Afterworks de la gouvernance de l’information : retours d’expérience sur les nouveaux métiers de la gestion de l’information

La gestion des risques à l’heure du SaaS et du RGPD » : tel était le thème du premier Afterwork de la gouvernance de l’information organisé par Everteam en juin, à Paris.

Une dizaine d’experts (*) ont échangé, lors de la première table ronde, sur « la multiplication des rôles et responsabilités autour de la gestion de l’information ».

Les métiers de la gouvernance de l’information

De quoi mettre en lumière les fonctions du CIGO (chief information governance officer), du CDO (chief digital officer), du CIO (chief information officer), du Records Manager ou encore du CISO (chief information security officer), l’équivalent du RSSI (responsable de la sécurité des systèmes d’information) français.

« Gérer l’information de façon transverse »

Quelle que soit la fonction de ces spécialistes de l’information, ce qui est certain, c’est qu’ils doivent collaborer main dans la main. « Nous devons assurer une cohérence d’ensemble avec tous les acteurs de l’entreprise sur le sujet de la gouvernance de l’information », explique Delphine Mouchel, responsable de gouvernance documentaire et de l’archivage chez Naval groupe. « L’information doit être gérée de façon transverse », confirme Arnaud Massias, RSSI et DPO France chez Liebherr groupe.

Zoom sur le métier de DPO

Un des nouveaux métiers de la gouvernance de l’information est le fameux DPO (data protection officer), dont la nomination est obligatoire, dans certaines entreprises, depuis l’entrée en vigueur du RGPD et dont le rôle est de s’assurer de la mise en conformité d’une entité avec la réglementation concernant la protection des données.

Certains font appel à un DPO interne, choisi au sein même de l’entreprise. Si cette solution permet d’être au fait des problématiques propres à l’entreprise, le principal risque est celui du conflit d’intérêt. Aïssatou Sarr, directrice de la ligne RGPD et de la cybersécurité chez BTD, explique que, « par exemple, un DRH ne peut pas être DPO ».

Faut-il, dans ce cas, nommer un DPO externe ? « Il y a moins de conflits d’intérêt dans ce cas-là », confirme Pascal Alix, avocat à la cour et expert RGPD. « Il est très écouté et suivi. Il est également très sollicité ». Le DPO externe travaille pour plusieurs structures et peut donc capitaliser une grande expertise.

« Il n’est pas facile de nommer un DPO »

Interne ou externe, le DPO a un « rôle de conseil et de contrôle, il ne sanctionne pas », précise Aïssatou Sarr. Christophe Binot, responsable de l’information chez Total, voit le DPO comme « le nouveau commissaire aux comptes de l’information ».

Le DPO peut avoir une dimension nationale ou internationale. Arnaud Massias précise que, au sein de son entreprise, ont été nommés un DPO par pays et un DPO monde. Quoi qu’il en soit « il n’est pas facile de nommer un DPO. Ces derniers sont en train de se former », explique Aïssatou Sarr.

Définir les règles de conservation des documents

Dans tous les cas, les entreprises doivent mettre en place, sous l’œil du DPO, une politique relative à la conservation des données personnelles. C’est une obligation inscrite dans le RGPD. Si certaines entreprises, en particulier les PME et TPE, ont fait preuve d’un attentisme certain pour s’organiser comme l’a souligné Pascal Alix, d’autres rencontrent des problèmes techniques.

Par exemple, « des outils n’ont pas évolué. Certains ne possèdent pas, par exemple, de fonction de purge », explique Aurélie Banck experte RGPD au sein du cabinet d’avocats Lexing – Alain Bensoussan. Impossible, dans ces conditions, de détruire de façon automatique des données qui doivent l’être au bout d’un certain nombre d’années et de gérer correctement le cycle de vie de l’information.

Malgré ces quelques couacs, les différents experts présents s’accordent à dire qu’un mouvement général concernant la protection des données est en train de s’amorcer en France, en Europe, voire dans le monde.

 

Ne manquez pas les prochains articles du blog d’Everteam dans lesquels nous reviendrons en détail sur les sujets traités lors de ce premier afterwork de la gouvernance de l’information…

(*) Pascal Alix, du cabinet Virtualegis, avocat à la cour et expert RGPD, Aurélie Banck, experte RGPD au sein du cabinet Lexing – Alain Bensoussan Avocats, Pascal Chrétien, RSSI group chez Oney, Emmanuel Hector, group CIO au Crédit Immobilier de France, Aïssatou Sarr, group DPO chez BTD Luxembourg, Arnaud Massias, RSSI et DPO France chez Liebherr group, Aurélien Conraux, responsable records management chez L’Oréal Research & Innovation et Delphine Mouchel, responsable de la gouvernance documentaire et de l’@rchivage chez Naval group.