Focus métiers: Chief Data Officer vs Data Protection Officer

« Chief Data Officer » est l’un de ces métiers nouvellement créés pour répondre aux défis du Big Data, et sur lequel s’appuie notamment la règlementation BCBS 239 au sein des banques. Le CDO devient un acteur de premier plan, dont la principale mission est de s’assurer que les décisions prises capitalisent sur les données disponibles. Il exploite l'ensemble des technologies à sa disposition (digitales, numériques, mobiles) afin de recueillir des données d’origine internes ou externes, privées ou publiques.
Le rôle du Chief Data Officer est capital pour l'amélioration du cycle de vie des données : de la création ou collecte à la fiabilisation, stockage, mise à disposition et réutilisation des données.

Les sujets majeurs sur lesquels un CDO a une responsabilité de premier plan sont :

• Gouvernance – Compte tenu des réglementations en constante évolution concernant la gestion et le stockage des données entre les différents marchés.
• Exploitation – L’utilisation des données étant essentielle pour la croissance, le CDO arme les responsables d’outils nécessaires permettant d’accéder instantanément à des données précises et à jour.
• Sécurité – Les violations récentes dans lesquelles de nombreux comptes ont été compromis font de la cybersécurité une priorité. Le CDO doit s’assurer de l’efficacité des protections mises en place.

La fonction de Data Protection Officer (DPO) émerge sous l’impulsion du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais pour « General Data Protection Regulation »). L’émergence de ce métier introduit une nouvelle culture de la donnée basée sur l’éthique, constituant un véritable levier de performance. D'ici le 25 mai 2018, les entreprises et les administrations utilisant des données à caractère personnel de citoyens européens, bien que non établis dans l’Union Européenne, devront recourir aux services d'un Data Protection Officer. Son rôle est très polyvalent, ce qui l'amène à travailler avec un grand nombre de départements. En plus des connaissances en informatique et en cyber sécurité, il est tenu de posséder une importante culture juridique. Ses principales missions sont :

• Conformité – Il est responsable de la gestion de la conformité au sein de l’organisation : il s’assure que les exigences sont respectées lors de l’utilisation des données personnelles à des fins commerciales et internes.
• Coopération avec les régulateurs – Le DPO est le point de contact entre l’entreprise et l'autorité de réglementation européenne, qu’il doit alerter en cas de non-conformité. Il endosse ainsi les rôles de policier interne et informateur auprès des régulateurs.
• Communication – Il doit éduquer l'entreprise et former les employés impliqués dans le traitement des données aux nouvelles exigences réglementaires. De plus, il interagit avec les personnes concernées pour les informer sur l'utilisation de leurs données, leurs droits à l'effacement et les mesures mises en place par l'entreprise pour les protéger.

Cependant, GDPR n’est pas seulement la responsabilité du DPO. La mise en conformité est un sujet organisationnel nécessitant le soutien de l’ensemble des parties prenantes de l'écosystème des données personnelles, et particulièrement celui du CDO.

Les deux métiers se rejoignent dans la mesure où ils traitent de la protection et de la valorisation des données prises dans leur ensemble en qualité d’actif immatériel.

Plusieurs schémas opérationnels peuvent être mis en œuvre : 

D’une part, dans certaines organisations, il est envisagé de faire émerger une véritable filière autour des métiers du data management. Le DPO, différencié du CDO, serait alors intégré dans la première ligne de défense, ce qui lui permettrait d’animer la gestion des données au sein des métiers, et de garantir le respect des exigences éthiques et sécuritaires. A titre d’exemple, au lieu de détenir des données personnelles indéfiniment ou d'utiliser des données recueillies dans une ligne de métier pour en informer une autre, son rôle est de s'assurer que les informations minimales nécessaires pour compléter une transaction sont collectées et conservées. Les CDO quant à eux ont pour objectif d’exploiter au mieux les données et de les rendre accessibles au niveau décisionnel. Un certain nombre de recommandations du DPO seront contraires aux objectifs du CDO, et il semble compliqué d'éviter un tel conflit d'intérêts. Ce scénario impliquerait la nécessité de prévoir une deuxième ligne de défense idoine. La création d’une filière data exige donc un certain degré de maturité.

Un second modèle organisationnel consisterait à fusionner ces deux postes et impliquerait que le DPO se trouve dans la deuxième ligne de défense, à l’instar du CDO. Les données concernées par la réglementation GDPR étant différentes des données risques, ce scénario nécessiterait toutefois de mettre en place un dispositif de première ligne de défense complet.

Enfin, il est également envisageable de désigner un DPO externe. Il permettrait d’éviter les éventuels conflits d’intérêts tout en bénéficiant d’une relation contractuelle libre. Cependant, il requiert un temps d’adaptation aux rouages de l’organisation, contrairement au DPO interne qui dispose d’une connaissance approfondie de l’entreprise et des interlocuteurs à solliciter. A ce stade, ce scénario n’est pas privilégié dans les organisations de taille importante telles que les banques traitant des données sensibles.

En conclusion, les données étant de plus en plus nombreuses et précieuses, leur protection est d’autant plus importante et les lois les concernant se resserrent. Le dispositif de gestion des données représente un enjeu à la fois business et conformité / juridique, dont l’implémentation sera spécifique à chaque organisation. C’est dans ce contexte que les CDO et DPO occuperont des fonctions à responsabilité croissante dans les banques traitant des données sensibles à grande échelle, pour atteindre les objectifs de performance, gestion des risques et conformité aux exigences réglementaires.

Pour aller plus loin

GDPR et marketing bancaire : contrainte ou opportunité ?