Comment décririez-vous le rôle du DPO dans une organisation et au sein d’Aequivalent ?
Le Data Protection Officer est avant tout un conseiller. Son rôle principal est de conseiller l’organisation sur tout ce qui a trait au traitement des données. Au sein d’Aequivalent, il s’agit d’un rôle majeur, comme tous les autres d’ailleurs (rires), car nous traitons des données sensibles des candidat.e.s au screening au quotidien. Dans ce cadre, le Data Protection Officer joue également un rôle de formateur pour accompagner au mieux les collaborateurs et collaboratrices. Finalement, le DPO bénéficie d’une indépendance pour lui permettre d’agir efficacement.
Quel a été votre parcours menant à ce poste ?
Pour ma part, j’ai un background plutôt multidisciplinaire, à savoir, juridique (droit suisse) et économique (HEC Lausanne). A la fin de mon Master, j’ai commencé à travailler avec Aequivalent pour y rédiger ma thèse sur l’internationalisation de nos services en tenant compte des différents cadres légaux concernant la protection des données. Pour aller plus loin, l’entreprise et mon rôle m’ont ensuite permis de me former et certifier ISO27001 Lead Implementer.
Bien qu’il ne soit pas entièrement nouveau, le rôle du DPO a connu une ascension rapide de sa visibilité depuis ; à quoi pensez-vous que c’est dû ?
C’est juste. En fait, le terme de « Conseiller à la protection des données » existe déjà dans la loi suisse sur la protection des données (LPD) de 1992 (c’est bien la loi qui s’applique actuellement), mais il ne s’agissait que d’une option. Par contre, c’est le droit européen en 2018, avec l’introduction du Règlement Général sur la Protection des Données (RGPD), qui a renforcé ce rôle auprès des organisations qui traitent des données personnelles des résident.e.s au sein de l’union européenne.
Aequivalent est certifiée ISO 27001, quelle est l’importance de ce certificat dans votre rôle ? Était-il obligatoire pour Aequivalent de passer la certification ?
Se certifier dans le domaine du traitement des données n’est jamais une obligation en Suisse, contrairement à d’autres pays où c’est le cas dans le domaine médical, par exemple. Il s’agit purement d’une démarche volontaire et d’amélioration continue. Autrement, ISO27001 est un outil qui peut s’avérer extrêmement utile, étant un système de management de la sécurité de l’information, car la loi reste très abstraite lorsqu’elle prescrit de mettre en place « les mesures organisationnelles et techniques».
Comment une organisation peut-elle se préparer à une violation de données et comment le fait-on au sein d’Aequivalent ?
Pour ma part, je dirais que tout est lié à la capacité de la direction à prendre conscience des risques financiers, légaux mais aussi de réputation qu’un tel événement peut entrainer. Cela parce que la sécurité est une question de culture d’entreprise mais aussi de budget. Chez Aequivalent, beaucoup de questions pour nous faire douter sont venues lorsque, très tôt dans notre existence, nous avons annoncé que nous allons entrer dans un processus de certification ISO27001 – un chemin long et périlleux. Pour notre direction, il n’y a eu aucun doute car « la protection des données est partie intégrante du cœur de métier d’Aequivalent ». Merci de noter qu’il n’y a pas de promotion à la suite de cette interview.
À quoi ressemble l’avenir de la protection des données en Suisse ?
C’est une excellente question au vu de l’actualité. Vous l’avez peut-être lu ces derniers jours mais le Conseil des Etats et le Conseil National ont finalement trouvé un accord pour mettre à jour la loi actuelle, qui fête bientôt ses 30 ans. De manière générale, on avance dans le bon sens car il était peu probable que l’on garde notre adéquation vis-à-vis de la Commission européenne au vu des standards imposés par le RGPD. Je vous invite d’ailleurs à lire mon commentaire sur le projet de loi qui vient d’être voté et mis en pratique dans le domaine des ressources humaines, ICI.
Qu’en est-il de la sensibilisation du public jusqu’à présent ? Y a-t-il une réaction et un intérêt pour la protection de leurs données personnelles ?
Malgré plusieurs cas de fuites de données personnelles, pour ne citer que l’affaire Swisscom où 800’000 clients au moins étaient concernés, l’opinion générale ne semble pas plus être choquée. Nous évoluons aujourd’hui dans un contexte où les utilisateurs privilégient de loin les fonctionnalités au profit de leur vie privée, soit par manque de connaissance et de sensibilisation (notamment par rapport à la valeur monétaire de ces données), soit par paresse (nous acceptons très souvent tous les cookies par défaut, sans rien paramétrer).
Selon vous, quel est le plus grand défi pour un DPO ?
Pour n’en choisir qu’un, un Data Protection Officer peut être parfois vu comme une sorte d’auditeur interne ou du moins, quelqu’un qui cherche à ralentir les opérations. Le défi est donc dans la communication avec différents départements, différents profils, afin de mieux faire comprendre les enjeux. Malheureusement, comme le démontrent les formations de gestion de changement, certaines personnes sont automatiquement réfractaires et malgré les efforts menés, l’échange reste compliqué. Mais encore une fois ici, l’appui de la direction va être décisif.
Date de publication : 20.11.2020
Auteur : équipe marketing et commerciale d’Aequivalent