Et si le comité RGPD comptait plus que le DPO ?

comite-rgpd.jpg

Telle est la position (volontairement ?) provocatrice défendue par deux spécialistes de la protection des données, Luis Alberto Montezuma et Qian Li Loke, sur le blog de l’IAPP, l’International Association of Privacy Professionals :

[L]a clé pour démontrer l’accountability n’est pas de savoir si le DPO a un background juridique ou des connaissances en sécurité de l’information, mais si le DPO aide l’entreprise à implémenter les bonnes pratiques nécessaires en matière de protection des données.

Le simple fait de nommer un DPO ne protège pas l’entreprise contre les violations ni les sanctions. (…) Si on observe la jurisprudence de par le monde, les entreprises cherchant à grandir ou à maintenir leur croissance devraient instituer un comité de protection des données pour implémenter la conformité (…).

Seul, le DPO ne peut (presque) rien

L’argumentaire des auteurs, s’il demeure criticable (notamment sur le risque de déresponsabilisaiton lié au recours systématique aux comités Théodule et à la “réunionite”), a néanmoins le mérite de rappeler que même le meilleur DPO ne peut assurer seul la conformité d’une organisation.

Qu’il s’agisse d’accountability, de prévention et de gestion des violations ou tout simplement de faire avancer un projet de mise en conformité, la protection des données est l’affaire de tous !

(Source : IAPP)