Le 25 mai dernier, le règlement européen sur la protection des données personnelles (RGPD) entrait en application en France. Avec ce texte, la responsabilité des entreprises s’est vu sensiblement renforcée. En effet, sous peine de sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires, celles-ci doivent désormais assurer une protection optimale des données à caractère personnel recueillies par leurs services (collaborateurs, clients ou partenaires) et être en mesure de le prouver. Parmi les nouvelles obligations qui pèsent sur les entreprises en matière de traitement des données, le RGPD prévoyait également la désignation d’un délégué à la protection des données (DPO), au sein de chaque entreprise, comme garant du respect du règlement européen en interne et interlocuteur des autorités de contrôle telles que la Commission nationale des droits et libertés (la CNIL).

Une nomination qui pour la plupart des PME notamment, qui se sont intéressées très tardivement à la mise en œuvre du règlement européen en interne, s’est traduite par une nécessité de recruter. Or, cette tâche a vite tourné au casse-tête : dénicher le bon profil pour un poste qui n’existait pas auparavant… d’autant que la forte demande de ce type de poste a entraîné une pénurie de candidats… Pourtant, beaucoup d’entre elles ont malicieusement préféré jouer la carte de la promotion en interne.

La nomination d’un CIL avant celle du DPO

En effet, la plupart des DPO présents aujourd’hui dans les entreprises n’ont pas intégré les effectifs la veille de l’entrée en vigueur du RGPD. Ce sont le plus souvent des collaborateurs déjà présents dans le groupe et maîtrisant parfaitement l’environnement professionnel dans lequel ils évoluent qui ont été choisis pour remplir cette nouvelle fonction. «Je suis arrivé en 1998 en tant que juriste à la direction juridique, se souvient par exemple Eddy Alberto, délégué à la protection des données d’Airbus Helicopters. Mais je possédais une culture de la protection des informations grâce à mon troisième cycle défense et sécurité qui m’a formé à la protection des données sensibles.»

A l’instar d’Eddy Alberto, une grande majorité des DPO ont un profil juridique, avec une appétence pour le digital. «J’ai rejoint La Française des Jeux en 2009 comme juriste spécialisée dans la Regtech (réglementation des nouvelles technologies)», se rappelle Marine Ahuat-Woodge, déléguée à la protection des données de la Française des Jeux. C’est également le cas de Camille Porgès, DPO chez Eutelsat, recrutée en 2010 alors qu’elle était avocate, ou de Thomas Elm, lui aussi ancien avocat spécialisé dans les nouvelles technologies et actuel DPO d’AccorHotels. «En 2015, j’ai rejoint AccorHotels en tant que juriste, notamment en charge des sujets de protection des données du groupe», constate-t-il.

Aussi, après avoir géré pendant quelques années ces questions de protection des données personnelles au sein des directions juridiques, ces experts ont été nommés correspondants informatiques et liberté (CIL), sorte de DPO avant l’heure. Cette fonction a été instituée dans les entreprises à la suite de la refonte en 2004 de la loi informatique et liberté de 1978, déjà destinée à la sécurité des données personnelles détenues par tous les services des entreprises et à leurs conditions d’utilisation. «En 2013, la direction des affaires juridiques a pris en charge la protection des données personnelles d’Eutelsat et j’ai été désignée correspondant informatique et libertés (CIL), explique Camille Porgès. Nous avions donc déjà travaillé le sujet et mis des outils en place lorsqu’il a fallu travailler sur la mise en conformité au RGPD.»

Le CIL pour anticiper l’entrée en vigueur du RGPD

Les nominations de CIL se sont ensuite accélérées au moment où débutaient les discussions autour du RGPD, en 2012. «Nous nous tenions informés et suivions avec attention les travaux préparatoires du RGPD afin de préparer au mieux notre mise en conformité», confie Eddy Alberto. Très vite, les CIL ont commencé à étudier en interne les potentiels impacts du futur règlement sur leurs processus internes. «Nous avons très tôt pris conscience de l’ampleur du travail à mener, ce qui nous a permis d’être proactifs, d’anticiper et d’impliquer les équipes sur les actions à mener, pas seulement au niveau européen mais dans l’ensemble du groupe, explique Camille Porgès.»

Toutefois, le vote du RGPD en 2016 a obligé les CIL à passer à la vitesse supérieure. C’est d’ailleurs à cette occasion que ces futurs DPO ont réellement pu jouer pleinement leur rôle de chef d’orchestre en matière de pilotage des traitements d’informations, en insufflant les actions prioritaires à mener. «En 2016, le groupe Société Générale a engagé une mutation de notre organisation pour nous conformer aux exigences du futur texte et nous permettre de renforcer notre positionnement de tiers de confiance de nos clients, indique Antoine Pichot, DPO de Société Générale. Dans le cadre d’un programme dédié, soutenu par la direction générale, chaque thématique du règlement européen, comme le droit des personnes ou la sécurité des données, a été déclinée en autant de groupes de travail puis relayée dans toute l’entreprise. Ce travail a permis la mise en place des procédures internes de la gouvernance garantissant la protection des données des personnes, en particulier celles de nos clients et de nos collaborateurs.»

Si la plupart des délégués à la protection des données sont, depuis leur nomination, naturellement rattachés à la direction juridique, l’ampleur de la tâche les a obligés à travailler avec d’autres équipes comme le marketing, les RH, les services de sécurité informatique, la direction financière. 

La promotion de DPO pour répondre aux exigences du RGPD

Ayant finalisé le chantier sous la casquette de DPO, les ex-CIL assurent avoir mené à leur terme les principaux chantiers engagés. «Dans un premier temps, nous nous sommes assurés d’être en mesure de démontrer à la CNIL que nous respections bien le règlement européen et de pouvoir lui prouver que nous engagions bien tous les moyens nécessaires à cette fin. Nous sommes aujourd’hui dans le détail afin d’améliorer et fluidifier au mieux les process de conformité mis en place à tous les niveaux», observe Jennifer Coscas, DPO de SeLoger.com. Preuve en est, aucune entreprise n’aurait, pour le moment, enregistré une explosion des réclamations clients avec l’entrée en vigueur du règlement européen. «Peu avant le 25 mai, nous avions ouvert une boîte mail pour être alerté à chaque demande d’un client, poursuit Jennifer Coscas. Or, sur environ 10 millions d’utilisateurs, sur le mois de septembre une centaine de demandes de droits RGPD ont été recensées sur cette boîte.»

Dorénavant, reste aux DPO à maintenir ce quasi faux pas. «Ma mission est de réexaminer et actualiser nos actions pour assurer une protection des données en continu», insiste Jennifer Coscas. Un impératif de vigilance loin d’être évident car l’émergence de nouvelles technologies nécessite en permanence de nouveaux ajustements. «Mon rôle va désormais consister à accompagner les collaborateurs qui développent de nouveaux services ainsi que les sous-traitants, les fournisseurs… et de s’assurer à l’avenir que la data soit systématiquement prise en compte dès la conception d’un nouveau produit», constate Marine Ahuat-Woodge. Une nouvelle mission qui s’inscrit donc sur le long terme.