Toute entreprise qui collecte des informations personnelles a besoin d’un moyen de gérer ces informations et de s’assurer qu’elles sont utilisées de manière responsable. Une telle entreprise a également besoin d’un système pour tenir les gens informés des données collectées et de la manière dont elles sont stockées. La personne chargée de superviser ces efforts est le responsable de la protection de la vie privée. Le Chief Privacy Officer, ou CPO, est un cadre qui est chargé à la fois de la gestion des données et des relations avec les consommateurs. Il ou elle est responsable de s’assurer que la collecte et le stockage des données de l’entreprise sont conformes à la loi et que les clients se sentent en sécurité en continuant à partager leurs informations personnelles avec l’entreprise.
L’étendue de ce qui est considéré comme des « renseignements personnels » est en constante évolution. Les lois et réglementations de la plupart des pays du monde définissent l’identification personnelle et fixent des règles pour son utilisation et sa collecte, mais les définitions ne sont pas toujours cohérentes. Certaines données personnelles doivent être protégées presque partout, telles que les numéros d’identification de sécurité sociale ou fiscale et les dossiers et informations de santé. La question de savoir si des données telles que l’historique de navigation Web en ligne, les habitudes d’achat et les informations financières doivent être considérées comme suffisamment privées pour être protégées est beaucoup plus ambiguë.
Des lois telles que la Health Insurance Portability and Accountability Act aux États-Unis et la directive européenne sur la protection des données qui a été mise en œuvre dans tous les États membres de l’Union européenne définissent certaines lignes directrices concernant les pratiques appropriées en matière de protection des données. Les lois sur la protection des données sont également constamment modifiées et mises à jour au fur et à mesure que la technologie évolue. Le poste de responsable de la protection de la vie privée consiste à identifier les pratiques de protection des données de l’entreprise et à s’assurer qu’elles répondent aux normes juridiques de toute juridiction où l’entreprise exerce ses activités. Étant donné qu’une grande partie du travail est réglementaire, de nombreux responsables de la protection de la vie privée sont des avocats, mais ils n’ont pas à l’être.
Le responsable de la protection de la vie privée est également responsable de l’interface avec les clients et les clients pour leur assurer que (1) leurs données sont protégées, (2) que la protection est adéquate et (3) qu’ils doivent continuer à fournir des données. Depuis l’avènement d’Internet et sa pénétration dans la vie quotidienne, la collecte de données est devenue tout aussi importante que le stockage de données. À l’origine, une entreprise n’avait besoin d’un responsable de la protection de la vie privée que si elle avait l’habitude de stocker des informations sensibles dans le cadre de ses activités ordinaires, comme le serait une institution financière ou une entreprise de soins de santé. Dans le monde en ligne, cependant, l’information est souvent la devise principale.
Les entreprises présentes sur Internet peuvent savoir qui a visité leurs sites Web et d’où ils viennent. Ils peuvent déposer des cookies sur les ordinateurs des visiteurs pour voir où les visiteurs vont ensuite, et peuvent concevoir des publicités Internet à afficher en fonction de certaines caractéristiques des utilisateurs et des données amalgamées au fil du temps. Souvent aussi, les entreprises peuvent stocker des fichiers et des informations sur les clients en ligne, ce qui les rend consultables, mais aussi plus facilement exposées par inadvertance.
Il est généralement dans l’intérêt d’une entreprise d’utiliser des programmes d’archivage, des outils de collecte sur Internet et un suivi en ligne pour rester compétitive. C’est le chef de la protection de la vie privée qui s’assure que les pratiques de l’entreprise sont saines et bien communiquées au public. Pour qu’une entreprise soit protégée, il doit y avoir une surveillance, et pour que le public continue de se séparer de ses données, il doit y avoir confiance. Une obligation fondamentale du responsable de la protection de la vie privée est de satisfaire les deux.