Dans cette rubrique, nous souhaitons mettre en lumière un délégué à la protection des données sur la base de 10 questions qui lui ont été posées par le DPI. Christophe Gregoire, juriste et DPO chez MOLLITIA Consult, ancien élève et actuel « Stay Tuner » chez DPI, est heureux d’y répondre.
-
Comment vous êtes-vous retrouvé dans le rôle de DPO ?
Juriste, j’ai exercé pendant une douzaine d’années au sein d’ING, des fonctions axées sur le droit et la gestion du risque credit. Membre du Comité de direction du siège du Hainaut, j’ai eu l’opportunité de rencontrer des entreprises de toutes tailles et tous secteurs. Elles m’ont donné le goût de l’indépendance et l’envie d’aider les plus petites d’entre elles, ce que j’ai fait en devenant consultant indépendant voici près de 20 ans. J’ai, je pense, un côté idéaliste et une conviction inébranlable dans l’importance du facteur humain. C’est cette facette du RGPD qui m’a séduit et attiré. Je me suis dès lors inscrit au programme de Formation Certification du DPI. Le virus était inoculé…
-
Quelle partie des tâches d’un DPO préférez-vous ?
Très certainement, la sensibilisation et la formation. « Pourquoi toutes ces contraintes ? Elles vont casser la dynamique du business, les concurrents ne le font pas, pourquoi nous ? » Les raisons de s’opposer à une mise en conformité sont diverses et parfois légitimes. Dans ce contexte, je commence toujours par rappeler que même si on parle communément de la protection des données, ce texte vise celle des Personnes physiques à l’égard de leurs données personnelles. Mais aussi et on l’oublie souvent, la libre circulation de ces données. Deux valeurs cardinales du business.
Comment envisager faire du business dans une économie ouverte comme la nôtre, sans pouvoir s’appuyer sur une libre circulation efficace ? Et comment performer sans relations empreintes de confiance ? L’importance du facteur humain nous a été fortement rappelée lors de la récente pandémie, surmontée en bouleversant nombre de comportements. Ce sont des éléments qui doivent interpeller le management. Au DPO de démontrer que le RGPD est une opportunité, pas une galère.
-
Quel événement dans le paysage de la vie privée vous a le plus affecté à ce jour ?
Je suis toujours contrarié par le manque de considération que portent les dirigeants politiques à la protection des données personnelles, lorsqu’ils s’expriment « en off ». Le premier contact qu’a le citoyen avec l’Etat est l’administration de proximité. Elle se doit d’être irréprochable et le respect des règles en matière de données à caractère personnel relève de la défense des libertés fondamentales. C’est Montesquieu qui disait que le plus grand mal que fait un Ministre n’est pas de ruiner son peuple, mais c’est le mauvais exemple qu’il donne. Cela vaut aussi pour le pouvoir décentralisé.
-
Comment décririez-vous le rôle du DPO dans votre entreprise ?
Pour moi, un bon DPO doit être capable de défier les lois de la schizophrénie…
Etre à la fois omniprésent pour s’assurer que by design et by default, il marque les actions et décisions de l’entreprise de son empreinte. Mais également très discret, en s’assurant dans les coulisses que chacun connaisse son rôle. C’est en veillant à ce que les règles de base soient connues de tous, de l’agent de première ligne au CEO, qu’on rendra pérenne la mise en conformité de l’ensemble de la structure.
Cependant, si le DPO est le discret conseiller du metteur en scène, il doit également être capable de se frotter de temps à autre aux feux de la rampe. Etre un bon communicant sera un atout indéniable pour obtenir l’adhésion du plus grand nombre et pour convaincre les sceptiques. Un joyeux schizophrène, vous disais-je…
-
Selon vous, quel est le plus grand défi pour un DPO ?
Ne jamais oublier les fondamentaux et éviter le piège de la technicité à outrance. L’article 12 du RGPD impose au Responsable du traitement de s’adresser aux Personnes concernées d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. J’estime que cela s’applique également au DPO s’il veut être efficace. Pour que les règles du jeu soient respectées et appliquées, il faut d’abord que tout le monde les comprenne. Ainsi par exemple, selon les enquêtes, entre 80 et 90% des failles de sécurité sont provoquées par une connaissance insuffisante de la technique du phishing. Une fois encore, on en revient au facteur humain.
-
Selon vous, quelle évolution technologique a le plus d’impact sur la protection des données (positif/négatif) ?
Sans hésiter, l’Intelligence Artificielle. « Jus est ars boni et aequi » : le droit est l’art du bon et de l’équitable, énonce le Digeste, recueil d’avis des plus grands juristes de notre ère. Que penserait aujourd’hui l’empereur Justinien en découvrant ChatGPT ? Juriste sans aucune formation technique particulière, je suis à la fois fasciné et effrayé par la manière dont s’est immiscée l’IA dans des pans entiers de notre vie sociale, y compris les décisions gouvernementales, les soins de santé, les champs de bataille, les tentatives d’influencer des élections, etc. Cette intelligence artificielle porte en elle la révolution du marché du travail, de celui de l’employé comme de l’avocat ou du médecin.
Faut-il créer un cadre ? Et si oui, lequel ? A défaut de cadre, comment éviter que l’IA puisse « si bien imiter une personne, au point que nous ne puissions discerner le silicium sous le sourire » comme l’écrit Michael Froomkin, éminent professeur de droit à l’Université de Miami ? Cette réflexion est à la fois passionnante, interpellante et effrayante. En tant que DPO, notre rôle de garde-fou n’en est que renforcé.
-
Quelles sont vos expériences dans le contact entre le DPO et la personne concernée/l’APD ?
Cela s’est limité actuellement à des contacts avec les Personnes concernées, qui se sont à ce jour toujours déroulés dans un climat serein.
-
Quel est votre conseil en or pour placer la protection des données et la sécurité de l’information au premier plan de l’agenda de la direction ?
Leur parler de leurs enfants, et des risques que présente pour eux notre société du tout au numérique, de la surexposition, de la surinformation.
-
Quel est votre couteau suisse en tant que DPO ?
Très honnêtement, je pense que le couteau suisse, c’est précisément l’image qu’on doit se faire d’un bon DPO. C’est le qualificatif qu’on m’a souvent donné dans ma carrière et j’en ai toujours tiré une certaine fierté. Le droit de la protection des données est une matière transversale s’il en est. Le RGPD est un texte considéré comme omniprésent par beaucoup, et même parasite par ceux qu’il dérange. A nous, DPO, à nous adapter aux situations rencontrées, en apportant expérience, créativité et force de persuasion.
-
Comment vous tenez-vous au courant des nouvelles tendances en matière de technologie et de législation GDPR ?
Tout d’abord, j’essaie de m’insérer dans divers cercles car se nourrir de l’expérience des autres n’a pas de prix. Fan de rugby, j’aime jouer en équipe, une équipe qui plus est aux multiples facettes. Ensuite, je lis énormément, des articles et ouvrages spécialisés aux newsletters d’acteurs chevronnés, en passant par la presse économique, car comprendre les enjeux des entrepreneurs me permet d’anticiper au mieux les questions qui me seront posées dès demain matin.
Et enfin, mais sans doute aurais-je dû commencer par là, je suis émerveillé par le professionnalisme de l’équipe du DPI et la qualité de ce qui est mis à notre disposition. Tout est fait pour nous faciliter la vie. Soyez en mille fois remerciés.