Comment recruté un bon Data Protection Officer (DPO) au sein de votre entreprise.

Comment recruté un bon Data Protection Officer (DPO) au sein de votre entreprise.

À travers le sujet l’auteur apporte une expérience personnelle auquel il était confronté dans la réalité avec d’autre DPO sur le lieu de travail et au sein de groupe de travail parmi lesquels il était un membre sur les questions d’actualité et de la directive du RGPD.

Tout d’abord, il existe 3 catégories de DPO sur le marché du travail en tant que DPO et consultant sur le marché du travail. Me concernant je suis consultant, j’ai choisi cette voie pour ne pas rester toute la journée entre 4 murs jusque-là fins de ma vie.

1- La première grosse catégorie de DPO Ce sont les informaticiens/ Ingénieur informatiques, il trône en haut dans les entreprises et les cabinets-conseils. Un rapide coup d’oeil sur Linkedin, suffit de comprendre que la fonction de DPO est toujours confiée dans les entreprises aux informaticiens/ ingénieur. On peut résumer avec les arguments suivant leurs rôles lorsqu’on comprend le RGPD: qui connaît mieux qu’eux l’informatique et la protection des données ? Évidemment un informaticien/ingénieur, celui ci c’est ou il va mettre les pieds dans le plat en matière de data.

2 – Les avocats et avocates. Deuxième grosse catégorie en matière de RGPD, ce sont les avocats/juriste. 3/4 de ceux-ci sont des avocats dans les cabinets indépendants. Ayant été confrontées à eux, leurs principales fonctions restent l’aspect juridique. L’avocat saura vous défendre devant les tribunaux. Lorsque l’avocate d’un grand cabinet américain est venue parlé RGPD devant nous, c’est en terme judiciaire en fessant peur aux futurs clients. On a eu droit à un speech judiciaire et des menaces des tribunaux pour espérer faire appel ont leurs services. Une autre avocate elle aussi, elle travaille pour l’ordre des avocats depuis le début et qui dit s’occupé du RGPD. J’apprendrais plus tard qu’elle na jamais réalisé un registre de donné de sa vie. Lorsque je lui ai posé la question, elle a vu rouge, me répondant qu’ils en discutent ensemble si j’ai envie. Une discussion qui dure depuis plus d’un an! Encore aujourd’hui lorsque je consulte le barreau de l’ordre des avocats, rien n’est encore fait a cette date au moment d’écrire le billet!

Leurs connaissances sont purement théoriques en matière de protection de données privées et surtout en informatique. Un avocat devant le clavier ne saura jamais naviguer dans les données, les machines, les serveurs, les certificats, les technologies, etc. …. Un client qui cherche a passé sous le radar et qui na pas envie de se mettre aux normes trouveras un avocat a qui il pourra lui dire de lui réaliser un traitement de registre sans respecté le RGPD, c’est du ni vu et ni connus !

3- Madame Michou et les Manager. Troisième et dernière catégorie non moins importante, les incompétents et les autres mesdames Michou des bureaux. C’est une catégorie composée de mesdames tout le monde, de secrétaire, de manager sur le marché du travail. Ceux-ci ont réussi et obtenu le titre de DPO, mais n’ont jamais réalisé un traitement de registre et ni une analyse de risque de leurs vies et même dans la future c’est des catastrophes qui ne savent parlé RGPD en répétant les articles du RGPD comme des mulets. Comment je sais tout ça ? C’est par ce que je suis obligé de les côtoyé quelque part …tenez-vous bien, c’est amateur du dimanche sont embauché dans les hôpitaux publique par des RH qui n’y connaisse rien du tout ! Aussi incroyable que c’est touriste ( c’est comme ça que je les appelle) n’en foute pas une puisqu’ils ne maîtrisent que la théorie et que personne n’a une vue un traitement de données de leurs part avec des objectifs a atteindre en matière de RGPD. Des électrons libres qui touche un salaire sans aucun rendement ! J’an ai côtoyé 3-4 des comme ça dans la salle en octobre. Et vous avez encore d’autres touristes dans des grandes boîtes informatiques connues à Bruxelles dont je ne citerais pas le nom qui est Manager et qui s’occupe du RGPD et qui me consulte, car le sujet leur semble complexe et vague au haut de leurs tours d’ivoire. Ils n’ont jamais fait et ni compris la vision d’ensemble du métier de DPO. Encore aujourd’hui j’en rigole, et je raconte même mes histoires à des clients qui comprennent très bien le sujet.

La réalité sur le terrain

Les premières victimes sont les PME, ASBL et les start-ups. La majorité auquel j’ai eu affaire ce sont les RH et les RSSI dans les start-ups qui ne posent pas les bonnes questions et qui se fient aux apparences. Combien de fois n’ait je pas été convoqué devant des RH en présence du responsable de projet qui étale devant moi leurs ignorances sur le sujet. Plus d’un an après, ils n’ont toujours pas pris une décision pour ce mètre aux normes. Ils leurs suffit de tombé face a un DPO qui a compris la manoeuvres et leurs entreprises sera la proie a des DPO incompétents qui leurs diras qu’en matière de gestion des risques ils doivent revoir toutes les architectures système. Comment pourrais je les conseiller autrement que de leurs dire  de se méfier des DPO en entretient qui porte des Chemises et des cravates et qui ont l’air de connaître tout un rayon sur le sujet ? Je suis mal placé pour leurs dire quoi que ce soit …

Facturation

En matière de payement plus de 90 pour cent de consultant et de cabinet d’avocat sont aussi opaques que les trous noirs dans l’espace. Pour se rendre compte il suffit d’aller faire un tour sur internet et de visité les sites internet des consultants et des avocats pour se rendre compte que faire appel a eux c’est devenir la proie dans la jungle des data. Si vous êtes sur un site internet que les pages de web ne renferment que des phrases creuses, sorte vite faite de là avant d’être mangée. Prendre des consultants DPO et des avocats qui affiche leurs tarifs et les comparer entre eux vous donne un gage de réussite pour commencer.

Les fournisseurs de logiciel RGPD pour les entreprises/DPO

Depuis le commencement et l’entrée en vigueur de la directive européenne en matière de RGPD, ceux-ci ont fait leurs apparitions avec des applications front web sur l’internet en vous vantant leurs mérites de solution toute fait. Avec eux c’est toujours comme ça: même une chèvre peut le faire, alors pourquoi pas vous ?

Les solutions logiciel pour tenir un registre de traitement de données sont d’une complexité dont moi même je n’utiliserais pas de ma vie. Il en existe des centaines sur l’internet, c’est compliqué et ont ne comprend rien. Même lorsqu’au début je recevais des invitations j’écoutais mon interlocuteur parlé comme un robot, mais je n’y comprenais rien, ceux-ci a chaque fois me convainc du contraire. Quand ont s’engage le dedans, ont s’engage a payé cher quelque chose qui ne fonctionne pas dans la réalité. C’est les retours et les échos des clients qui me disent ça, il revienne toujours à la réalité du papier qui est plus lisible et claire pour tous.

Beaucoup de commerciaux démarche les informaticiens/ingénieur DPO comme moi sur Linkedin, m’invite dans leurs contacts, m’appelle aussi et me fixe un RV pour une démonstration. Je dis direct que je fais tout sur papier que c’est plus clair et structuré au niveau du dossier pour le client. Les commerciaux comprennent direct qu’ils n’ont pas affaire a un singe de l’écran d’ordinateur et ça ne va pas plus loin au final qu’une prise de contact.

Sur le papier tout va et c’est clair en matière de RGPD pour tous. Très peu de consultants DPO comme moi font tout sur papier à l’heure actuelle. Des grosses boîtes informatiques, font appelle a des fronts end développé pour de grands groupe pour des grands groupes ou toutes les étapes du traitement  des données et de la relation avec les citoyens est pris en charge par des logiciels de la prise de contact jusqu’a l’effacement des données des serveurs. En remettant le registre de traitement des données de l’entreprise, ceux-ci peuvent maîtriser le sujet et les aboutissants du RGPD.

Les clients 

Pour ma part, les clients sont des ASBL, des start-ups, maison médicale. Je sais aussi par expérience par ce que j’ai des amis informaticien qui travaille dans des sociétés informatiques que les banques belges font appel à eux. Souvent les grosses banques n’engagent pas de DPO, font appel ponctuellement a des consultants externes informaticien pour les conseillés en matière de protection des données, traitement de la data, etc. …Je compléterais cette dernière partie plus tard quand j’en saurais plus sur qui fait quoi dans les grandes entreprises.

DPO conflit d’intérêts

Il faut bien choisir votre DPO, quand vous le choisissez il  faudra veiller à :

–        A sont indépendance, c’est-à-dire, l’absence de conflit d’intérêt avec les autres missions qu’il peut exercer au sein de votre entreprise en tant que DPO interne.

–        Son intégrité et éthique professionnelle

–        Son expertise technique et informatique dans le domaine de la protection des données

Dans beaucoup d’entreprises,  elles attribuent des tâches et des fonctions de DPO à des employés qui cumulent déjà des fonctions incompatibles avec les exigences du RGPD, et portant atteinte à l’indépendance de ce dernier. Il y a lieu de remarqué que c’est entrepris en cas de contrôle par l’autorité de controle sont souvent sanctionné à cause de points la. Vous voilà prévenus des amendes.

 

 

1 Avis

  1. Isabelle 3 ans ll y a

    intéressant merci. dommage pour la quantité de faute d’orthographe cela enlève du sérieux à l’analyse.

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.

*