Projets

5 raisons pour lesquelles vous devez engager un DPO

Le DPO a aussi pour rôle de remonter les violations de données au Comex pour qu'il en mesure les conséquences, avertit Deema Freij, global DPO d'Intralinks (photo DR).

La donnée est la clé du business. Pour préserver sa valeur et la conformité réglementaire, il faut un spécialiste : le délégué à la protection des données ou DPO ( data privacy officer).

PublicitéLa collecte, le stockage et la gestion des données sont devenus habituels pour presque toutes les entreprises. Mais la manière avec laquelle elles traitent ces données est une autre question. C'est là qu'intervient le data privacy officer, DPO également appelé data protection officer ou délégué à la protection des données, celui qui va protéger la vie privée en naviguant dans le paysage complexe et changeant de la conformité réglementaire et des clients.

« Sa responsabilité la plus importante est d'être l'avocat du client pour déterminer quelles sont les informations personnelles identifiables parmi les montagnes de données qui sont en possession de l'entreprise. Il doit trouver un moyen de les protéger dès qu'elles sont collectées, de manière à réduire le risque d'amende et s'assurer que ces données sont toujours utilisables pour des opérations commerciales », explique Ameesh Divatia, co-fondateur et PDG de la société de protection des données Baffle.

Vous risquez de perdre plus que de l'argent si vous ignorez les règles de protection de la vie privée et si vous subissez une violation de données : la réputation de votre entreprise est en jeu. Voici quelques bonnes raisons, cinq précisément, d'embaucher un DPO... si ce n'est déjà fait.

1. Préserver les règles de confidentialité
La gestion des données personnelles s'accompagne de nombreuses responsabilités pour protéger le client et l'entreprise. Vous devez vous assurer que les données client et celles des utilisateurs restent privées et que vous avez bien un haut niveau de connaissance des réglementations de conformité.
« Il existe des lois sur la protection de la vie privée dans plus de 100 pays à travers le monde concernant la façon dont les entreprises peuvent collecter, gérer et stocker ces données. En outre, il y a des conséquences financières et de réputation à être un bon ou un mauvais acteur des données personnelles. Il est donc très important que les entreprises engagent quelqu'un pour les aider à respecter ces réglementations et à assurer des pratiques de données transparentes », explique Peter Lefkowitz responsable de la confidentialité et des risques numériques chez Citrix.
« Le risque légal tient au non-respect de diverses lois dans le monde, qui ont des exigences spécifiques concernant la notification, la transparence, la collecte, l'utilisation, le stockage, le traitement et le retour des données, ainsi que la gestion des incidents. Ces exigences ne vont pas de soi et les pénalités pour non-conformité sont fortes », souligne Peter Lefkowitz.
Le Règlement général européen sur la protection des données (RGPD), qui entre en vigueur le 25 mai, est la priorité pour les entreprises qui font des affaires en Europe. Le nouveau Règlement décrit comment les entreprises peuvent utiliser, collecter et gérer les données des citoyens de l'UE. Il donne aux individus plus de contrôle sur leurs données personnelles.

Publicité2. L'obligation d'avoir un DPO
Le GDPR donne aux entreprises une autre raison d'embaucher un DPO : vous pourriez être légalement tenu d'en avoir un. Le règlement impose aux entreprises « d'avoir un délégué à la protection des données, si elles traitent ou stockent de grandes quantités de données de citoyens européens, traitent ou stockent des données personnelles particulières, surveillent régulièrement les personnes concernées ou exercent un rôle en tant qu'autorité publique », écrit Michael Nadeau dans CSO.
« Les risques ne l'emporteront jamais sur les avantages et ce n'est pas un pari, d'embaucher un DPO d'un certain niveau. La confiance dans une entreprise peut diminuer du jour au lendemain si sa politique de vie privée est ratée, une organisation peut manquer des sources de revenus potentielles en n'étant pas conforme et certifiée, et GDPR pourrait se révéler coûteux » note Chris Bihary, PDG de Garland Technology.

3. Le risque de violations de données
Au cours des dernières années, il y a pas eu des violations de données importantes. Des infractions comme celles de Target, Sony, Home Depot et Equifax ont coûté des millions de dollars à ces entreprises.
« Un DPO aide à développer des stratégies pour soutenir la protection des informations personnelles identifiables contre ces types d'incidents et peut informer le Comex sur les problèmes, techniques et commerciaux, qui pourraient découler d'une violation », déclare Deema Freij, global DPO chez Intralinks.

4. Le cauchemar de la Com'
Avoir une stratégie proactive en place pour se protéger contre une faille de sécurité peut également protéger la réputation de votre marque. Dans le pire des cas, un DPO peut au moins travailler pour diminuer les effets d'une attaque et créer une stratégie pour éviter les problèmes futurs.
« Plus vous avez de valeurs à protéger, plus vous avez besoin d'un DPO. C'est moins le cas dans les secteurs qui sont plus à risque, mais davantage pour ceux que vous devez protéger. Le risque le plus important reste dans le secteur de la vente au détail, on se souvient des violations survenues chez Target, Equifax et Yahoo » explique Chris Bihary.

5. Une perte de revenus ou une interruption d'activités commerciales
Un DPO aide les organisations à naviguer dans la confidentialité et la conformité, tout en élaborant une stratégie solide qui permettra de protéger l'entreprise. Celles-ci peuvent avoir l'esprit tranquille en sachant qu'elles ont un interlocuteur privilégié pour se tenir au courant des tendances en matière de respect de la vie privée et de conformité, qui élaborera une stratégie pour prévenir et gérer les éventuelles violations de données.
« Sans une politique de confidentialité bien comprise et bien gérée et sans une personne ou une équipe dédiée pour traiter, déployer et gérer ces pratiques, il y aura une perte financière suivie d'une perte économique, voire d'un échec. Les coûts d'interruption pour l'entreprise pourraient être paralysants », conclut Chris Bihary.

Sarah K. White / IDG News Service (traduit et adapté par Didier Barathon)