Qu’est-ce qu’un DPO et que représente cette profession au sein d’une entreprise sont des questions courantes pour les personnes qui ne sont pas confrontées à la sécurité de l’information dans leur vie quotidienne.
Pourtant, ceux qui pensent que la protection des données est loin du quotidien de chacun, même s’il ne travaille pas, se trompent.
Le DPO (délégué à la protection des données) est le professionnel responsable de la sécurité des informations d’une entreprise, y compris les données des clients et des fournisseurs qui passent par l’organisation.
En ce qui concerne la sécurité, seule une liste de diffusion vérifiée peut atteindre les boîtes de réception des prospects. Protégez donc vos listes de diffusion !
Le métier de DPO est né de l’avancée d’internet et est d’actualité depuis 2020, date d’entrée en vigueur de la LGPD – loi générale sur la protection des données.
Vous voulez savoir si votre entreprise est en conformité avec le RGPD ? Nous vous proposons un webinaire exclusif sur le sujet !
Table des matières
Ce que fait un DPO
Le délégué à la protection des données (c’est ainsi que la profession est appelée en portugais) est responsable des données avec leurs propriétaires et doit également rendre compte à l’ANPD – l’autorité nationale de protection des données au Brésil.
En d’autres termes, le professionnel répond aux questions ou aux plaintes des consommateurs concernant la collecte et l’utilisation de leurs données.
Le DPO est également chargé de superviser toutes les activités impliquant les informations propres à l’entreprise et celles de tiers, en veillant à ce que l’entreprise respecte le RGPD et les bonnes pratiques.
Le DPO analyse ainsi la quantité et la nature des données collectées, les personnes qui y ont accès, l’usage qui sera fait de ces informations et la manière dont elles seront stockées.
Sur la base de toutes ces observations, le professionnel rédige des manuels et des rapports suggérant des ajustements à apporter à l’entreprise afin d’éviter les problèmes.
Ce qu’est un DPO semble être une fonction simple, mais ce n’est pas le cas. En effet, chaque entreprise fonctionne de manière différente et les données qui y transitent sont également traitées différemment.
Le professionnel doit donc s’immerger fréquemment dans la culture de l’entreprise. Il doit garder un œil sur tous les mouvements qui impliquent des informations.
Voici comment est née la profession de DPO.
Comment tout a commencé
En 2014, un quiz Facebook a commencé à collecter les données de millions d’utilisateurs. Cambridge Analytica, une société de conseil politique, a utilisé ces informations pour personnaliser les campagnes politiques de ses clients.
En conséquence, plusieurs candidats ont été favorisés parce que leurs publicités de campagne n’ont été montrées qu’aux électeurs les plus sensibles à leurs arguments persuasifs.
Le problème est que Facebook n’est pas une société de collecte de données et que les utilisateurs ne l’autorisent pas à collecter leurs informations personnelles. Cela équivaut à des pratiques abusives de gestion des données et à une violation de la vie privée.
En conclusion, 87 millions de personnes dans le monde ont vu leurs données partagées par Cambridge Analytica. Selon une note publiée par Facebook, 443 000 comptes ont été violés au Brésil.
Tout cela s’est produit parce qu’en 2014, aucun type de législation n’avait été créé pour protéger la vie privée en ligne des utilisateurs.
Après l’incident, l’Union européenne a créé le GDPR – General Data Protection Regulation – qui a servi de modèle à la législation sur les données et la vie privée en ligne dans d’autres pays.
Le Brésil a promulgué la loi générale sur la protection des données en 2020 et les États-Unis, l’ADPPA (American Data Privacy and Protection Act) en 2022.
Quels sont les différents types de DPO ?
Au Brésil, il existe deux profils de DPO. Il s’agit des profils suivants
Profil juridique : il s’agit des professionnels qui observent ce qui peut et ne peut pas être fait. Par exemple : les formulaires d’inscription peuvent collecter des données sensibles, à condition que l’utilisateur l’autorise.
Il convient de rappeler la différence entre les données personnelles et les données sensibles. Les premières sont des informations d’identification telles que le numéro de téléphone et l’adresse, tandis que les secondes sont des informations relevant de l’intimité, telles que les préférences sexuelles et politiques.
Profil informatique : il s’agit de développeurs web ayant des compétences techniques en matière de cybersécurité. Ils sont chargés de la protection contre les attaques de pirates informatiques qui volent les données de l’entreprise.
Le délégué à la protection des données peut s’orienter vers un profil plutôt qu’un autre, ou il peut (et doit) combiner les deux. Plus sa connaissance des deux responsabilités est grande, plus l’entreprise sera protégée.
Conclusion
Toute entreprise en ligne reçoit et envoie des données de l’entreprise elle-même, mais aussi de ses clients, de ses employés et de ses fournisseurs.
Le suivi de toutes ces informations nécessite la présence d’un professionnel qualifié. Le DPO est une nouvelle profession, mais elle est extrêmement nécessaire pour les entreprises qui se conforment au RGPD.
Il est important de noter que les entreprises qui enfreignent la loi sont passibles d’une amende pouvant aller jusqu’à 2 % de leur chiffre d’affaires.
FAQ
Le processus de numérisation des entreprises nécessite le traitement de données et, avec la promulgation du RGPD, les organisations doivent s’adapter aux règles en vigueur pour la collecte et le traitement de leurs propres informations et de celles de leurs clients.
Chaque entreprise doit disposer d’un délégué à la protection des données au sein de son personnel afin d’éviter les problèmes de non-conformité avec le RGPD.
Ce professionnel représente l’entreprise auprès de l’Autorité nationale de protection des données (ANPD), tout en répondant aux questions des consommateurs sur le traitement de leurs données personnelles.
Le DPO analyse également toutes les informations qui transitent par l’organisme afin de garantir le respect de la LGPD.
Le scandale Cambridge Analytica a révélé la favorisation de campagnes politiques par la collecte de données provenant de comptes Facebook.
Cela a conduit à la création de la première loi sur la protection des données de l’Union européenne, le règlement général sur la protection des données (RGPD). Ce modèle a été utilisé au Brésil pour créer la LGPD et aux États-Unis pour rédiger l’ADPPA.
Avec la législation est apparu le besoin d’un professionnel pour contrôler la conformité des entreprises aux règles de protection des données.
Le DPO a un profil juridique et un profil informatique. Le premier est chargé d’analyser ce qui peut être fait, et le second est responsable de l’aspect technique de la cybersécurité.