La RGPD est partout mais quid des personnes en charge de la mettre en place ? Les nombreuses compétences exigées demandent aux DPO d’êtres de superhéros aux mutlipouvoirs ce qui dans une startup, TPE, ou encore PME relèvent de la mission impossible. De nouvelles solutions émergent comme celle avancée par InMedio advanced avec la « Cyber gouvernance 4.0 »
France, le 25 mai 2018, 00h01. C’est officiel !
Le Règlement Général de la Protection des Données (RGPD) doit être officiellement mis en œuvre dans bon nombre d’entreprises. Trois cas de figures se présentent :
- Monsieur Gilles Estparé est Data Protection Officer (DPO) et s’est préparé depuis des mois. Tout est en ordre : les données à caractère personnel sont connues, traitées et managées au diapason. (5%)
- Madame Ella Toucompris est également DPO mais n’est pas très à l’aise dans ses nouvelles fonctions. Elle a lu le RGPD, mais n’est finalement à l’aise qu’avec une partie du Règlement. Elle est soit juriste, soit responsable SI, mais son expertise ne couvre de fait qu’une partie du RGPD. Elle recherche donc des solutions pour manager ses nouvelles fonctions. (35%)
- Monsieur Alain Provise, dirigeant, se dit qu’il verra bien comment cela va se passer et nomme comme DPO son directeur commercial. (60%)
Quelque soit le cas de figures, le DPO va devoir répondre à des obligations exigeant une expertise en Droit, en Architecture logicielle, en Cyber sécurité et in fine en Gestion, soit au bas mot près de 20 ans d’études et minimum 12 ans d’expériences. Ce « Super DPO » ne peut exister. Un DPO est forcément et heureusement mono expert (du moins à près de 95%). Cela implique donc un angle d’attaque unique ne couvrant que partiellement les obligations du RGPD : approche juridique sans entrer dans le détail technologique et architectural des données, suivi managérial et mise en place des bonnes pratiques, approche purement technique sans être à l’aise avec l’approche juridique, etc.
Quel est finalement le rôle du DPO ?
Un multi-expert ou au contraire un chef d’orchestre des données personnelles ? Si le premier cas implique de recruter un mouton à cinq pattes, le second à l’avantage de faciliter le choix et le rôle du DPO. Comment l’aider dans sa fonction ?
Qu’est ce que la cyber gouvernance 4.0 ?
La cyber gouvernance 4.0 consiste à mettre en œuvre tous les moyens technologiques et de gestion des informations pour qu’un organisme puisse mener ses missions et atteindre ses objectifs. La cyber gouvernance 4.0 est fait de règles d’imputabilité, de sécurité, d’outils, de principes de fonctionnement et de bonnes pratiques mis en place par la direction pour en arrêter les orientations stratégiques et favoriser l’émergence de valeurs de probité et d’excellence au sein de l’organisation. Elle doit également faciliter la fluidité de l’information et la réalisation opérationnelle des missions attribuées à chaque fonction, tout en assurant une qualité d’usage pour les ressources humaines concernées. Au cœur de ce dispositif, le DPO a un rôle majeur à jouer et constitue ainsi un des maillons forts dans la mise en place d’une Cyber Gouvernance.
La Startup INMEDIO Advanced réfléchit à cette perspective depuis plus d’un an et vient de développer une approche à 360° avec l’aide de trois autres partenaires : Elysium Security, Shift Avocats et KD. La première est spécialisée dans la Cyber gouvernance (Optimisation des processus de gestion par la donnée), la seconde en Cyber sécurité, le troisième dans le conseil et l’accompagnement juridique et enfin la dernière en développement logiciel. Cette approche mêle qualité et rigueur à l’opérationnel. Souhaitant toujours aller plus loin dans l’innovation et la qualité des actions réalisées, ces derniers viennent de fonder REGISTR@ le premier Do Tank spécialisé dans la Cyber Gouvernance 4.0.