• Print
  • Decrease text size
  • Reset text size
  • Larger text size
20/11/2017

Chief Data Officer (CDO) vs Data Protection Officer (DPO) : Focus sur les métiers clés de la gestion des données

Les entreprises sont aujourd'hui confrontées à un usage massif des données clients, notamment grâce aux évolutions technologiques telles que le Big data et les objets connectés. Ces éléments, associés à une pression réglementaire croissante (BCBS239, GDPR…), font des métiers de la gestion des données une pierre angulaire des organisations. 

Le rôle du Chief Data Officer (CDO)

« Chief Data Officer » est l’un de ces métiers nouvellement créés pour répondre aux défis du Big Data, et sur lequel s’appuie notamment la règlementation BCBS 239 au sein des banques. Le CDO devient un acteur de premier plan, dont la principale mission est de s’assurer que les décisions prises capitalisent sur les données disponibles. Il exploite l'ensemble des technologies à sa disposition (digitales, numériques, mobiles) afin de recueillir des données d’origine internes ou externes, privées ou publiques.
Le rôle du Chief Data Officer est capital pour l'amélioration du cycle de vie des données : de la création ou collecte à la fiabilisation, stockage, mise à disposition et réutilisation des données.

Les sujets majeurs sur lesquels un CDO a une responsabilité de premier plan sont :

Gouvernance – Compte tenu des réglementations en constante évolution concernant la gestion et le stockage des données entre les différents marchés.

Exploitation – L’utilisation des données étant essentielle pour la croissance, le CDO arme les responsables d’outils nécessaires permettant d’accéder instantanément à des données précises et à jour.

Sécurité – Les violations récentes dans lesquelles de nombreux comptes ont été compromis font de la cybersécurité une priorité. Le CDO doit s’assurer de l’efficacité des protections mises en place.

Principales caractéristiques du CDO

principales caracteristiques du CDO chief data officer

Le rôle du Data Protection Officer (DPO)

La fonction de Data Protection Officer (DPO) émerge sous l’impulsion du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais pour « General Data Protection Regulation »). L’émergence de ce métier introduit une nouvelle culture de la donnée basée sur l’éthique, constituant un véritable levier de performance. D'ici le 25 mai 2018, les entreprises et les administrations utilisant des données à caractère personnel de citoyens européens, bien que non établis dans l’Union Européenne, devront recourir aux services d'un Data Protection Officer. Son rôle est très polyvalent, ce qui l'amène à travailler avec un grand nombre de départements. En plus des connaissances en informatique et en cyber sécurité, il est tenu de posséder une importante culture juridique. Ses principales missions sont :

Conformité – Il est responsable de la gestion de la conformité au sein de l’organisation : il s’assure que les exigences sont respectées lors de l’utilisation des données personnelles à des fins commerciales et internes.

Coopération avec les régulateurs – Le DPO est le point de contact entre l’entreprise et l'autorité de réglementation européenne, qu’il doit alerter en cas de non-conformité. Il endosse ainsi les rôles de policier interne et informateur auprès des régulateurs.

Communication – Il doit éduquer l'entreprise et former les employés impliqués dans le traitement des données aux nouvelles exigences réglementaires. De plus, il interagit avec les personnes concernées pour les informer sur l'utilisation de leurs données, leurs droits à l'effacement et les mesures mises en place par l'entreprise pour les protéger.

Principales caractéristiques du DPO

principales caracterisqtiques du DPO data protection officer

Cependant, GDPR n’est pas seulement la responsabilité du DPO. La mise en conformité est un sujet organisationnel nécessitant le soutien de l’ensemble des parties prenantes de l'écosystème des données personnelles, et particulièrement celui du CDO.

Est-il alors pertinent de distinguer le DPO du CDO ?

Les deux métiers se rejoignent dans la mesure où ils traitent de la protection et de la valorisation des données prises dans leur ensemble en qualité d’actif immatériel.

Plusieurs schémas opérationnels peuvent être mis en œuvre : 

D’une part, dans certaines organisations, il est envisagé de faire émerger une véritable filière autour des métiers du data management. Le DPO, différencié du CDO, serait alors intégré dans la première ligne de défense, ce qui lui permettrait d’animer la gestion des données au sein des métiers, et de garantir le respect des exigences éthiques et sécuritaires. A titre d’exemple, au lieu de détenir des données personnelles indéfiniment ou d'utiliser des données recueillies dans une ligne de métier pour en informer une autre, son rôle est de s'assurer que les informations minimales nécessaires pour compléter une transaction sont collectées et conservées. Les CDO quant à eux ont pour objectif d’exploiter au mieux les données et de les rendre accessibles au niveau décisionnel. Un certain nombre de recommandations du DPO seront contraires aux objectifs du CDO, et il semble compliqué d'éviter un tel conflit d'intérêts. Ce scénario impliquerait la nécessité de prévoir une deuxième ligne de défense idoine. La création d’une filière data exige donc un certain degré de maturité.

Un second modèle organisationnel consisterait à fusionner ces deux postes et impliquerait que le DPO se trouve dans la deuxième ligne de défense, à l’instar du CDO. Les données concernées par la réglementation GDPR étant différentes des données risques, ce scénario nécessiterait toutefois de mettre en place un dispositif de première ligne de défense complet.

Enfin, il est également envisageable de désigner un DPO externe. Il permettrait d’éviter les éventuels conflits d’intérêts tout en bénéficiant d’une relation contractuelle libre. Cependant, il requiert un temps d’adaptation aux rouages de l’organisation, contrairement au DPO interne qui dispose d’une connaissance approfondie de l’entreprise et des interlocuteurs à solliciter. A ce stade, ce scénario n’est pas privilégié dans les organisations de taille importante telles que les banques traitant des données sensibles.

Comparatif entre BCBS 239 et la Réglementation Générale des Données Personnelles

Comparatif entre BCBS 239 et la Réglementation Générale des Données Personnelles

Cliquez pour agrandir

En conclusion, les données étant de plus en plus nombreuses et précieuses, leur protection est d’autant plus importante et les lois les concernant se resserrent. Le dispositif de gestion des données représente un enjeu à la fois business et conformité / juridique, dont l’implémentation sera spécifique à chaque organisation. C’est dans ce contexte que les CDO et DPO occuperont des fonctions à responsabilité croissante dans les banques traitant des données sensibles à grande échelle, pour atteindre les objectifs de performance, gestion des risques et conformité aux exigences réglementaires.

Sia Partners

0 commentaire
Poster un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
Image CAPTCHA
Saisissez les caractères affichés dans l'image.
Back to Top