25 mai 2018, date à laquelle les entreprises et organisations publiques devront se conformer au Règlement Européen sur la protection des données (GDPR).

Bien qu’il s’agisse d’un sujet juridique, l’impact sur l’informatique des entreprises est tel que ce GDPR jette un pavé dans la mare des organigrammes. Si le GDPR est un Trône de Fer, deux Familles clament leur héritage et le leadership. Notamment pour nommer la future « Main », le fameux DPO (Data Protection Officer).

Le Chevalier CIL et John CISO

Au Sud, l’héritier historique et naturel, la Direction Juridique (le Légal). Le GDPR est bien une Loi sous la tutelle de la CNIL. Le Légal a l’expérience de la stratégie avec son Chevalier CIL (Correspondant Informatique & Libertés) et qui plus est, il dispose d’une redoutable arme de persuasion, des Avocats-Dragons cracheurs de règlements, capables de réduire en cendres n’importe quelles clauses.

Au Nord, l’héritier factuel et militaire, la Direction des SI (la DSI). Le GDPR c’est aussi de la Sécurité informatique sous la tutelle de l’ANSSI. La DSI a l’expérience du terrain avec son Champion, John CISO (Chief Information Security Officer), le Commandant de la Garde de Nuit, une armée d’ingénieurs IT bons pour la potence et qui protègent le Mur contre les méchants « Hacker Walkers ».

Les Dragons sont tout à fait légitime, ils volent dans les hauteurs, proches du « Data Controller » (la Direction Générale). Ils sont un rempart institutionnel mais dépendant de la présence des troupes au sol de la Garde de Nuit qui maintient un Mur physique et reste proche du « Data Processor » (les Data Centre).

Même si la durée de vie est courte en attendant le prochain assassinat, le Trône c’est le Trône, alors qui prend la main?

La réponse est fournie par le GDPR lui même en introduisant dans le scenario un personnage improbable, le DPO, dont le rôle est tout aussi confortable que la Main du Trône de Fer. En parcourant la dernière version du « Guidelines on Data Protection Officers« , on découvre le casting d’un personnage hybride qui doit interpréter la Loi, suivre son application technique  sur le terrain et alerter en cas de situation critique et ce, en toute indépendance. Ce rôle « jurdiquo-technique » représente bien l’esprit du GDPR, une volonté de pilotage et d’harmonisation de la protection des données, de bout en bout des processus de l’entreprise. Entre l’enjeu technique et l’enjeu juridique, le Légal et la DSI se doivent désormais de parler le même discours.

Le CIL et le CISO, quand Tyrion rencontre Hodor.

Entre les Dragons et la Garde de Nuit, surgit le DPO. Un mélange entre « Tyrion » et « Hodor »; assez subtil pour survivre à tous les acteurs en présence et assez grand des épaules pour tenir la porte fermée contre toute invasion. Concrètement, l’application du GDPR incite les entreprises à revoir les organigrammes en créant une synergie entre le CIL et le CISO, sous l’oeil bienveillant du DPO.