La fonction de Délégué/déléguée à la Protection des Données (DPD/DPO) ne devrait-elle pas collaborer avec la fonction RSE ?
octobre 2023 par AFCDP
La fonction de Délégué à la Protection des Données (DPD ou DPO pour Data Protection Officer) est directement liée à la protection des données personnelles au sein d’une organisation, conformément au Règlement Général sur la Protection des Données (RGPD) de l’Union européenne. Son rôle principal est de veiller à ce que l’entreprise respecte les réglementations en matière de protection des données et de s’assurer que les données personnelles sont traitées de manière légale et éthique.
Le département Responsabilité Sociétale des Entreprises (RSE) est responsable de la mise en œuvre des initiatives visant à intégrer des considérations sociales, environnementales et éthiques dans les opérations de l’entreprise. La RSE englobe un large éventail de domaines, tels que la durabilité environnementale, les droits des travailleurs, l’engagement communautaire, etc.
Comment se fait-il que le département RSE, en charge de vérifier les pratiques de l’entreprise, mobilise si peu la fonction DPO et intègre peu la question de la protection des données dans l’exercice de leur mission ? Bien que la fonction DPD/DPO et le département RSE aient des domaines de responsabilité différents, il peut y avoir de réelles synergies entre eux.
L’intégration de la protection des données personnelles dans les initiatives RSE peut être considérée comme une pratique responsable et éthique. Si une entreprise collecte des données personnelles dans le cadre d’initiatives RSE (comme des enquêtes sur les conditions de travail des employés), il est important de s’assurer que ces données sont traitées conformément aux réglementations de protection des données et que la vie privée des individus est respectée.
Bien que la fonction DPO et le département RSE aient des responsabilités distinctes, il peut être bénéfique pour une entreprise de faciliter la communication et la collaboration entre ces deux domaines pour garantir une gestion responsable et conforme des données personnelles dans le cadre des initiatives RSE.
DPO et RSE : cassons les silos
L’entrée en en application du RGPD en 2018 a donné naissance à une nouvelle fonction qui s’est installée progressivement dans les entreprises : celle du Délégué à la Protection des Données (DPD/DPO). Pourtant, même 5 ans plus tard, la question de sa position dans l’organigramme se pose toujours. Si le Règlement ne donne pas de précision sur le sujet, la nécessaire neutralité de la fonction interdit de l’envisager à la Direction Marketing et l’exigence de son indépendance suppose qu’elle puisse rapporter facilement et directement à la Direction, comme l’exige le RGPD.
Les principales directions de rattachement sont la Direction Générale, la Direction Juridique, la Direction Conformité / Audit. Notons que le rattachement à une Direction RSE apparaît rarement dans les statistiques. Au-delà des organigrammes, il est surprenant de voir à quel point les équipes DPO et RSE semblent s’ignorer dans l’exercice de leur métier. Les entreprises les plus investies sur le développement durable ont tendance à agir comme les autres : il n’y a pas forcément de relation directe entre les aspects RSE et une éthique particulière concernant l’utilisation des données des clients.
Pour réconcilier ces deux missions qui participent à faire l’entreprise responsable, la fonction DPO pourrait collaborer plus étroitement avec l’équipe RSE. Cette option organisationnelle mérite d’être envisagée. Elle témoignerait du fait que le respect des données des personnes, clients comme collaborateurs, s’inscrit dans la responsabilité sociétale de l’entreprise. Elle participerait à faire en sorte que le respect du RGPD soit moins perçu comme une contrainte juridique mais soit bien un projet mobilisateur en interne.
Avec l’arrivée des nouveaux textes encadrant le traitement de toutes les données comme les Règlement sur les données (Data Act), sur la gouvernance des données (DDGA) et sur l’Intelligence artificielle (IA Act), le métier de DPD/DPO va logiquement évoluer vers une fonction plus globale, se rapprochant d’un « Data Ethics Officer ».
Alors pourquoi ne casserions-nous pas les silos DPD/DPO et RSE pour consolider l’ambition d’une entreprise responsable !