DPO : le garant des données et de l’éthique

+VIDEO. Crée par le RGPD, le Data Protection Officer (DPO) est le chef d’orchestre des données personnelles au sein des entreprise. Samuel Lesaulnier, Vice-President Compliance American Express France, revient pour nous sur la façon dont l’entrée en vigueur du règlement européen va impacter les organisations.  

 

Le DPO joue un rôle pivot dans le dispositif du RGPD. Il est le garant des bonnes pratiques de l’entreprise dans la gestion des données personnelles.

Le positionnement transversal du DPO

Le DPO a un positionnement particulier au sein de l’entreprise. Avec pour rôle de contrôler la bonne mise en œuvre du Règlement, il est également le point de contact de l’Autorité de contrôle (la CNIL en France) pour l’organisation. De ce fait, il doit agir en toute indépendance, tout en ayant accès au plus haut niveau de l’entreprise. Il informe et conseille les dirigeants sur le sujet. Mais il accompagne aussi les salariés pour le traitement des données personnelles et les informer sur leurs obligations. C’est ainsi  la cheville ouvrière de la gestion des données personnelles dans l’entreprise. Il supervise les formations internes en la matière, les audits et les études d’impact quand elles sont requises.

Les défis du RGPD pour les entreprises

Un rôle central et transversal, donc, qui permet au DPO d’avoir une vision complète des challenges qui attendent les entreprises avec l’entrée en vigueur du RGPD Vice-Président Compliance et DPO d’American Express en France, Samuel Lesaulnier explique ainsi au sujet de l’entrée en vigueur le 25 mai 2018 du RGPD : « le Règlement n’est pas une révolution, la ligne directrice reste la même. Ce qui change surtout, ce sont les sanctions et le recueil des consentements ». Alors que les amendes n’excédaient pas jusqu’à présent les milliers d’euros en cas de manquement, on parle désormais de sanctions pouvant atteindre 4% du CA annuel mondial. Et un long travail doit être effectué afin de revoir la façon dont est recueilli le consentement des utilisateurs.

Les étapes de la mise en conformité

Pour un groupe comme American Express, les enjeux sont importants. « Il faut commencer par faire un état des lieux, faire un inventaire de tous les traitements que l’on peut avoir », détaille Samuel Lesaulnier. « Puis l’enjeu principal est de réussir à s’organiser pour modifier tout cela, en déterminant la bonne gouvernance, car la mise en conformité impacte tous les métiers », poursuit-il. Un plan d’action ainsi établi, il s’agit ensuite de s’attaquer aux différents chantiers prioritaires. « Il faut surtout faire une revue tous les contrats, ajuster les Privacy Statements, revoir la façon dont est recueilli le consentement et renforcer l’infrastructure permettant la remontée d’information sur les incidents de sécurité », détaille Samuel Lesaulnier.

Une gestion simplifiée pour les groupes internationaux

Pour les groupes internationaux, le RGPD est aussi une opportunité. La gestion des traitements européens se trouve hautement simplifiée. En effet, jusqu’à présent, chaque juridiction conservait ses particularités, telles que les déclarations préalables à la CNIL en France par exemple. Les activités de chaque pays restait également soumises à une Autorité de contrôle purement locale. Le RGPD change la donne. Il permet d’aborder la protection des données personnelles de façon centralisée au niveau européen. Et, par là même, d’en avoir une vision plus cohérente, beaucoup moins morcelée. « Pour les traitements paneuropéens, il sera en outre possible de relever d’une Autorité de contrôle unique, déterminée selon un certain nombre de critères permettant de localiser le centre opérationnel de l’entreprise », précise Samuel Lesaulnier.

Avantage compétitif pour les entreprises vertueuses

Autre opportunité pour les groupes : le RGPD peut se révéler créateur d’avantages compétitifs. Les enquêtes le montrent, l’opinion publique est de plus en plus sensible à l’utilisation qui est faite de leurs données personnelles. « Une entreprise qui montre qu’elle est vraiment respectueuse des données personnelles peut désormais disposer d’un vrai avantage par rapport à ses concurrents », commente ainsi Samuel Lesaulnier.

De façon générale, l’approche du RGPD pousse les entreprises à être plus matures sur la question des données personnelles. Elles doivent intégrer cette dimension à chacune de leur réflexion stratégique et à chacun de leur produit et service. « Tout l’enjeu désormais », conclut Samuel Lesaulnier, « réside dans la gouvernance des données personnelles et dans le nouvel équilibre à trouver entre les besoins business et l’impératif de protection ».

Video

Jean-Christophe Rodius – Director Global Security, American Express

Jean-Christophe Rodius dirige actuellement le département Global Security d’ American Express. Tour d’horizon des situations à risques pour les voyageurs d’affaires au cours de leurs déplacements professionnels.

LeadGen

Besoin de souplesse de trésorerie ?

Renseignez vos coordonnées pour qu’un conseiller American Express vous contacte gratuitement !

* Les champs marqués* sont obligatoires
Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations vous concernant. Pour exercer ce droit, contactez : American Express Carte France, GCP, 4 rue Louis Blériot, 92561 RUEIL MALMAISON Cedex. Données collectées à des fins commerciales. 


Supplément partenaire réalisé et animé par American Express. La rédaction des Echos n'a pas participé à sa réalisation.

Inspirez-vous. Informez-vous


Ne manquez rien
de l'actualité business !

Recevez une fois par mois la newsletter InstinctBusiness.

Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations vous concernant. Pour exercer ce droit, contactez : American Express Carte France, GCP, 4 rue Louis Blériot, 92561 RUEIL MALMAISON Cedex. Données collectées à des fins commerciales.