Dans cette rubrique, nous souhaitons mettre en lumière un délégué à la protection des données sur la base de 10 questions qui lui ont été posées par le DPI. Bart Grieten, DPO chez Agentschap Innoveren & Ondernemen, ancien élève et « Stay Tuner » actuel chez DPI, est heureux d’y répondre.
- Comment vous êtes-vous retrouvé dans le rôle de DPO ?
J’ai commencé ma carrière au gouvernement flamand en tant qu’administrateur système. Vers 2015 à l’IST il y avait un besoin d’un « conseiller en prévention des données », ce qui pourrait être combiné avec le rôle d’administrateur système. Cependant, avec l’entrée en vigueur de la réglementation actuelle, je ne suis pas devenu tout de suite DPO, il y avait encore trop de choses à gérer en tant qu’administrateur à l’époque. En fin de compte, après les questions et accords internes nécessaires, cela a été changé à la fin de cette année. Cela fait de moi un DPO avec une formation technique.
- Quelle partie des tâches d’un DPO préférez-vous ?
C’est certainement de la sensibilisation et du conseil. Le processus dans lequel vous travaillez vers une histoire positive ensemble avec les responsables me donne satisfaction. L’idée est toujours d’actualité que le RGPD est trop restrictif. Alors que vous remarquez souvent que les intentions sont bonnes et que les décisions sont justifiées, que les gens sont vraiment proches d’un traitement correct. Il s’agit alors dans les points et les virgules d’aborder certaines petites choses un peu différemment afin de se conformer au RGPD. C’est cette interaction avec des collègues et des parties externes dans laquelle vous démontrez que le RGPD n’est souvent rien de plus qu’une réflexion de bon sens sur ce qui est nécessaire pour travailler dans le cadre créé. Affiner les idées des collègues leur donne un meilleur aperçu. Un traitement réfléchi n’est vraiment pas si difficile dans le cadre que nous avons.
- Quel événement dans le paysage de la vie privée vous a le plus affecté à ce jour ?
En fait, j’ai été assez choqué par toutes les questions qui ont été soudainement posées sur les rapports que VLAIO a publiés en réponse aux primes de nuisance corona. Tout à coup, tout le monde est un expert de la vie privée et les gens tirent à balles réelles. Ce qui est moins connu, c’est la responsabilité du gouvernement envers le citoyen. Les citoyens ont le droit de savoir ce qui est fait de l’argent de leurs impôts. D’où l’obligation de publier des chiffres. Cependant, ce matériel ne contenait que des données provenant d’entreprises dotées de la personnalité juridique.
Au final, toute cette campagne de diffamation a même conduit à une question parlementaire. De cette façon, vous pouvez voir l’impact que génère un monde numérique.
- Comment décririez-vous le rôle du DPO dans votre entreprise ?
Un rôle relativement classique, un point de contact pour la sécurité de l’information. Il y a bien sûr les tâches traditionnelles comme le conseil obligatoire sur les échanges de données, vous avez des contacts externes et je suisi contacté en cas de violation de données. La visibilité au sein de l’organisation a pris du temps. Tout le monde me connaît maintenant et les questions me viennent beaucoup plus vite. Cela assure un traitement plus rapide des dossiers, mais aussi des renvois vers les bons interlocuteurs à l’intérieur ou à l’extérieur de l’entreprise. C’est plus qu’une simple source d’information.
- Selon vous, quel est le plus grand défi pour un DPO ?
En interne, ce sont les pressions et les attentes qui s’imposent. La charge de travail générale au sein de l’organisation augmente et parfois « quelque chose » est attendu du DPO que vous n’êtes tout simplement pas autorisé à effectuer.
Extérieurement, vous remarquez les différences entre les institutions publiques et privées. En tant que gouvernement, vous êtes beaucoup plus lié par les diverses lois. Les entreprises, y compris les fournisseurs de services, se heurtent parfois à cela. C’est également un thème récurrent lors des cours de formation et des événements.
- Selon vous, quelle évolution technologique a le plus d’impact sur la protection des données (positif/négatif) ?
Sans aucun doute, le numéro 1 est les services cloud. Au sein du gouvernement flamand, nous constatons que les services cloud sont de plus en plus utilisés. Le régulateur a fait à juste titre des commentaires à ce sujet dans le passé. Heureusement, il s’agit d’un paysage très dynamique et vous pouvez y voir une solution à presque tous les problèmes relativement rapidement. Les données sensibles peuvent être transférées en dehors de l’E.E.E. en toute bonne conscience pendant un certain temps grâce à un bon cryptage. Cependant, l’évolution ne s’est pas arrêtée là, car le traitement peut avoir lieu à l’extérieur de l’entreprise dans des enclaves sûres. L’innovation ici passe par des bottes de sept milles. Pour cet aspect, je suis satisfait de mon bagage technique.
- Quelles sont vos expériences dans le contact entre le DPO et la personne concernée/l’autorité ?
Vous ne devez pas avoir peur de contacter la personne concernée ou le superviseur. Vous devez affiner votre façon de parler à une personne. Après tout, le RGPD nous oblige à tout formuler de manière claire et compréhensible. Cela vous donne également un certain crédit avec lequel vous pouvez retirer le fusible du baril de poudre. Vous ne vous contentez pas de contacter le superviseur en cas de violation de données. Pour les questions délicates, vous pouvez également (officieusement) présenter et discuter de l’affaire. En fait, exactement la même chose que vous faites lorsque vous voulez parvenir à un bon accord avec une autre partie.
- Quel est votre conseil en or pour placer la protection des données et la sécurité de l’information au premier plan de l’agenda de la direction ?
Des personnes au sein de l’organisation qui sont sympathiques à votre cause. Le RGPD n’est pas un one-man show et même avec une équipe, vous ne pouvez pas atteindre tous les coins de l’organisation. De bons contacts dans tous les départements et équipes fournissent le sentiment et le retour d’information nécessaires. C’est le début de l’interaction que vous souhaitez en tant que DPO. Il assure que vous êtes impliqué dans des projets, des échanges,… Cela renforce votre signal au management.
- Quel est votre couteau suisse en tant que DPO ?
En tant que DPO chez VLAIO, et donc au sein du gouvernement flamand, c’est le réseau que vous construisez autour de vous. Le contact avec les DPO des autres entités flamandes est d’une importance qu’il ne faut pas sous-estimer. Ils travaillent dans un contexte similaire. Vous échangez avec eux sur des sujets qui bougent dans le paysage gouvernemental flamand. C’est là qu’intervient le partage des connaissances, la coordination autour de projets similaires ou communs.
- Comment vous tenez-vous au courant des nouvelles tendances en matière de technologie et de législation RGPD ?
Les médias numériques restent la source la plus rapide. Suivre le VTC, l’APD et l’Europe (Commissions européennes et EDPB) avec leurs avis et décisions respectifs est primordial. Des sites Web spécialisés vous donnent un aperçu rapide de ce qui se passe dans le domaine de la technologie et de la législation. Un bel ajout sont les podcasts de mon homonyme dans une organisation à but non lucratif, très accessibles même pour quelqu’un qui est moins concerné par le RGPD. Je les écoute souvent dans le train ou sans passagers dans la voiture.
Bien sûr, vous approfondissez également vos connaissances avec des formations et des événements où vous pouvez continuer avec d’autres DPO en plus de la partie officielle.