Dans cette rubrique, nous souhaitons mettre en lumière un délégué à la protection des données sur la base de quelques questions qui lui ont été posées par le DPI. Céline Nactergal , Data Protection Officer chez Nagelmackers, est heureux d’y répondre.
Comment êtes-vous arrivée au rôle de DPO ?
Je suis arrivée dans le domaine de la protection des données assez récemment. J’ai un Master en Communication & Publicité, qui, sans aucune logique, m’a amenée à travailler pendant 15 ans dans les Ressources humaines au sein de la banque Nagelmackers, dans une fonction assez transversale de statistiques et suivi de projets. Dans ce cadre, j’étais la représentante RGPD de ma direction. Lorsque le poste de DPO s’est ouvert en interne, je n’ai pas hésité longtemps à me lancer dans ce nouveau défi.
Quelles missions du rôle de DPO préférez-vous ?
Je n’ai pas de préférence pour une mission en particulier, c’est plutôt la variété des missions et l’indépendance de la fonction qui crée l’intérêt de ce poste à mes yeux. Le domaine de la protection des données et du Risk Management est en constante évolution. Les données personnelles sont partout dans le secteur bancaire, les législateurs européens sont prolifiques, les fraudeurs sont créatifs, la jurisprudence fait évoluer la matière, on ne s’ennuie donc jamais en tant que DPO !
Quel événement dans le paysage de la vie privée vous a le plus affecté/touché jusqu’à présent ?
Il s’agit ici plutôt d’une réflexion générale sur la protection de la vie privée. Il y a encore des progrès à réaliser en matière de conscientisation pour de nombreuses entreprises, quant à leurs responsabilités, et de même pour bon nombre de personnes concernées, qui sont peu sensibilisées sur la matière. Il est devenu aujourd’hui évident que « Data is the new gold ». Et l’arrivée de l’intelligence artificielle, qui se nourrit de data, ne va faire qu’accélérer ce mouvement. Malgré tout, les personnes physiques lambda par exemple sont encore bien souvent à mille lieues d’imaginer la quantité de données les concernant qui sont traitées de manières diverses.
Comment décririez-vous le rôle du DPO au sein de votre entreprise ?
En tant que banque de petite taille, nous ne disposons pas de grandes équipes multi-disciplinaires comme cela peut être le cas dans de plus grandes entreprises. Chaque maillon de la chaine se doit d’être polyvalent et de pouvoir toucher à tous les aspects de sa matière de prédilection.
Dans cette optique, et de par l’aspect transversal du RGPD, une importante collaboration entre tous les départements de la banque est vraiment nécessaire, le RGPD ne pouvant par ailleurs pas être dissocié des matières juridiques et IT.
Selon vous, quel est le plus grand défi pour un DPO ?
J’en vois deux : l’incertitude inhérente à la matière de la protection des données, et la difficulté de rester à sa place dans cette fonction.
Pour ce qui est de l’incertitude, à l’heure d’aujourd’hui, il ne faut plus se demander si nous serons victimes d’une fuite de données un jour, mais quand. De même, tous les systèmes informatiques sont en constante évolution. On ne peut donc jamais se reposer sur ses acquis, il faut perpétuellement rester vigilant et s’informer de toutes les évolutions, aussi bien en interne qu’à l’extérieur.
Pour ce qui est de la place de DPO, j’entends par là le fait de rester dans le rôle de DPO tel qu’il est décrit par le RGPD, soit un rôle de support, d’information, de conseil, tant à son entreprise, qu’à ses employés, ou aux clients de celle-ci qui seraient amenés à le solliciter. La tentation est souvent grande de basculer vers un rôle de project manager, afin de mener à bien les chantiers RGPD transversaux, si le business peine à trouver les ressources nécessaires, mais c’est à chacun de prendre sa part de responsabilité et aux services opérationnels d’implémenter le RGPD dans la pratique.
Selon vous, quelle évolution technologique a le plus d’impact sur la protection des données (positif/négatif) ?
L’avènement et la banalisation de l’utilisation de l’intelligence artificielle, qui amène avec elle autant d’opportunités que de risques, est certainement un des plus gros défis actuels des DPO.
En tant que DPO, quelle relation avez-vous avec les personnes concernées?
Les relations avec les personnes concernées ont principalement lieu dans le cadre de leurs demandes d’exercice de droits. En ce qui me concerne, ces demandes sont gérées en interne par l’équipe ‘Complaints & Privacy’, et en collaboration, pour les cas les plus complexes. Il est actuellement rare que nous recevions des questions directes de la part de personnes concernées sur le traitement de leurs données.
Quel est votre meilleur conseil afin de placer la protection des données et la sécurité des informations plus haut dans l’agenda de la direction ?
Bien souvent, ce qui parle aux décideurs, c’est de présenter la balance entre gestion des données et risques opérationnels, réputationnels ou légaux. Le fait de voir de plus en plus souvent les amendes des Autorités de Protection des données dans la presse fait également avancer la prise de conscience du management. L’enjeu est d’arriver à présenter le RGPD non comme un contrôle de plus ou une contrainte, mais comme une véritable opportunité d’amélioration.
En interne, le RGPD fait partie intégrante des points d’attention du Comité de direction. Un reporting détaillé sur la compliance RGPD est réalisé de manière trimestrielle, directement du DPO au Comité lui-même.
Pour la note positive, je constate que la maturité des différents acteurs, que ce soit au niveau RGPD ou risque de manière générale ne cesse de s’améliorer.
En tant que DPO, quel est votre couteau suisse vous permettant de surmonter tous vos challenges?
La collaboration, et l’information.
La collaboration entre les différents services internes est indispensable pour traiter une matière transversale comme le RGPD. Il n’y a pas de mode d’emploi tout fait pour arriver à une compliance RGPD : les questions soulevées sont à traiter au cas par cas et le support des équipes Legal, Compliance, et IT est indispensable. Un ‘Privacy representative’ a par ailleurs été désigné dans chaque service interne, afin d’être le relais des questions RGPD de son département.
De même, l’information de tous les acteurs de l’entreprise est primordiale. Le RGPD est bien souvent vu comme un « empêcheur de tourner en rond », qui empêche le business de travailler, qui met des barrières à la prospection, ou complique les process. Mais si le pourquoi du comment est expliqué de manière claire et accessible, ou si on présente les bénéfices de telles ou telles actions à ses collègues comme s’ils étaient eux-mêmes les personnes concernées (« Comment réagirais-tu si tu savais que tel traitement était réalisé avec tes données ? Comment réagirais-tu si tu savais que ta banque envisageait de partager tes données de cette manière ? – Et s’il s’agissait des données de tes enfants ? »), le message passe tout de suite mieux.
Comment vous tenez-vous au courant des nouvelles tendances en matière de technologie et de législation RGPD ?
La matière est vaste et en constante évolution. J’essaie donc de me tenir informée un maximum par le biais de sites internet spécialisés, par les sites des autorités de protection des données par exemple, ou par des groupes ad hoc sur les réseaux sociaux.
Il existe également de plus en plus de séminaires et formations sur le sujet. Le secteur bancaire a par ailleurs un groupe de travail dédié au sein de la Febelfin (Fédération belge du secteur Financier).
Pour ce qui est de la jurisprudence belge et internationale en la matière, je participe aux sessions de ‘Stay Tuned as DPO’ organisées par le Data Protection Institute depuis 2 ans. En plus de la matière dense analysée pour nous par des experts lors de chaque ‘Stay Tuned’, le fait de pouvoir rencontrer et échanger avec d’autres DPO est vraiment un plus.