Portrait robot : à quoi doit ressembler votre prochain CDO (chief data officer)

Le  Chief Data Officer (CDO) : un nouveau job. 

Le « Chief Data Officer » est un métier nouveau. Son job consiste à répondre aux défis du Big Data. La mission  numéro 1 du CDO (chief data officer) est de faire en sorte que l’entreprise transforme les données disponibles en un capital bien utilisé.
Pour cela, il met en oeuvre l’ensemble des technologies à sa disposition afin de recueillir des données internes mais aussi des données externes, privées ou publiques, pas forcément structurées.
Le Chief Data Officer doit surtout gérer le cycle de vie de ces données : de la création ou collecte au stockage et leur réutilisation, en passant par une étape essentielle: la fiabilisation. En un mot, il sait ce que sont les données.

Le CDO a également  une responsabilité toute particulière en matière de sécurité, d’exploitation (il ne doit pas juste être un “Mister No” qui sécurise tout avec ceintures et bretelles mais doit aussi et surtout être un “Mister Yes” qui permet la croissance de l’entreprise) et surtout de gouvernance des données.

Ceci d’autant plus que le règlement général de protection des données, le RGPD définit dans son texte même le portrait-robot d’un nouvel acteur en matière de protection des données à caractère personnel dont les entreprises devront être dotées à compter du 25 mai 2018 : le Délégué à la protection des données (ou DPD), plus couramment désigné en anglais sous le terme de Data protection officer (ou DPO).

Ce DPO, plus ou moins imposé par la loi n’est pas en soi un poste obligatoire dans l’entreprise. Simplement quelqu’un doit être nommé, en interne ou à l’extérieur de l’entreprise pour garantir le juste emploi des données par l’entreprise. Ce DPO devra donc répondre vis-à-vis des autorités compétentes et surtout des principales personnes concernées : ceux dont les données personnelles sont enregistrées par l’entreprise.

N’oublions pas que les personnes en question ne sont pas uniquement les clients ou les prospects. Il peut s’agir aussi du personnel, des représentants, des fournisseurs, etc.

Les textes disent que ce DPO est obligatoire pour les entreprises :  

“si leur activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle “

En d’autre termes, tout le monde est concerné. Même le répertoire téléphonique des cadres de l’entreprise est concerné, dès l’instant où il est utilisé à des fins professionnelles ! 

Le DPO devra donc mener une analyse concrète de tous les fichiers créés et gérés dans l’entreprise. 

Qui doit être nommé DPO ? Quel est le profil idéal ? Un juriste disposant de solides connaissances techniques (notamment en droit des nouvelles technologies et de la protection des données), ou inversement un profil technique ayant reçu une formation juridique en matière de données.

Le DPO peut se faire assister par d’autres professionnels qualifiés venant compléter ses propres connaissances.  

Le règlement laisse même la possibilité aux organismes de désigner un DPO externe, qui exerce  en prestation de services. Par ailleurs, le règlement prévoit plusieurs hypothèses dans lesquels un DPO mutualisé peut être désigné, à savoir au sein d’un groupe d’entreprises, ou entre plusieurs autorités / organismes publics (au regard de leur structure organisationnelle et de leur taille).  

En outre, il faut noter que la fonction de DPO doit suivre les principes suivants :  

– l’indépendance : il ne reçoit aucune instruction dans l’exercice de sa mission. Il ne peut être pénalisé ou relevé de ses fonctions s’il a agi selon ce principe. Il reporte directement au niveau le plus élevé de la direction de l’organisme l’ayant nommé ; 
– l’absence de conflit d’intérêt. Surtout si le DPO exerce d’autres missions au sein de l’organisation. Ceci est donc à prendre en compte lorsque le DPO est aussi le CDO (voir plus bas);
– la confidentialité : le DPO est soumis au secret professionnel.  

La désignation d’un DPO  doit être accompagnée de la mise en œuvre d’une organisation spécifique lui permettant de travailler de manière  efficace. Cela suppose donc la mise à disposition de moyens techniques, financiers, humains et organisationnels. Et surtout, il faudra formaliser le processus de remontées d’informations en interne. 

Le rôle du DPO doit d’ailleurs être formalisé dans une lettre de mission ou une fiche de poste. Outre les missions prévues par le règlement, l’entreprise peut ajouter ses propres missions et objectifs.

Concrètement, le DPO devra donc surtout :  

– intervenir en amont de la mise en œuvre d’un nouveau fichier ou traitement de données  (pour garantir le respect de la réglementation et la transparence imposée par la loi)  
– tout au long du cycle de vie de la donnée, notamment en procédant à la définition de mécanismes de vérification de la conformité ou encore à des audits pour contrôler le respect des obligations  « Informatique et libertés » associées.
– cela passe donc par un important travail de sensibilisation dans l’entreprise ou l’organisation.
Faire comprendre l’esprit de la réglementation et proposer des solutions pour son respect pour chaque fichier ou systèmes de gestion de données dans l’entreprise est un travail de long terme, même si la réglementation s’impose rapidement.
Tout ne sera pas parfait dès le début. Cependant, le DPO devra être en mesure de répondre à tous les interlocuteurs qui seront en droit de l’interroger : autorités (en France, la CNIL notamment), mais aussi clients, fournisseurs, salariés, etc.  

Le CDO peut-il alors être aussi le DPO ? 

Les deux métiers se rejoignent forcément.
Même si le DPO relève plus de la protection que de la constitution d’un patrimoine immatériel, le job du CDO ne peut réussir sans une gouvernance des données qui prend en compte tous les impératifs dévolus au DPO. 

On peut donc envisager plusieurs scénarios.  

  1. Créer dans l’entreprise un véritable département autour des métiers de la donnée et du data management. Le DPO ne sera pas alors forcément le CDO et sera intégré au plus haut niveau; ce qui lui permettra d’animer la gestion des données au sein des métiers et de sensibiliser toute l’organisation au respect des exigences éthiques et sécuritaires). Le CDO aura alors d’autant plus d’énergie à exploiter les données et à les rendre accessibles pour les missions les plus stratégiques de l’entreprise qu’il aura intégré les règles de gouvernance impulsées par le DPO. 
  2. La fusion des deux fonctions. Dès lors, le CDO est fortement mobilisé dans la sensibilisation et la mise en conformité, notamment dès la conception.
    Son talent numéro un sera de pouvoir transformer ce qui risque d’être vécu comme une contrainte (les exigences de transparence, le fait de détruire des données stockées devenues inutiles ou non conformes, etc.) en une opportunité : constituer avec des datas respectueuses des principes européens un avantage concurrentiel et un patrimoine de qualité, et donc de grande valeur.
    La mission devient éminemment stratégique.
    Elle exige également de l’inventivité et de la créativité. En effet, donner envie à des consommateurs potentiels, par exemple, de cocher les cases opt-in d’un formulaire, par exemple, après qu’on leur aura dit que leurs données personnelles seront enregistrées et traitées, suppose que l’on sache leur proposer des contreparties nouvelles, fondées sur le traitement de ces données. Et que ces contreparties aient pour le consommateur en question une valeur vraiment intéressante.
    Cela suppose que le CDO se trouve à un point nodal de l’organisation qui lui permette d’impulser cet esprit de transformation de la contrainte en opportunité.
  3. Le troisième modèle organisationnel est celui qui consiste à externaliser la mission de DPO. Ceci s’impose surtout s’il risque d’y avoir conflit d’intérêt entre la mission du DPO et celle de CDO.
     

En résumé, la protection des données  est d’autant plus importante  au regard de la loi qu’elle devient un impératif majeur dans leur gouvernance. Le CDO ne peut donc pas avoir un profil de prosélyte de la donnée, laissant à d’autres le soin de la faire entrer dans le cadre légal. Ce serait le pire système organisationnel imaginable.  

Il ne peut non plus voir sa mission réduite à celle de “rabat-joie”, et endosser le rôle de Mister No, au moment même où tout le monde dans l’entreprise va voir dans les Big data un axe de développement futur.  

Le bon CDO devra donc, dès le départ, intégrer à la fois dans sa psychologie et dans ses missions l’art de transformer la contrainte en opportunité. Il devra se sentir “joailler” de la donnée et se voir confié les outils adaptés à une telle mission.  

Qu’on lui confie ou pas, le rôle de DPO. 

Vous vous demandez comment suivre ce dossier RGPD et cette question du CDO et DPO, dans votre entreprise, ou dans les entreprises dans lesquelles vous êtes amené(e) à travailler ? 

Nous n’avons pas fini, sur ce blog, de creuser cette question de la data governance et des fonctions associées.

Alors si vous n’êtes pas abonné à notre newsletter “En direct des bacs à sable”… réparez vite cette erreur. Et abonnez-vous au plus vite.

Découvrez les trésors des bacs à sable, cliquez sur l’image….