Dans cette rubrique, nous souhaitons mettre en lumière un délégué à la protection des données sur la base de quelques questions qui lui ont été posées par le DPI.
Ce mois-ci, c’est au tour du Natascha De Croes, DPO ét CISO chez DELA
Comment êtes-vous arrivée au rôle de DPO ?
Natascha: Dès l’annonce de la législation RGPD, nous avons lancé un projet pour le mettre en œuvre dans notre entreprise. Comme j’avais déjà une grande connaissance de notre entreprise et de ses processus grâce à mon rôle précédent de gestionnaire de processus et à mes connaissances approfondies en matière de sécurité informatique, il semblait logique que je devienne DPO.
Quelles missions du rôle de DPO préférez-vous ?
Natascha: Ce que j’aime le plus, c’est l’analyse et le suivi des violations de données.
Quel événement dans le paysage de la vie privée vous a le plus affecté/touché jusqu’à présent ?
Natascha:Je trouve hallucinant le nombre de cyberattaques qui aboutissent à des violations massives de données.
Comment décririez-vous le rôle du DPO au sein de votre entreprise ?
Natascha: Dans notre entreprise, nous disposons d’une véritable équipe RGPD composée d’employés juridiques, qui donnent des conseils sur les accords avec les sous-traitants et les questions spécifiques relatives à la protection de la vie privée, de notre DPO « de secours », qui donne des conseils lorsque le DPO n’est pas là et aide également à évaluer les analyses de risque, et de deux responsables de la protection de la vie privée, qui contrôlent la conformité avec la législation RGPD pour les secteurs qui leur sont attribués.
Le rôle du DPO est de consolider toutes les informations et d’en rendre compte à la direction et, bien sûr, de signaler les fuites de données à l’autorité et d’assurer la liaison avec elle. Ces dernières années, nous avons consacré beaucoup de temps et d’efforts à la formation RGPD dans tous les secteurs. La voie vers le DPO et l’équipe RGPD a été trouvée.
Selon vous, quel est le plus grand défi pour un DPO ?
Natascha: C’est certainement un défi de mettre sur la table tout ce qui se passe dans l’entreprise et qui a un impact sur la vie privée. Les entreprises ont manifestement mis en place certains mécanismes qui facilitent la remontée de l’information, de sorte que tout soit consigné dans le registre des traitements, que les bons contrats soient mis en place, que des études d’impact sur la vie privée soient menées à bien, etc.
Selon vous, quelle évolution technologique a le plus d’impact sur la protection des données (positif/négatif) ?
Natascha: Je pense que nous sommes tous d’accord pour dire que l’IA a le plus grand impact sur la société d’aujourd’hui. La technologie de l’IA apporte une contribution à la fois positive et négative. Du côté positif, bien sûr, l’IA peut fournir des informations beaucoup plus rapidement et plus efficacement.
D’un autre côté, cette même technologie est également utilisée par les cybercriminels, ce qui fait qu’il est difficile pour les citoyens ordinaires de distinguer le faux du vrai. Dans notre entreprise, des règles empiriques pour l’utilisation de l’IA ont été élaborées afin que nous utilisions l’IA de manière déontologique.
Entre autres, nous ne voulons pas utiliser de données personnelles pour entraîner des modèles externes. Lors de l’utilisation de l’IA, une évaluation de l’IA devra être effectuée pour comprendre comment les données seront traitées correctement.
En tant que DPO, quelle relation avez-vous avec les personnes concernées/l’autorité?
Natascha: Les quelques fois où j’ai eu des contacts avec l’autorité, je les ai toujours trouvés positifs. J’ai posé une question et obtenu une réponse. Lorsque j’ai signalé une violation de données, l’autorité a parfois donné des conseils que j’ai ensuite suivis. Il s’agit d’une interaction dans le respect mutuel et c’est tout ce qu’elle devrait être pour moi.
Quel est votre meilleur conseil afin de placer la protection des données et la sécurité des informations plus haut dans l’agenda de la direction ?
Natascha: Comme je travaille dans une institution financière, le respect de la législation figure en bonne place sur la liste. Cela facilite évidemment mon travail de DPO.
Pour les DPO qui ont du mal à faire en sorte que le sujet figure en bonne place à l’ordre du jour, j’expliquerais bien à la direction que le respect de la législation RGPD est bon pour la réputation de l’entreprise parce qu’il indique que l’entreprise veut traiter les données personnelles de ses clients et de ses employés de manière responsable.
Bien entendu, le fait d’évoquer l’impact financier pour l’entreprise en cas de non-conformité et des exemples d’amendes déjà infligées est également utile.
En tant que DPO, quel est votre couteau suisse vous permettant de surmonter tous vos challenges?
Natascha: Il s’agit simplement de mettre en place des processus autour des différents thèmes de la législation RGPD et de créer une bonne prise de conscience au sein de l’entreprise. Par exemple, nous avons mis en place un processus simple (accompagné d’une formation) qui nous permet de toujours respecter le délai dans le cas des droits des personnes concernées.
Pour moi, travailler avec l’équipe RGPD et les responsables de la protection de la vie privée ajoute vraiment de la valeur à mon travail de DPO. Le fait de suivre la formation d’auditeur RGPD chez DPI m’a donné de bons outils pour contrôler les questions de confidentialité de manière plus efficace.
Comment vous tenez-vous au courant des nouvelles tendances en matière de technologie et de législation RGPD ?
Natascha: Je n’ai pas besoin d’y penser longtemps. Les sessions Stay Tuned as DPO me permettent de me tenir au courant des développements dans le domaine de la protection de la vie privée.