Jolien, vous êtes DPO d’un certain nombre de ce qu’on appelle des institutions bénéficiant d’une dotation. Cela inclut des institutions telles que les autorités de la protection des données, mais aussi, par exemple, le Comité P. Généralement pas de très grandes organisations et avec une mission très spécifique. Quelle est votre expérience de travail en tant que DPO dans ces organisations relativement petites ? Est-il facile d’élaborer une politique de protection des données ?
Cela dépend fortement d’une organisation à l’autre. Une organisation a déjà un niveau de maturité de protection des données plus élevé que l’autre ou travaille parfois plus vite que l’autre. Il est intéressant de voir qu’il existe non seulement différents niveaux de maturité, mais également différentes voies possibles et en même temps bonnes vers la conformité à la protection des données.
Par exemple, chaque organisation se concentre sur un domaine qu’elle trouve légèrement plus important. Pour l’un c’est l’échange de données personnelles et pour l’autre c’est la communication avec et vers les personnes concernées.
Lors de la journée DPO du 25/05, une enquête auprès des DPO était centrale, dans laquelle leur bien-être général était interrogé. Quelles sont pour vous les conclusions les plus reconnaissables de cette enquête ?
La chose la plus reconnaissable pour moi est qu’environ 33% ne peuvent pas abandonner leur travail. D’une part, c’est une chose positive pour moi car je suis passionnée par la protection des données.
C’est pourquoi je souhaite réfléchir davantage et rechercher des moyens d’aider les organisations à mettre en œuvre les dispositions relatives à la protection des données lorsque, par exemple, l’un de mes conseils n’a pas eu l’effet nécessaire. Je réfléchis souvent à la façon dont j’ai présenté les choses : ont-ils compris complètement, étais-je assez clair, peut-être devrais-je le formuler différemment ? Etc.
En revanche, après avoir donné votre avis et lorsque l’organisation a décidé de ne rien en faire ou de ne pas le suivre (entièrement), il faut oser lâcher prise. C’est finalement le responsable du traitement qui porte la responsabilité ultime et non le DPO. D’ailleurs, il n’est pas dit que cela restera ainsi.
J’ai expérimenté à plusieurs reprises qu’après un certain temps, ces conseils sont révoqués et qu’ils continuent ensuite à travailler avec. Le processus de croissance et de maturation ne doit donc pas être sous-estimé. Cela signifie qu’en tant que DPO, vous devez faire preuve de la patience nécessaire.
Un autre résultat qui me semble très reconnaissable est que les DPO sont plus heureux lorsqu’ils sont connectés en réseau et ont reçu une formation ciblée sur la protection des données. En tant que DPO vous êtes dans tous les cas plus fort si vous pouvez suivre la formation nécessaire et que vous continuez à vous former, ce qui est une obligation en vertu du RGPD. Lorsque vous pouvez vous coordonner avec d’autres DPO dans des réseaux ou des groupes de travail, non seulement vous apprenez de cela, mais cela vous aide à être plus résilient et à grandir mentalement dans le travail.
Voyez-vous également des conclusions plus générales que nous pouvons tirer de l’enquête pour rendre le métier de DPO plus attractif ?
L’une des choses les plus importantes est une plus grande coopération entre les DPO. Il y a cinq ans, j’avais parfois l’impression que certains DPO se voyaient comme des concurrents, alors qu’en définitive nous effectuons tous les mêmes tâches. Il peut être très instructif de voir comment un autre DPO transmet un certain conseil, par exemple.
Je pense également qu’il devrait y avoir de la place pour différents profils et domaines lorsque l’on travaille ensemble. Il faut se débarrasser de l’idée qu’un DPO doit avoir une formation juridique et/ou ICT. Le rôle et les tâches du DPO vont bien au-delà, par exemple les compétences en communication et le process management.
Le questionnaire le montre d’ailleurs : environ 35% des participants ont indiqué que la diversité des tâches du DPO est difficile à atteindre. Donc, nous ferions mieux de collaborer et d’apprendre à travers les domaines et les profils, n’est-ce pas ?
La satisfaction au travail parmi les DPO du secteur public semble être légèrement inférieure à celle du secteur privé. Cependant, vous voyez que les DPO au sein du gouvernement essaient de coopérer dans l’exécution de leur travail et l’enquête montre une vision positive de leur travail. Travaillez-vous souvent avec d’autres DPO au sein du gouvernement ? Comment se passe cette collaboration et remarquez-vous que la plupart d’entre eux sont satisfaits d’eux-mêmes ?
Je travaille bien et en étroite collaboration avec les DPD de la Chambre et du Sénat et il y a plusieurs groupes de travail dont je fais partie au niveau fédéral. J’apprends beaucoup de ces moments de consultation et il est gratifiant d’entendre parfois qu’en tant que DPD, nous rencontrons les mêmes défis qui sont également inhérents au travail.
S’aventurer à ce sujet les uns avec les autres peut aider, ainsi que parfois unir leurs forces pour poser des questions concernant le même processeur. Malheureusement, je connais des collègues DPD qui ont opté pour un autre travail parce qu’ils subissaient trop de pression ou trouvaient la diversité des tâches trop lourde. Je pense donc qu’il est très important de se concentrer sur les aspects socio-émotionnels et psychologiques dans le rôle du DPO.
Selon votre état d’esprit, par exemple, un cours d’affirmation de soi ou simplement un cours de communication avec plus de tact peut être très utile.
Bien qu’un avis négatif d’un DPO sur un traitement prévu puisse être ennuyeux pour une organisation, et par conséquent, les DPO peuvent être plus souvent mis sous pression pour ne pas être trop critiques à propos d’un traitement en attente, nous ne mesurons pas immédiatement dans l’enquête que de nombreux DPO sentent une pression de la direction. Avez-vous déjà ressenti une telle pression ? Avez-vous des astuces pour vous en sortir ?
Une autre chose dont je pense que nous devrions nous débarrasser : les avis négatifs contre les avis positifs du DPO. Je donne des conseils dans lesquels je propose souvent différentes options : « si tu fais ceci, alors… », « si tu fais cela, alors… », etc. Ce n’est ni positif ni négatif pour moi, mais je vois plutôt cela comme les guidant pour faire des choix tout en respectant les dispositions relatives à la protection des données.
Eh oui, j’ai été dans des situations où j’ai ressenti de la pression. La chose la plus importante est de rester objectif et de découvrir pourquoi ils mettent cette pression sur vous. Peut-être y a-t-il autre chose que vous ne connaissez pas (encore) ? Continuer à poser des questions et recueillir le plus d’informations possible peut vous faciliter la tâche dans divers domaines car vous comprenez alors mieux le contexte (y compris la culture organisationnelle).
Une autre astuce consiste à répéter votre rôle avec éventuellement les références nécessaires au RGPD. De cette façon, vous les aidez à comprendre pourquoi vous conseillez certaines questions, mais aussi à les documenter. De plus, il faut aller plus loin à un certain point et donc ne pas s’attarder trop longtemps dans un conseil où, par exemple, ils ne sont pas encore suffisamment ouverts à ce que signifie ce conseil.
Comme je l’ai dit, cela peut revenir avec le temps et le « combat » sera moins lourd, car le temps a passé et l’organisation a également changé ou grandi.