Claude Lachat, ASDPO: «Il est rare que les entreprises suisses recrutent un DPO»
A l’occasion du premier anniversaire de l’entrée en vigueur du RGPD, ICTjournal a posé quelques questions à Claude Lachat, DPO chez Ofac et président de l’Association Suisse des Délégués à la Protection des Données (ASDPO).
Quel impact a eu le RGPD sur la fonction des responsables de la protection des données dans les entreprises suisses?
Dans le cadre de la LPD, la Loi fédérale sur la protection des données, le conseiller à la protection des données ne s'occupe que de déclarer les fichiers relatifs au traitement des données. Pour les entreprises soumises au RGPD, la fonction est véritablement devenue celle d’un DPO. Leur rôle va beaucoup plus loin et comprend par exemple l’analyse de conformité avec la législation applicable. Le DPO est également chargé d’aider le responsable de traitement de données à caractère personnel à entretenir son registre. Leurs tâches comprennent aussi ce qu’on appelle les DPIA, c’est-à-dire les analyses d’impact en matière de protection des données.
A qui les entreprises suisses confient-elles généralement le rôle de DPO?
Dans le cas où les entreprises nomment un DPO en interne, il s’agit en général d’une promotion. La fonction est confiée à une personne déjà familiarisée avec les problématiques de protection des données. Typiquement un CISO, qui suit alors une formation et fait certifier ses compétences en la matière. Il est en revanche assez rare que les entreprises recrutent un nouveau collaborateur pour assurer la fonction de DPO. Dans le cas où elles ne disposent pas des profils adéquats en interne, elles font appel à un DPO externe. De nombreuses sociétés en Suisse romande proposent ce type de service de consulting.
Chez les citoyens de l’UE, le RGPD a fait naître une certaine prise de conscience relative aux questions de protection des données. Est-ce selon vous aussi le cas en Suisse?
Les entreprises suisses reçoivent surtout des demandes en provenance de pays où les citoyens sont plus impliqués sur ces questions. L’Allemagne, les Pays-Bas et le Royaume-Uni constituent le trio de tête des demandes adressées à des responsables de traitements des données en Suisse. Les Suisses n’ont pas cette tendance à exercer leurs droits en la matière. C’est dû à la culture mais pas seulement. Dans l’Union européenne, en cas d'atteinte éventuelle à sa sphère privée, un citoyen peut interpeller l’autorité chargée de la protection des données qui s’occupera de toutes les démarches. En Suisse, un citoyen doit engager lui-même une procédure pénale. La future LPD ne devrait d’ailleurs pas changer la donne.
Le RGPD oblige de notifier des violations à risque aux autorités chargées de la protection des données. Comment les firmes suisses répondent-elles à cette exigence?
Si une entreprise a déjà une maturité suffisante dans la gestion des incidents, si elle a mis en place des workflows et qu'elle dispose d’outils pour identifier les potentiels incidents critiques et analyser leur impact, alors se conformer sur ce point au RGPD ne pose pas de difficultés particulières. Mais il est vrai que de nombreuses entreprises suisses n’ont pas ce degré de maturité.
A lire sur le même sujet >> Le RGPD crée plus de méfiance que de confiance
L’Association Suisse des Délégués à la Protection des Données
Fondée le 3 juillet 2018 à Genève, l’Association Suisse des Délégués à la Protection des Données (ASDPO) a pour but de promouvoir et développer la fonction de Data Protection Officer (DPO) en Suisse. Regroupant des DPO actifs dans une entreprise, une institution publique ou comme indépendant, l’ASDPO entend favoriser les échanges avec l’objectif d’identifier et de favoriser les meilleures pratiques professionnelles en lien avec Ia fonction. L'association organise notamment des réunions de réseautage et des conférences sur des thèmes d’actualité en protection des données.
