Dans cette rubrique, nous souhaitons mettre en lumière un délégué à la protection des données sur la base de quelques questions qui lui ont été posées par le DPI.
Thomas Graditzky, Data Protection Officer chez Fedasil, est heureux d’y répondre.
Comment êtes-vous arrivé au rôle de DPO ?
Conseiller juridique pour une organisation humanitaire internationale pendant de nombreuses années, j’ai été impliqué dans l’encadrement de la gestion de données souvent particulièrement sensibles de personnes vulnérables (blessés, détenus, etc.).
Avec le développement du cadre législatif relatif à la protection des données à caractère personnel, en Europe comme à travers le monde, j’ai assez naturellement évolué vers ce domaine au sein de cette organisation. Je suis devenu DPO adjoint pour les opérations au Moyen-Orient et en Asie-Pacifique.
Par la suite, j’ai eu la chance de pouvoir rejoindre l’Agence fédérale pour l’accueil des demandeurs d’asile (Fedasil) en tant que DPO.
Quelles missions du rôle de DPO préférez-vous ?
La sensibilisation aux enjeux et principes de la protection des données me tient particulièrement à cœur.
Loin de constituer des évidences, il est essentiel de s’assurer que tous les collègues sont conscients des risques particuliers pour le public concerné par les activités de notre organisation et connaissent la façon d’assurer à celui-ci la meilleure protection possible en matière de traitement de données à caractère personnel.
Quel événement dans le paysage de la vie privée vous a le plus affecté/touché jusqu’à présent ?
L’adoption et l’entrée en vigueur du Règlement général sur la protection des données et l’impact que cela eut sur le développement de cadres normatifs ailleurs dans le monde, y compris au sein d’organisations internationales.
Même lorsque des règles préexistaient, il fut question de les renforcer, de les développer et les clarifier. Toutes les opérations impliquant le traitement de données à caractère personnel durent être reconsidérées à travers ce nouveau prisme.
Comment décririez-vous le rôle du DPO au sein de votre entreprise ?
Le rôle du DPO dans mon organisation est fidèle à celui prévu dans le Règlement général sur la protection des données ; un rôle discret mais omniprésent, d’autant plus au vu des traitements nombreux et complexes effectués au sein de l’Agence et de l’ensemble du réseau d’accueil.
Les défis particuliers tiennent notamment à la grande vulnérabilité des personnes concernées – les demandeurs de protection internationale – et à la pression reposant sur nombre de mes collègues, bien conscients des enjeux, d’agir rapidement, efficacement, et souvent avec créativité dans le cadre de la crise actuelle dans le secteur.
Selon vous, quel est le plus grand défi pour un DPO ?
Il s’agit de conserver le cap, malgré toutes les difficultés rencontrées en chemin, de rester convaincu et de continuer à convaincre, de rester une voix entendue parmi toutes celles s’adressant à l’organe de direction de l’entreprise ou de l’organisation.
Selon vous, quelle évolution technologique a le plus d’impact sur la protection des données (positif/négatif) ?
L’arrivée de l’intelligence artificielle est certainement un élément à mentionner ici, avec tous les défis qu’elle pose à l’application du cadre normatif actuel relatif à la protection des données à caractère personnel, comme par exemple en termes de responsabilités et de transparence.
En tant que DPO, quelle relation avez-vous avec les personnes concernées ?
Les contacts ont surtout lieu dans le cadre de l’exercice de droits par les personnes concernées. Des questions sont parfois reçues aussi en marge de ce cadre en lien avec l’un ou l’autre des traitements de données effectués par l’Agence.
Il est envisagé d’accroître ces contacts, avec par exemple une meilleure implication de ces personnes dans le cadre de la réalisation d’analyses d’impact relatives à la protection des données ou pour mieux évaluer le caractère adapté de la façon dont les informations relatives aux traitements de données sont fournies.
Quel est votre meilleur conseil afin de placer la protection des données et la sécurité des informations plus haut dans l’agenda de la direction ?
Il s’agit me semble-t-il d’être clair et direct sur l’impact du respect ou du non-respect des règles sur les personnes concernées, d’une part, mais aussi sur l’organisation, sa réputation, etc. Il est important dans ce cadre de souligner tous les apports de la protection des données.
La situation dépend cependant probablement beaucoup du secteur d’activités et du profil des membres de la direction. Il est parfois efficace de faire appel au vécu personnel de ces derniers, ou à leur réaction potentielle dans une situation susceptible de les concerner plus directement.
En tant que DPO, quel est votre couteau suisse vous permettant de surmonter tous vos challenges ?
L’écoute, la patience et la persévérance me permettent de faire face à de nombreux défis.
Comment vous tenez-vous au courant des nouvelles tendances en matière de technologie et de législation RGPD ?
Je tente de me tenir le plus au courant possible par le monitoring ou la consultation de divers sites Internet, par le biais des échanges sur les réseaux sociaux qui peuvent attirer mon attention sur des informations qui m’auraient autrement échappé, par la participation occasionnelle à des conférences, ateliers ou séminaires, et, last but not least, par la participation aux sessions de la formation Stay Tuned as DPO organisée par le Data Protection Institute.
Particulièrement stimulante, cette formation permet de s’assurer que l’on reste bien à jour de façon globale dans le domaine de la protection des données à caractère personnel.