@DPO_News @jpbichard #GDPR Entretien Xavier Leclerc PDG DPMS « Privacy is good for business »

Outils GDPR:  Entretien Xavier Leclerc PDG DPMS

 

« Privacy is good for business »

 

par Jean Philippe Bichard  @DPO_NEWS

Phot-JPB-DPO NEWS

 

La gouvernance des données s'impose comme un enjeu de souveraineté majeur. On le savait. Xavier Leclerc, PDG de DPMS – Data Privacy Management System – le confirme dans cet entretien.

Pour cet acteur, un des tout premiers sur le « marché » des CIL (Correspondants informatique et libertés) professionnel sur différents secteurs de la protection des données en termes de gouvernance (formation, audit, outils de management...) « il est impératif de ne pas laisser au GAFA, des prérogatives sans contrôle sur un gisement de valeur aussi important que les données personnelles. On le sait, au sein de l'entreprise, ceux qui contrôleront l'accès aux données vont naturellement prendre des positions de plus en plus stratégiques. »

« Privacy is good for business » ce slogan, Xavier Leclerc le répète volontiers. Satisfait, il martèle sa « bio » avec plaisir. De ces nombreuses années passées comme CIL puis auditeur et manager avant de prendre la tête de diverses entités et co-fondé l'AFCDP (1), l'homme affiche des certitudes et distribue quelques mauvais points. État des lieux.

 

 

Données-RGPD

 

 

Rôle et positionnement du DPO :

« Tout le monde veut parler des données » et de leur protection en oubliant le rôle des CIL et désormais des futurs DPO. Il faut dire les choses : ces deux postes ne sont pas identiques. Ils permettent même de mesurer les évolutions en matière de protection de données personnelles depuis plus de dix ans (cf section BONUS en fin d'article). Du déclaratif nous sommes avec le GDPR passés à l'obligation voire la sanction pour les contrevenants. Le futur pour les DPO c'est un ticket avec le RSSI lui même proche du DSI souvent présent au COMEX. Le DPO s'assure que le RSSI a mis en place les règles exigées par le RGPD (EIVP, PIA...). C'est un rôle nouveau et seuls 20% des CILs actuels pourront occuper un poste de DPO ».

 

CIL et DPO :

« 20% de CIL qui deviennent des DPO ça peut paraître faible mais il faut connaître la réalité du terrain. Bon nombre de CILs ne remplissent pas leur fonction à 100% de leurs temps par exemple ou encore n’ont pas suivi de formation adéquate. Je dirai qu'ils sont à peine 20% aujourd'hui en février 2017 a exercer pleinement leur mission de CIL, soit réaliser le registre, le bilan annuel, les contrôles de conformité…. D'autres doivent gérer plusieurs entités et organisations. Ce qui me laisse penser que lors de la mise en place concrète du GDPR, les grandes entités de type CAC 40 auront en interne leur propre DPO à un niveau de hautes responsabilités. Les entités plus modestes ou les petites entités administratives telles que des petites municipalités disposeront soit d'un DPO « commun », mutualisé soit d'un « DPO as a service » externalisé sous forme d'auditeurs issus de Big Five, cabinets d'audits spacialisés et cabinets d'avocats. On peut aussi imaginer que les CILs actuels pour certains d'entre eux deviendront des correspondants de DPO qui superviseraient plusieurs entités. Le rôle des futurs DPO c'est de devenir des data managers de haut niveau. Comprenez, je le reprécise parmi les CIL tous ne seront pas appelés à occuper un poste de DPO exigé par le nouveau règlement EUR (RGPD / GDPR). »

 

Directions générales et DPO :

« La fonction de DPO correspond a un métier de plus en plus complexe au carrefour de plusieurs champs de connaissances allant du juridique au technique. Avec les lourdes sanctions qui pèsent sur les directions et secrétariats généraux, un DPO doit impérativement trouver le soutien d'un sponsor présent au COMEX. En effet si les infractions au GDPR génèrent moins de « business » que le coût des amendes certaines pratiques sont à revoir. Un DPO doit être un « diplomate » capable de traiter la protection des données personnelles en intégrant des expertises organisationnelles, juridiques, techniques et en sachant communiquer ! Sa formation doit être sanctionnée par un master comme celui de l'ISEP par exemple, ou une formation certifiante à tout le moins. Cette profession doit être reconnue et j''y travaillerai personnellement.

 

 

Projet GDPR et outils :

« Malgré ce que l'on veut nous faire croire très peu d'outils compatibles GDPR existent pour les futurs DPO. Les data mapping et autres outils magiques ne correspondent pas à ce qu'ils attendent. Ils veulent des outils spécifiques pour tenir leurs registres à jour, réaliser des tâches de gestion de l'accountability, violation de données, suivi des droits et consentements....C'est ce que nous proposons déjà avec l'évolution de notre plate-forme Privacil-DPMS (2) conçue à l'origine pour les CIL. Il faut comprendre qu'on ne déclarera plus auprès de la CNIL les traitements (25 mai 2018). Il ne faut pas réfléchir en termes d'outils informatiques mais de finalité.»

 

Enjeux cachés du GDPR :

«On ne le dit jamais, mais le règlement européen constitue une stratégie subtile de récupération de marchés IT. Les GAFA dominent ces marchés notamment en Europe. En élevant notre niveau d'exigences sur la protection des données personnelles ils se soumettent ou ignorent la zone Europe. C'est aussi simple que cela. Le « privacy by design » est un enjeu économique voire politique et pas seulement sécuritaire ou protecteur. »

Propos recueillis par Jean Philippe Bichard

 

A propos de l'auteur: 

  

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

En plus de cyberisques  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu) et d'enquêtes "marché", Jean Philippe rédige à la demande de nombreux « white papers » sur les différenets facetets du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

 

 

 

 @DPO_News

 @cyberisques

 

BONUS :

1 - http://www.cyberisques.com/fr/component/content/article/137-mots-cles-30-reglementation/636-dpo-news-cyberisques-dpo-un-cil-2-0

2 – DPMS : http://dpms.eu/privacil/

2011 est la date de création du code Rome K1903 (Défense et Conseil juridique) incluant le métier de CIL. Plus d’infos ICI.

La « clause du grand-père » : permettre aux CIL qui le souhaitent et qui répondent aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour capitaliser sur les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi.

Rapport européen sur la confidentialité des données par Symantec

http://www.irishtimes.com/business/technology/facebook-case-told-of-us-obstacles-to-privacy-redress-for-eu-citizens-1.2985162

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires