Dans cette rubrique, nous souhaitons mettre en lumière un délégué à la protection des données sur la base de 10 questions qui lui ont été posées par le DPI. Delphine Huart, Chief Compliance Officer & Data Protection Officer au sein du groupe LALUX (Assurances individuelles et groupe en Vie, Non Vie et Santé), ancienne élève et actuelle « Stay Tuner » du DPI, est heureuse d’y répondre.
1. Comment êtes-vous arrivé au rôle de DPO ?
Après des études en Sciences Politiques en Belgique, j’ai travaillé longtemps dans une banque luxembourgeoise, d’abord dans le département de Contrôle Interne et ensuite en tant que responsable du Risque opérationnel.
Lorsque j’ai eu envie d’un nouveau défi il y a 4 ans, la fonction de DPO au sein d’un groupe d’assurances m’a été proposée et c’est tout naturellement que j’ai accepté de relever le défi. Mon expérience de la gestion des incidents opérationnels m’a bien servi dans ce nouveau rôle de Data Protection Officer que j’exerce aujourd’hui avec beaucoup d’enthousiasme.
2. Quelles missions du rôle de DPO préférez-vous ?
J’aime beaucoup répondre à l’exercice des droits conférés par le Règlement car c’est l’occasion d’un contact avec les clients mais c’est surtout la preuve que les personnes (re)prennent le contrôle sur les données personnelles qui sont traitées et c’est exactement ce que le RGPD a voulu instaurer.
Je trouve également que la mise en place de l’effacement des données est passionnante car elle comprend de nombreux contacts avec les Métiers, même si l’ampleur de la tâche est colossale, c’est un travail d’équipe enrichissant tant au niveau humain qu’au niveau des compétences.
3. Quel événement dans le paysage de la vie privée vous a le plus affecté/touché jusqu’à présent ?
La hausse croissante des cyberattaques, notamment par des ransomwares, identifiés comme la première menace informatique pour les entreprises, organismes publics et collectivités locales. C’est un véritable fléau. Il y a eu notamment des hôpitaux qui se sont vu voler des milliers de données médicales dans le seul but de leur extorquer de l’argent, je trouve cela totalement lamentable et désolant tant pour la société victime que pour les personnes dont les données peuvent se retrouver exposées publiquement.
4. Comment décririez-vous le rôle du DPO au sein de votre entreprise ?
La personne incontournable pour toute question relative à la protection des données, le chef d’orchestre en matière de respect du RGPD.
5. Selon vous, quel est le plus grand défi pour un DPO ?
Avancer en même temps sur de multiples sujets relatifs à la protection des données : répondre à l’exercice des droits, remettre des avis dans le cadre de nouveaux projets/produits, élaborer des sensibilisations pour le personnel, gérer les violations de données, mener des missions de contrôle du respect des procédures, établir les Data protection Agreement avec les sous-traitants, contrôler les sous-traitants, rédiger les clauses de protection des données pour la documentation clients, …
6. Selon vous, quelle évolution technologique a le plus d’impact sur la protection des données (positif/négatif) ?
La digitalisation est certainement une des évolutions qui affecte le plus la vie privée car elle a des conséquences directes sur la sécurité des données personnelles. C’est donc une évolution à la fois positive, car cela a considérablement accéléré les traitements et l’abandon du papier, mais aussi négative car elle a engendré de nouveaux risques qu’il faut identifier pour les maîtriser.
7. En tant que DPO, quelle relation avez-vous avec les personnes concernées ?
Qu’il s’agisse de l’exercice d’un droit, d’une demande de renseignement, ou encore d’une violation des données, la qualité principale vis-à-vis des personnes concernées est de savoir se mettre à leur écoute pour leur répondre le plus adéquatement possible.
8. Quel est votre meilleur conseil afin de placer la protection des données et la sécurité des informations plus haut dans l’agenda de la direction ?
Communiquer sur les violations de données qui apparaissent presque chaque jour dans la presse et aussi sur les amendes qui sont infligées par les autorités de contrôles européennes. Un petit résumé bimensuel de ces deux types d’évènements est propice à mieux appréhender les enjeux qui se cachent derrière le respect du Règlement sur la protection des Données.
9. En tant que DPO, quel est votre couteau suisse vous permettant de surmonter tous vos challenges ?
La bonne humeur ! …mais aussi rendre la matière plus accessible au travers de formations ou lettres d’informations, dédramatiser le sujet lors d’incidents, et essayer de présenter le respect de la protection des données comme un critère concurrentiel de choix des clients, surtout pour un assureur dont la finalité est la protection !
10. Comment vous tenez-vous au courant des nouvelles tendances en matière de technologie et de législation RGPD ?
Je me tiens informée par différents moyens, en interne, en parlant avec le Chief Information Security Officer et le Responsable Informatique, mais aussi à l’extérieur en participant notamment à un groupe de travail composé d’autres DPO au sein de l’Association des Compagnies d’Assurances au Luxembourg (ACA), via des conférences de l’Association de la Protection des Données au Luxembourg (APDL), de l’autorité de contrôle (Commission Nationale de la Protection des Données), en consultant différentes publications (presse, amendes infligées, forum,…), …et bien sûr en répondant présente aux sessions trimestrielles de Stay Tuned as DPO organisées par Data Protection Institute !