Avez-vous les moyens de vous priver d’un «CPO»?

Par Alain Fortier

Les récents événements entourant des fuites de données sensibles ont eu un effet d’électrochoc, déclenchant une prise de conscience qui ne cesse de gagner en importance. Pour satisfaire aux exigences des employés, des citoyens et des clients, plusieurs organisations embaucheront un chef de la protection des renseignements personnels (ou Chief Privacy Officer [CPO]). Ce nouveau venu (pour certains!) à la table des décideurs sensibilisera et enclenchera des actions essentielles pour maintenir la confiance envers une organisation privée ou publique.

Pourquoi un autre membre à la table des décideurs?

Le rapport annuel du Data Protection and Privacy Officer Priorities 2019 fait état d’investissements faméliques et de l’absence de culture appropriée en ce qui a trait aux données privées, et ce, dans plus de 50% des organisations sondées. La nomination d’un CPO devrait s’inscrire dans une démarche structurée pour maintenir la confiance et la réputation d’une organisation. Pour certains, ce type d’embauche contribuera plutôt à la confusion actuelle des titres et des responsabilités.

Quel sera le rôle du CPO?

Le rôle habituel de la personne responsable de la protection des renseignements personnels est d’élaborer et de mettre en œuvre des politiques relatives à la gestion des données personnelles recueillies, conservées, utilisées, communiquées et, éventuellement, détruites dans le cadre des activités d’une organisation. Dans une organisation internationale, le CPO s’assure aussi de la conformité des pratiques de celle-ci en regard du cadre législatif en place dans chacun des pays où elle opère. Ce rôle tend à se préciser, et les zones de chevauchement avec les autres fonctions comme celles axées sur la sécurité et sur la protection des données se clarifient de plus en plus.

Quelle est la formation du CPO idéal?

Ayant émergé récemment, la profession de CPO est pour l’instant le résultat d’un parcours professionnel atypique et d’un profil académique peu ou mal défini. Toutefois, l’International Association of Privacy Professionals (IAPP) s’inscrit comme la source de référence des CPO. Cette initiative trouve écho auprès de membres corporatifs de divers domaines comme Accenture en conseil et technologie, Amazon Web Services (AWS) en service en infonuagique, Lockheed Martin en défense et sécurité et Oracle en progiciels et technologie de l’information. De plus, le magazine CPO aide les professionnels du métier et les nouveaux initiés à s’informer, tant sur l’actualité au quotidien que sur la protection des données et sur la cybersécurité.

Quel est le salaire moyen d’un CPO?

Selon le site PayScale, le salaire annuel moyen d’un CPO au Canada s’élève à 125 142$. Sachant que plus de 50% des organisations investissements moins de 250 000$ par année dans la cybersécurité et la protection des renseignements personnels, il y a fort à parier que plusieurs d’entre elles sursauteront devant cet engagement financier perçu comme additionnel. Par contre, une étude du World Economic Forum établissait que la réputation d’une compagnie contribue à 25% de sa valeur au marché. En tenant compte de cette contribution, la justification de l’embauche d’un CPO sera considérée sur une base différente.

Quel type d’organisation devrait embaucher un CPO?

Depuis 2000, des entreprises comme IBM et Facebook ont recours à des CPO dans la gestion de leurs activités. En 2018, la ville de New York a emboîté le pas en recrutant sa première CPO. Le rapport 2019 de la National Association of State Chief Information Officer dénombrait 13 états américains ayant en poste au moins un gestionnaire responsable de la protection des renseignements personnels. Le Conference Board of Canada, organisme de recherche appliquée indépendant, regroupe plusieurs intervenants du milieu pour valoriser la profession de CPO par la mise en place d’un forum d’échange, la formation par les pairs et l’étalonnage des pratiques à travers le Canada et les autres pays.

Les données représentent un actif essentiel en intelligence artificielle et dans la transformation numérique. La biométrie et l’Internet des objets continuent de générer un volume supplémentaire de données potentiellement sensibles. Toutes ces avancées suggèrent une gestion diligente des données confiées aux organisations par les employés, les citoyens et les clients. L’adoption de nouvelles technologies de l’information devient tributaire de la confiance des individus.

Et puis, avez-vous les moyens de vous priver d’un CPO?