DPO, le champ de compétences s’étend
Avec l’arrivée des nouvelles législations, comme l’AI Act ou NIS2, la conformité devient plus prégnante. Le champ de compétence du DPO s’étend tout naturellement
AI Act, DMA, DSA, NIS2… Face à l’explosion des législations encadrant le numérique, le DPO verra le cadre de ses responsabilités s’étendre sensiblement alors que la question du manque de ressources est toujours d’actualité. Telle est la principale conclusion de l’étude sur l’évolution du métier de DPO menée auprès de 254 acteurs au sein de 12 pays, y compris le Luxembourg, par le groupe d’audit, de fiscalité et de conseil Grant Thornton.
« Les usages évoluent, les enjeux et les technologies aussi. Le DPO doit donc adapter régulièrement sa stratégie de protection des données à caractère personnel, commente Shariq Arif, Directeur du service « Privacy and Data Protection », de Grant Thornton Luxembourg.
« Les usages évoluent, les enjeux et les technologies aussi. Le DPO doit donc adapter régulièrement sa stratégie de protection des données à caractère personnel, commente Shariq Arif, Directeur du service « Privacy and Data Protection », de Grant Thornton Luxembourg.
Comprendre le fonctionnement des systèmes d’IA
A travers la donnée personnelle, nous assistons à la rencontre d’évolutions technologiques, sociétales et d’usages en lien avec la protection des droits et libertés des personnes. Depuis l’entrée en vigueur du RGPD, en mai 2018, d’autres réglementations connexes se destinent à réguler l’utilisation des données à caractère personnel. « Le sujet, aujourd’hui, est de savoir comment déployer des traitements d’IA dignes de confiance, éthiques, inclusifs, durables, et tournés vers l’humain. »
L’utilisation de l’IA par les entreprises peut conduire à des prises de décisions individuelles automatisées, fondées exclusivement sur un traitement automatisé, produisant des effets juridiques ou affectant de manière significative les personnes concernées. Cela peut être le cas, par exemple, d’outils de présélection des candidats à l’emploi, dont l’utilisation de l’IA contiendrait des biais -et donc des risques de résultats potentiellement discriminants, illustre Shariq Arif. « Si l’AI Act vient compléter l’arsenal légal du RGPD, les DPO devront plus que jamais comprendre le fonctionnement, les implications et les limites des systèmes d’IA pour identifier les risques en matière de protection des données à caractère personnel et, si nécessaire, mettre en place des mesures de protection appropriées en particulier pour prévenir ou corriger les éventuels biais pouvant exister et les possibles erreurs dans les résultats générés par l’IA. »
Un champ de compétences amené à évoluer
Qui plus est, tout comme le RGPD, l’AI Act comporte d’importantes implications extraterritoriales. La loi étend sa compétence aux fournisseurs qui introduisent des systèmes d’intelligence artificielle sur le marché de l’Union européenne, quelle que soit leur situation géographique. Qui plus est, sont également concernés les fournisseurs et les développeurs situés en dehors de l’Union dès lors que leurs systèmes d’IA sont utilisés au sein de l’UE.
« Revient ici la difficulté -identifiée dans l’étude- d’accorder innovation technologique, qui bouleverse et optimise les pratiques, à la conformité réglementaire, voire à l’éthique, relève Shariq Arif. En somme, protéger sans freiner le développement et l’innovation. Un vrai challenge ! »
De toute évidence, la conformité autour de la donnée commence à constituer un corpus un peu plus global dans lequel il y a la donnée personnelle intégrée à un ensemble d’autres données. « Le champ de compétences du métier sera amené à évoluer vers une fonction plus globale de gestion de données et non seulement les données à caractère personnel, confirme Pria Nayagum, Responsable du Service Protection des Données, DPO, Croix-Rouge luxembourgeoise. Le DPO est le candidat idéal pour s’assurer que l’ensemble des législations soit correctement mis en œuvre pour la protection des données personnelles. »
Le RGPD reste le fondement
Depuis l’applicabilité du RGPD, la gouvernance en matière de vie privée est devenue une pierre angulaire des organisations. Jusqu’ici « contrôleur », le DPO doit davantage se profiler comme « solution maker ». Et donc augmenter ses compétences pour pouvoir couvrir les domaines juridique, informatique et les aspects commerciaux de son entreprise avec suffisamment de compétence.
Dans ce nouvel environnement, une directive comme NIS2 va renforcer la fonction de DPO et son rapport à la sécurité. D’une part, elle élargit considérablement l’éventail des organisations concernées, ce qui augmente la nécessité de coordination accrue entre le CISO et le DPO pour lesquels les employeurs auront des contraintes légales de sécurité (6 secteurs d’activité régulés dans NIS ; 23 secteurs dans NIS2 ! ). D’autre part, la directive ne cible pas que les grands groupes ou les administrations centrales, mais également certains PME, ETI et collectivités territoriales.
S’impliquer dans la cybersécurité
« Avec la directive NIS2, les DPO devront faire face à de nouveaux défis en s’impliquant davantage dans la gestion de la cybersécurité, constate Shariq Arif. Cette évolution est une avancée vers une prise en compte plus globale de la sécurité des données et des systèmes d’information au sein des organisations. »
On voit aussi que les liens que le DPO est parvenu à établir avec le CISO sont devenus essentiels. Pour NIS2, par exemple, qui aborde cybersécurité et protection des données ils seront fondamentaux. Ensemble, comme le note Grant Thornton dans son étude, ils seront les acteurs clés de ce nouveau voyage ; ils combleront le fossé entre la cybersécurité et la confidentialité des données, améliorant la posture globale de conformité… et la résilience.
Privacy by design, privacy by default
C’est ici que la notion de « privacy by design » prend tout son sens. Cette approche proactive ne se limite pas à une simple conformité réglementaire ; elle représente une véritable mutation culturelle et opérationnelle pour les organisations. En effet, le « privacy by design » exige que la protection de la vie privée soit considérée dès la conception ou le développement et non comme une contrainte ou un ajout tardif dans le processus de développement de produits, de services ou de systèmes informatiques.
Autre pilier important de la protection des données, le « privacy by default ». Il s’agit du principe selon lequel, par défaut, seules les données personnelles strictement nécessaires à chaque fonction spécifique d’un produit ou service doivent être collectées, traitées et stockées. A ce principe, on allie les durées de conservation limitée des données, leur accessibilité et la transparence de leur traitement.
« Dans ce contexte, il est essentiel que le DPO -en tant que chef d’orchestre- soit impliqué dès les premières étapes de tout nouveau projet. Cela permet d’identifier et de prévenir les risques liés à la vie privée dès la conception d’un projet », soutient Pria Nayagum.
Englober toutes les données
In fine, trois tendances clés ressortent de l’étude. Un : une attention accrue portée au risque dans le cadre du rôle du DPO, y compris l’intégration avec les fonctions de risque de l’entreprise et une approche de la conformité basée sur les risques.
Deux : un élargissement du champ d’application du DPO pour englober toutes les données, pas seulement les données personnelles, tout en veillant aux droits des personnes concernées et un meilleur alignement avec les changements réglementaires et les structures internes de l’entreprise.
Et trois, le renforcement du rôle du DPO vers la gestion de projet interne, y compris la confidentialité dès la conception, et le contrôle de conformité. Ce changement s’accompagne d’une complexité technique croissante dans des domaines tels que l’informatique et le droit.