sur Internet ou récolte des données pour connaître ses clients, une entreprise traite des données », indique Matthieu Bourgeois, spécialiste Nouvelles Technologies & Propriété Intellectuelle au sein du cabinet Simon Associés.

L’arrivée d’un DPO, responsable de la protection et de la conformité des données de l’entreprise, devenait indispensable, surtout dans les secteurs qui reposent sur la data (banque et assurance, e-commerce, médias). Pour Antoine Jouët, qui a fondé le club des CDO (chief data officers) au sein de Data Management International (DAMA France*, voir plus bas) « le poste doit même être au cœur de la stratégie de l’entreprise. Le pilotage de l’entreprise se fait aujourd’hui en se basant sur des données fiables et bien gérées, comme c’est le cas aux États-Unis. La création du DPO est une professionnalisation de la fonction du CIL (correspondant informatique et libertés) et le périmètre de la fonction est amené à s’étendre. »

Présents dans 16 300 organismes, dont 53 % dans le secteur privé, le CIL, qui existe depuis 10 ans, pourrait devenir le DPO de demain. Aujourd’hui, la quasi-totalité des CIL (95 %) sont désignés en interne, 26 % font partie de la direction informatique, et seulement 10 % de la direction juridique. La plupart sont issus du secteur informatique (47 %), mais 19 % des CIL occupent ou ont occupé des fonctions juridiques, selon une étude IFOP réalisée par la CNIL en juillet 2015. L’arrivée du DPO, responsable de toute la réglementation de la data, pourrait changer la donne.

« Le DPO devra s’assurer de la propreté de la collecte des données et de la conformité de leur utilisation », souligne Matthieu Bourgeois. « Sa fonction va beaucoup plus loin que celle des CIL », estime-t-il. En tant qu’interlocuteur privilégié des autorités, le DPO est un salarié protégé, de manière à garantir son indépendance. « Il pourrait très bien se retrouver au sein des directions juridique », ajoute l’avocat. La CNIL préfère, elle, attendre pour se prononcer sur l’avenir des CIL – elle qualifie le poste de « métier d’avenir » (voir communiqué). Mais leur évolution vers la fonction de DPO semble bien partie.

^{*DAMA France : Effective en juin 2014, Dama France a pour projet de promouvoir la compréhension, le développement et les bonnes pratiques en matière de gestion des données, notamment en formant et certifiant les acteurs de la gestion des données. DAMA France est la version française de Data Management International (DAMA), une organisation indépendante à but non lucratif créée en 1980 à Los Angeles qui entend fédérer les entreprises dans le but de promouvoir les concepts et les bonnes pratiques en matière de gestion des données.}

^{Une seconde association, l'Association des data protection officer (ADPO) a été lancée fin mars : elle a également pour objet de promouvoir les bonnes pratiques de la fonction de DPO. Organisée en 5 commissions (éthique, règlement général, pratiques professionnelles, conformité et gouvernance, responsabilité et protection), l’ADPO propose des formations, des veilles juridiques, des groupes de travail, et organise des événements, etc.}

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement