Contact




    Délégué à la protection
    des données

    Le métier de dpo: rôle et missions

    Qu’est-ce qu’un DPO? Quelle est la mission principale d’un DPO? Qui assume cette fonction dans une entreprise? Quelle formation est nécessaire pour devenir DPO?

    Pour en savoir plus sur ce métier, retrouvez ci-après notre interview avec Colin Chaleon, DPO & Consultant en sécurité de l’information chez sequal by Meanquest.

    Meanquest-sequal-DPO-Colin-Chaleon

    Besoin d’un accompagnement pour la gestion des données personnelles au sein de votre organisation?

    Présentez rapidement votre parcours en tant que délégué à la protection des données

    Je m’appelle Colin Chaleon et je suis titulaire d’un Master en Droit européen. Je me suis spécialisé en droit de la protection des données personnelles dans le cadre d’un Mastère spécialisé. Je possède une première expérience en tant qu’assistant DPO (Délégué à la Protection des Données) au sein de la branche vins et spiritueux du groupe LVMH. J’ai finalement rejoint sequal by Meanquest et j’exerce maintenant la fonction de DPO & Consultant en sécurité de l’information auprès de nos clients.

    Pourriez-vous préciser vos missions? En quoi le rôle du dpo est-il important pour les entreprises?

    Le métier de DPO est particulier car il est défini et est encadré par la loi informatique. Ses missions sont donc assez précises: il doit veiller au respect des lois et règlements de protection des données applicables à son entreprise. Pour cela, il la conseille, la guide et lui propose des recommandations quant à la protection des informations personnelles qu’elle traite.
    Toute organisation s’occupe du traitement des données personnelles dans le cadre de son activité et de ses processus internes (ressources humaines, marketing, finances, communication, production etc.). C’est pourquoi le rôle de DPO est important pour toute entreprise: il est celui qui doit veiller à identifier les traitements de données personnelles dans les différentes activités, les flux de données, ainsi que les risques associés. Il est celui qui propose les plans d’action pour mitiger ces risques.
    Le Délégué à la Protection des Données est également le point de contact privilégié des personnes concernées (les personnes dont les données sont traitées par l’organisation), mais aussi des autorités de protection des données afin de coopérer avec celles-ci en cas de contrôle.

    Qu’est-ce qui vous passionne dans le métier de DPO?

    Le métier de DPO est passionnant car il est en constante évolution. Les évolutions technologiques et juridiques actuelles relatives à la protection des données nous amènent, en tant que Délégué à la Protection des Données obligatoire, à travailler sur des sujets toujours plus divers et variés (l’intelligence artificielle, le cloud, le big data etc.).
    C’est un métier qui demande également des connaissances plus ou moins approfondies dans des domaines non-juridiques: la sécurité de l’information, la gestion de projet, technologies de l’information, la cybersécurité, etc. J’apprécie tout particulièrement de pouvoir développer mes compétences dans ces domaines car c’est à la fois challengeant et stimulant intellectuellement.

    Quelles compétences sont nécessaires pour devenir DPO?

    Les compétences requises peuvent, selon moi, être regroupées en trois volets:

    • Des compétences juridiques et techniques: le métier de DPO externalisé ou non requiert évidemment de solides connaissances juridiques pour veiller au respect des lois de protection des données, mais aussi des compétences techniques pour pouvoir recommander les mesures de sécurité les plus pertinentes pour assurer la sécurité de ces données sensibles.
    • Des compétences organisationnelles: le Délégué à la Protection des Données occupe très souvent la posture d’un chargé de projet. Je suis, par exemple, souvent confronté à des situations dans lesquelles je dois planifier, organiser et gérer la mise en œuvre de projets liés à la protection des données. Ce métier nécessite également des compétences d’audit afin d’identifier les risques, les pratiques et les mesures déjà en place lors de la prise de poste chez le client.
    • Des compétences relationnelles: de par le fait que les enjeux qu’il appréhende se retrouvent dans l’ensemble des processus de l’entreprise, le DPO externalisé ou non, doit savoir communiquer avec l’ensemble des interlocuteurs de celle-ci. Il est donc primordial de savoir expliquer clairement les obligations légales de protection des données aux employées de tout niveau, et de pouvoir fournir des formations et sensibilisations adaptées.

    Selon votre expérience, quel est le niveau d’avancement des entreprises dans la mise en conformité des données?

    En Suisse romande, la majorité des entreprises semble consciente de l’existence d’une loi relative à la protection de la vie privée et des données personnelles. Lorsque nous auditons nos clients, tous (ou presque) affirment être au courant que la nouvelle version de la LPD (Loi fédérale sur la protection des données) est entrée en vigueur en septembre 2023. En revanche, très peu se sont engagés dans un programme de mise en conformité car très peu réalisent qu’elles sont impactées par cette mise à jour. Il y a donc encore un grand travail de formation et de sensibilisation à faire auprès des entreprises.

    Selon vous, la lpd a-t-elle modifiée la relation entre les entreprises et leurs clients?

    Je ne pense pas que la LPD ait modifié de façon conséquente la relation entre les entreprises et leurs clients historiques. En revanche, les entreprises qui se mettent en conformité avec le règlement ont tendance à adopter une posture beaucoup plus transparente auprès de leurs clients, notamment parce que la nouvelle LPD a renforcé le devoir d’informer les personnes concernées, ou encore le droit d’accès aux données pour les personnes concernées. Ces éléments contribuent à une attitude et des pratiques plus respectueuses des droits des personnes, et notamment des clients/consommateurs.

    Quels conseils vous donneriez à une entreprise afin de conserver une dynamique de conformité?

    Selon moi, il est essentiel de se doter d’un véritable programme de conformité et de gouvernance de la protection des données afin de conserver une telle dynamique dans le temps. En effet, le programme de conformité va permettre de fixer des jalons à atteindre par l’entreprise sur une durée déterminée, afin de s’inscrire dans une démarche d’amélioration continue. Chez sequal, nous travaillons beaucoup sur les bases posées par la norme ISO 27001 et son extension dédiée à protéger les données sensibles, ISO 27701, pour doter nos clients de cette dynamique. Nous pensons que ce sont d’excellents référentiels et outils de travail pour se mettre en conformité de façon pérenne.

    Quelques bonnes pratiques pour une utilisation correcte des données à caractère personnel?

    Traiter les données personnelles de manière conforme suppose d’adopter une série de bonnes pratiques, à commencer par se soumettre à un audit initial permettant de faire un premier état des lieux de la conformité au sein de l’entreprise. Il permet d’identifier les types de données personnelles traitées, les flux de données et les risques associés. Le résultat de cet audit permet ensuite d’élaborer un programme de mise en conformité par étapes. Une documentation rigoureuse doit tout d’abord être mise en place, avec les essentiels de la protection des données (registre des activités de traitement, accords sur le traitement de données personnelles, clauses de confidentialités etc.). Cela n’est pas suffisant: la conformité à la LPD ne peut être assurée sans une solide sécurité informatique des données. Pour cela, nous recommandons l’implémentation de mesures de sécurité pertinentes en fonction du contexte de l’entreprise. Par exemple, nous incitons nos clients à adopter certaines mesures de base, comme ne plus transmettre de données personnelles dites sensibles en clair par mail, mais plutôt d’utiliser des plateformes sécurisées que nous leur mettons à disposition. Nous proposons également des mesures telles que le chiffrement des données, leur anonymisation, des bonnes pratiques de contrôle des accès, ou encore des méthodes de gestion des incidents de sécurité. En suivant ces recommandations, nos clients peuvent non seulement se conformer à la LPD, mais également renforcer la confiance de leurs clients et partenaires.

    À votre sens, quels sont les défis à venir pour vous dans les mois et les années à venir?

    Le métier de Délégué à la Protection des Données (DPO) va, à mon sens, subir des évolutions certaines dans les prochaines années, notamment avec l’arrivée des nouvelles réglementations de régulations européennes relatives à l’IA, le DMA (Digital Market Act), le DSA (Digital Service Act), etc. Je pense que la Suisse se mettra à niveau comme elle l’a fait avec la nLPD face à l’arrivée du RGPD, et que le Délégué à la Protection des Données obligatoire, externalisé ou non, se verra probablement impacté. Chez sequal nous sommes déjà confrontés de façon récurrente à des sujets liés à l’utilisation d’outils d’intelligence artificielle, tels que Microsoft Copilot. Nul doute que ces domaines vont prendre de plus en plus de place dans notre quotidien.

    Le rôle du Délégué à la Protection des Données (DPO) est primordial pour assurer la conformité des entreprises aux réglementations de protection des données. Son expertise en matière juridique et technique, ainsi que ses compétences organisationnelles et relationnelles, en font un acteur clé pour toute organisation traitant des données personnelles.
    Si vous souhaitez en savoir plus sur les responsabilités d’un DPO, les défis qu’il rencontre, ou si vous êtes intéressé par une collaboration pour améliorer la gestion de vos données personnelles, n’hésitez pas à nous contacter. Nous serions ravis de discuter de vos besoins et de vous accompagner dans votre démarche de conformité.