Le Data Protection Officer (DPO) : chef d’orchestre de la conformité

Cybersécurité Responsable Sécurité
Cybersécurité Responsable Sécurité

Temps de lecture : 5 minutes

Publié le 13 mai 2020

Relativement récent et peu connu, le métier de Data Protection Officer (DPO) est pourtant primordial pour les entreprises. Anciennement nommé Correspondant Informatique et Liberté (CIL), il a été façonné par la mise en place du Règlement Général sur la Protection des Données (RGPD). Explications avec Jérôme Avot, DPO chez Faurecia.

Signé en 2016 et mis en application le 25 mai 2018, le règlement européen baptisé RGPD oblige les entreprises qui sont régulièrement amenées à manipuler et stocker des données personnelles à nommer un DPO, alias Data Protection Officer. Qu’il soit salarié ou externe, il est en charge de la bonne gouvernance des données personnellesConsulté avant tout traitement de données, il a un droit de regard sur la sécurité informatique et juridique de la structure qui l’emploie. Véritable chef d’orchestre de la conformité, il est donc un maillon essentiel pour le bon développement de l’entreprise.  

Jérôme AVOT

DPO chez Faurecia

Leader dans l’industrie automobile, Faurecia est une entreprise technologique qui offre à ses clients des solutions innovantes dans quatre grands secteurs d’activité : les sièges de voiture, leur intérieur, leurs composants électroniques et la mobilité verte.

Vous-même en charge de la protection des données chez Faurecia, comment définiriez-vous votre métier et votre rôle ?

Jérôme Avot  Le Data Protection Officer coordonne les différentes actions relatives au respect de la vie privée des salariés, clients, fournisseurs, candidats et utilisateurs des services de l’entrepriseAutrement dit, il garantit le respect des différents volets du RGPD, le règlement européen qui régit la protection des données. Son le est à la croisée du juridique et de l’IT et nécessite trois grandes catégories de compétences professionnelles 

  • Juridiques

     Afin d’encadrer la sous-traitance. Légalement, l’entreprise est responsable des données qu’elle collecte et traite, même lorsqu’elle décide de faire appel à des sous-traitants. En tant que responsable de traitement, c’est au DPO de s’assurer que ces derniers respectent les normes du RGPD. Pour cela, il peut exiger des certifications. 

  • Techniques et opérationnelles

  • Pour gérer certaines notions clés comme le chiffrement, l’anonymisation, la sécurité ou la durée de rétention ou le chiffrement des donnéesCette dernière est un des points fondamentaux du RGPD. Avant lui, les entreprises pouvaient garder indéfiniment des données personnelles, même lorsqu’elles n’en avaient plus l’utilité. Désormais le temps de conservation est défini dès la conception du projet, en fonction de l’objectif fixé. Le règlement ne précise pas de délais, c’est donc au DPO d’évaluer les bonnes périodes de rétention en fonction des besoins et des risques de fuite. Ses choix doivent être justifiés dans un document appelé le registre. Les entreprises y stockent toutes les informations sur les traitements de données qu’elles effectuent et les mesures de sécurisation mises en place.

  • Pédagogiques

  • Pour sensibiliser et former les collaborateurs à la protection des données personnelles. Chez Faurecia, il n’y avait pas de DPO avant moi, c’était une création de poste. À mon arrivée, nous avons mis en place plusieurs programmes de formation à destination des collaborateurs concernés par ces sujetsDes séminaires dans nos centres R&D pour les équipes innovation, des conférences via Skype ou Teams pour les métiers sensibles comme les RH ou le service informatique, ou encore des MOOC pour l’ensemble de nos collaborateurs. Grâce à ces efforts, plusieurs milliers d’employés de Faurecia ont été sensibilisés aux compétences en matière de  sécurisation et de respect des données personnelles.
  • Lire aussi Conformité : les 6 mots à connaître pour briller auprès de la DSI

  • Livre Blanc

    Transformation numérique : la défense et le renseignement

    Les opérations militaires et de renseignement adoptent facilement la transformation numérique pour améliorer leur préparation, moderniser leur environnement de travail et renforcer la collaboration.

    Télécharger le livre blanc

Quel impact a eu la mise en œuvre du RGPD au sein de Faurecia ?

Le RGPD a eu un impact très positif pour le groupe dans la mesure où il éveillé les consciences sur les risques liés à l’utilisation des données personnelles 

Très concrètement, nous avons réalisé l’inventaire de l’ensemble de nos applications contenant ce type de donnéesCe fut un travail titanesque mais primordial. Il nous a permis d’effectuer une analyse du risque des applications qui contiennent les informations les plus sensibles, pour pouvoir ensuite les mettre en conformité.

Avant la mise en œuvre du RGPD, les questions de sécurisation et de conservation des données étaient traitées mais de manière centralisée. Par conséquent, les réponses n’étaient pas toujours homogènes, ce qui complexifiait et altérait la protection des données. Grâce à ce travail d’inventaire et d’analyse, nous avons pu prendre les bonnes décisions et instaurer de bonnes pratiques dans les équipes concernées. Le RGPD a donc permis de faire bouger les lignes pour une sécurisation accrue des données. 

Nous avons finalisé l’inventaire en janvier 2018 après 8 mois. Il nous a ensuite fallu 6 mois pour mettre en conformité les 20 applications les plus critiques. Il s’agissait d’applications RH. Nous sommes sur le point de finaliser la mise en conformité de l’intégralité de notre parc applicatifs. Un millier sont d’ores et déjà traitées. Cela signifie que nous avons établi le mode de stockage des données et sa durée, que nous serions en mesure de justifier en cas de contrôle par la CNIL. 

Lire aussi Le RGPD, une opportunité ? 4 arguments pour le prouver

Comment assurez-vous la pleine conformité de vos applications en interne ?

En parallèle à notre travail de mise en conformité, nous avons mis en place une gouvernance sur ces sujets. Elle est assez simple et repose sur trois postes en plus du DPO.   

  • Le Data Protection Coordinator. Présent dans chaque pays européen, il est chargé de collecter et traiter les évolutions des applications locales. 
  • Le Sponsor. Nous en avons désigné un pour chacune de nos 4 grandes activités : Faurecia SeatingFaurecia InteriorsFaurecia Clarion Electronics et Faurecia Clean Mobility. Chacun m’aide à faire remonter les projets business qui pourraient impliquer du traitement de données personnelles.  
  • L’Application owner. Il y en a un par application, dont la responsabilité est d’assurer sa conformité. C’est notamment pour cette tâche que le programme de formation professionnelle était important. Il fallait que les applications owners soient les plus autonomepossible dans la compréhension et la mise en application du règlement au niveau de leur périmètre. Au moment de la conception, nous mettons en œuvre des principes de privacy by design. 

  • Webinar

    Améliorez la sécurité de vos PC dans le Cloud avec Windows

    76% des décideurs IT en charge de PC et technologies prévoient d’augmenter les investissements au cours des deux prochaines années dont 36 % s’attendent à un double investissement.

    Je m’inscris

Avez-vous dû adopter de nouveaux outils spécifiques pour vous mettre en conformité avec le RGPD ?

Lorsque nous avons commencé à établir notre registre, nous utilisions Excel. Mais très vite cela s’est avéré compliqué d’utiliser un simple fichier partagé. Nous avons donc opté pour la mise en place d’une application spécifique, développée en interne. Elle nous permet de gérer le registre des traitements. À chaque application correspond une fiche, régie par un application owner responsable et un certain nombre de contributeurs. Son principal atout est que tout le monde peut contribuer aux fiches de manière traçable et sécurisée.

En complément, nous utilisons au quotidien OneDriveIl nous permet de partager avec un certain nombre d’utilisateurs des documents, notamment techniques, qui nous viennent de nos prestataires. Nous utilisons également un autre outil extrêmement pratique : Microsoft TeamsNous y stockons toute la documentation relative aux différents projets et aux aspects de mise en conformité de ces derniers. Il nous permet aussi d’échanger et de collaborer sur ces sujets relatifs à la protection des données tout en gardant une traçabilité et en contrôlant les accès. Et cela nous rend grandement service en cas de contrôle ou de nécessité de justifier nos choix.

A la une

Business decision maker (BDM) using mobile phone to complete multi-factor authentication to prepare to work from home.
Cybersécurité PME-TPE
Cybersécurité PME-TPE

Enjeux de cybersécurité : AXA & Microsoft par Réseau Entreprendre

L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre a demandé à Philippe Limantour, Directeur Technologique et Cybersécurité chez Microsoft et Thierry Piton, Souscripteur Expert Cyber Risques chez AXA France, de […]

Lire l'article
Nous pouvons voir deux immeubles différents.
Cloud
Cloud

Avanade et Accenture: Innover pour transformer l’industrie

L’innovation est au cœur de l’industrie, et l’industrie est le fer de lance de l’innovation. C’est en tout cas dans cet état d’esprit qu’Accenture/Avanade, accompagne la transformation de ses clients. Laurent Curny, Directeur Général d’Avanade France, Belgique et Pays-Bas, Franck Joudiou, Managing Director AMBG (Accenture Microsoft Business Group) France au sein d’Accenture, Jean-Pierre Riehl, Directeur […]

Lire l'article
Voir tous les articles Lire tout les articles