Le job de... Data Protection Officer

« Dans notre secteur, la confiance est déterminante, lance David Stevens. Nos bureaux d’études de marché mesurent ce que les gens regardent, écoutent et achètent à la télévision, à la radio et sur Internet pour en faire rapport à nos clients. Nous ne devons pas seulement veiller à fournir des comptes rendus exacts et précis, mais aussi à ce que la vie privée de tous les intéressés soit respectée. Cette dernière tâche incombe avant tout à notre privacy team. »

Et quel est le rôle exact de David Stevens au sein de cette équipe ? « En tant que Data Protection Officer, je dois faire en sorte que les données soient traitées conformément à la législation en vigueur, répond-il. Le RGPD constitue un élément central, mais pas unique de cette réglementation, qui inclut d’autres directives européennes ou nationales. Par nos contacts avec les régulateurs et les décideurs politiques, nous essayons en outre de faire entendre notre voix dans le débat sur les changements éventuels de réglementation. Je pense notamment aux projets relatifs à l’e-Privacy ou à l’intelligence artificielle au niveau européen. »

Pas forcément intégré à l’équipe juridique

Stevens a été engagé par Nielsen en novembre 2017, c’est-à-dire au moment où le RGPD figurait tout en haut dans la liste des priorités de bon nombre d’entreprises. Cela ne signifie toutefois pas qu’il doive s’occuper tout seul du suivi de la réglementation. « Mis à part moi dans la fonction de DPO pour l’Europe, il y a encore une dizaine d’autres collègues qui constituent la privacy team. D’autre part, nous pouvons aussi faire appel à des confrères travaillant dans les différents pays ou régions. Outre les juristes, ce sont souvent aussi des gens du business. » 

D’ailleurs, l’idée que le DPO doit faire automatiquement partie de l’équipe juridique est un malentendu. Stevens commente : « Bien que je collabore évidemment très souvent avec mes confrères du service juridique, j’intègre sur le plan organisationnel l’équipe des "public affairs" de Nielsen. Cela s’explique en grande partie par le fait que le DPO doit être en mesure de coordonner le travail de l’équipe juridique et du privacy team et de le réorienter au besoin. Je suis convaincu que le rôle exact que doit jouer le DPO est difficile à définir strictement, mais dépend plutôt de l’organisation interne et de la culture d’entreprise. Selon moi, le DPO peut travailler efficacement au sein du service juridique (même s’il doit quand même avoir une vision plus large des choses), mais aussi au sein d’un autre département (comme dans mon cas chez Nielsen), voire dans un rôle axé sur la gestion des risques ou la conformité. La fonction peut donc être exercée de façon très variée. L’important est que le DPO dispose d’un nombre suffisant de leviers pour pouvoir rectifier le cap et, partant, d’une véritable autonomie, comme l’exige le RGPD. »

L’avant et l’après 25 mai

Nous le signalions déjà dans notre introduction : avant le 25 mai, tous les DPO n’avaient pas une minute de répit. David Stevens nous confie son expérience : « En soi, l’attention à l’égard du respect de la vie privée est relativement récente. Si des règles existaient déjà en la matière, la problématique ne préoccupait pas vraiment les entreprises. Cette question était du ressort quasi exclusif du service juridique. En cas de dérapages (ou de réclamations de la part du régulateur), c’était à ces juristes de résoudre les problèmes. Les choses ont bien changé entre-temps, et j’ai l’impression que tout le monde se rend compte aujourd’hui qu’un traitement correct des données à caractère personnel est une responsabilité partagée par tous les collaborateurs, tant collectivement que chacun séparément. Un peu comme dans le cas de la sécurité sur le lieu de travail. L’une des tâches essentielles du DPO est dans un premier temps d’accroître cette prise de conscience. Pour ce faire, il faut collaborer avec les gens de terrain et leur fournir des solutions. Il ne s’agit pas de pointer un doigt accusateur, même s’il faut aussi avoir le courage de donner un carton rouge s’il le faut. J’ai donc consacré la plus grande partie de mon temps à cette collaboration avec le business et à l’analyse des produits, histoire de faire d’une pierre deux coups : améliorer la façon dont les produits respectent la vie privée tout en suscitant de la bienveillance sur le thème du traitement correct des données personnelles. »

Alors, mission accomplie ? Ou pas encore ? « Nous avons fait d’énormes progrès en dépit du chaos des derniers mois, indique David Stevens. Mais tout n’est pas encore terminé, car il faut que les choses se consolident dans les prochains mois. Les nombreuses analyses que nous avons réalisées (par exemple sur la base juridique des panels TV de Nielsen) doivent désormais être rassemblées et documentées. Maintenant que les processus, produits, politiques de confidentialité et notifications sont au point, nous voulons mettre davantage l’accent sur la formation. Notre objectif est de créer un effet boule de neige qui dure le plus longtemps possible... »

Meneur de jeu

Au cours des derniers mois, le RGPD a donné lieu à toutes sortes de nouvelles, parfois contradictoires. Pour un non-initié, il n’était pas évident de garder une vue d’ensemble. Mais qu’en est-il des spécialistes ? Quelle est la plus grosse sottise que David Stevens a entendu débiter sur le RGPD ces derniers mois ? « Je pense surtout aux innombrables mails que nous avons tous reçus pour nous demander de confirmer notre accord pour les opérations de marketing direct », répond-il, donnant ainsi un avis assez proche de celui du consommateur lambda. « Il faut savoir que le RGPD stipule littéralement qu’une autorisation (séparée) n’est pas requise pour chaque opération de marketing direct. Quand on constate que même des instances internationales ou importants cabinets d’avocats (!) demandent ce consentement, on se rend compte de l’étendue de l’ignorance sur le sujet. Mais cette ignorance est aussi présente dans d’autres domaines. Au cours de la semaine qui a précédé l’entrée en vigueur du RGPD, une entreprise nous a même adressé une demande pour signer un contrat en tant que sous-traitant parce que nous avions reçu des cartes de visite de ses collaborateurs. Je me demande parfois qui invente toutes ces idioties… »

Concernant le RGPD en lui-même, David Stevens ne tarit pas d’éloges : « Personnellement, je trouve que le principal mérite du RGPD est d’avoir rendu impossible le confinement de la responsabilité du respect de la vie privée au service juridique. Selon moi, une entreprise qui ne parvient pas à étudier la question tant en interne qu’en externe avec un groupe élargi de stakeholders ne pourra jamais se conformer à cette nouvelle réglementation. Je pense notamment à l’analyse d’impact relative à la protection des données (ou de façon plus concise en anglais : Data Protection Impact Assessment). Pour mener à bien celle-ci, il faut – bien plus qu’auparavant – se pencher sur les activités de l’entreprise. Il faut se faire une idée précise des produits pour ensuite étudier avec les juristes quelles mesures il convient de prendre sur le plan juridique. »

Et, au sein de cette démarche, le DPO fait clairement office de meneur de jeu...

A propos de "Le job de..."

La rubrique « Le job de ... » a pour ambition de présenter à la communauté marketing le vaste éventail de métiers existant au sein du marketing. Pour ce faire, nous sommes à la recherche de membres disposés à dévoiler les dessous de leur titre (parfois ronflant).