Thomas Elm (AccorHotels) "Nous travaillons sur la fiche client AccorHotels Customer Digital Card"

Alors que la Nuit du Data Protection Officer se rapproche, le DPO du groupe hôtelier présente au JDN ses dernières innovations numériques.

Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est aujourd'hui votre place dans l'organisation d'AccorHotels ?

Thomas Elm (AccorHotels). Je suis avocat. J'ai commencé ma carrière en 2007 dans le cabinet Feral-Schuhl/Sainte-Marie, spécialisé dans le droit lié aux nouvelles technologies. J'y ai forgé mes compétences dans ce domaine et notamment dans le droit à la protection des données à caractère personnel. J'y suis resté sept ans. En février 2015, j'ai rejoint AccorHotels en tant que juriste, notamment en charge des sujets de protection des données du groupe.

J'ai ensuite été naturellement pressenti pour occuper le rôle de DPO Groupe, puis nommé à ce poste début 2017. Il s'agit d'une fonction entièrement nouvelle car nous n'avions pas de Correspondant Informatique et Libertés jusque-là. Je fais partie de la direction Juridique et je dépends directement du directeur Juridique Groupe et Secrétaire du Conseil.

Ce rôle me passionne car il me place au cœur de quatre sujets : au cœur du droit, car c'est une occasion exceptionnelle dans une carrière de juriste de pouvoir défricher un texte entièrement nouveau et d'assumer une fonction elle-même inédite ; au cœur de l'innovation liée à la donnée et à son usage ; au cœur de l'entreprise, car je travaille avec tous les métiers et je me trouve à la croisée des orientations stratégiques et des actions opérationnelles ; et enfin au cœur d'un enjeu de société. La protection des données à caractère personnel dépasse en effet le cadre professionnel et nous concerne tous en tant que citoyen.

Quels sont les principaux enjeux de votre action au sein d'AccorHotels ?

"Nous prenons des initiatives qui dépassent le cadre de la conformité au Règlement"

Avant tout, il y a un enjeu de confiance. Sans être sensibles au sens de la réglementation, les données client que nous manipulons sont intimes. Elles concernent des séjours dans nos hôtels. Préserver leur confidentialité est donc capital. Dans le même temps, nous devons les collecter pour fournir les services personnalisés et l'expérience attendus, notamment dans le cadre de nos programmes de fidélité. Pour rester dignes de la confiance de nos clients, nous devons respecter leurs différents niveaux de sensibilité à ce sujet. Il en va de même pour les données de nos collaborateurs et de nos partenaires.

Nous évoluons dans un contexte complexe du fait de notre forte présence internationale. Nous traitons les données de manière centralisée mais nos points de collecte sont multiples (guichet, téléphone, e-commerce, etc.). Ce qui implique des transferts de données transnationaux. Nos points de contact sont en outre hétérogènes. Ainsi, certains hôtels sont franchisés tout en portant la marque… et nous devons désormais tenir compte du développement de nouveaux services, comme l'offre d'hébergement locatif privé.

Quelle a été votre démarche sur le sujet de la protection des données à caractère personnel ?

Pour les raisons évoquées plus haut, AccorHotels aborde le sujet de manière volontariste. Nous prenons des initiatives qui dépassent le cadre de la conformité au Règlement et qui ont souvent anticipé sa publication. Ainsi, nous travaillons sur une future fiche client, appelée AccorHotels Customer Digital Card, qui nous permettra de gérer pour chaque client l'équilibre qu'il souhaite entre personnalisation et non-diffusion de ses données personnelles. La nomination anticipée du DPO participe de la même démarche.

Quelles premières mesures avez-vous prises à votre arrivée ?

"Un grand nombre de procédures requises par le Règlement existent déjà ou s'en rapprochent"

Dès le début 2016, j'ai démarré une cartographie de nos principaux traitements de données à caractère personnel pour nous préparer à l'industrialisation et à la gestion des processus de mise en conformité. Très vite nous avons également mis en place une gouvernance de la donnée afin de nous donner les moyens de traiter le sujet de manière large et indépendamment du Règlement. L'instance, appelée Data Governance Board, est pilotée par notre Chief Data Officer. Elle réunit une fois par trimestre les acteurs de l'entreprise susceptibles d'être concernés par le sujet : le DPO, l'IT, l'e-commerce, la relation client, la business intelligence, les RH, la finance... L'instance est organisée en deux sous-commissions : la première traite des sujets d'architecture pour harmoniser nos définitions de la donnée, et la deuxième des questions de conformité et d'éthique. Nous pensons qu'indépendamment de la conformité peuvent se poser des questions de cet ordre que nous souhaitons pouvoir soumettre au Comité Éthique.

Après la publication du texte du Règlement, nous avons lancé les différents chantiers de mise en conformité en fixant des priorités, sachant que nous ne partons pas de zéro. Un grand nombre de procédures requises par le Règlement existent déjà ou s'en rapprochent.

Concrètement, nous nous sommes équipés d'une plateforme de gestion du registre des traitements que nous sommes en train d'alimenter. Nous avons intégré dans la plateforme la procédure dite de protection des données par défaut et dès la conception (privacy by design, ndlr) pour systématiser les bonnes pratiques qui assureront la conformité.

Sur ce dernier sujet, l'enjeu est que le métier utilise positivement la plateforme. Notre challenge est de le convaincre que s'interroger en amont sur l'utilisation des données peut non seulement faire gagner du temps par la suite mais aussi générer des opportunités : optimisation des ressources, développement de nouveaux services, etc.

Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?

"Un gros chantier est le déploiement de notre projet de Binding Corporate Rules"

A ce stade, je privilégie les rencontres avec les équipes, notamment dans le cadre des comités de direction, afin d'expliquer notre démarche. J'en profite pour rétablir certaines vérités sur le Règlement et ses implications. Cela me permet également d'être identifié comme le référent sur le sujet.

Nous allons par ailleurs démarrer la diffusion d'un pack de communication contenant des vidéos et des quiz pour sensibiliser les collaborateurs. Nous préparons aussi un module d'e-learning à l'intention de profils plus ciblés.

Quels sont vos principaux chantiers à venir ?

Un gros chantier est le déploiement de notre projet de Binding Corporate Rules (ensemble de règles internes encadrant au sein d'un groupe les transferts de données personnelles hors de l'Union européenne, ndlr). Ce projet avait démarré avant mai 2016. Nous l'avons fait évoluer pour l'aligner a minima sur le Règlement afin qu'il nous serve également d'outil de conformité.

Nous allons aussi réviser les processus relatifs au droit des personnes concernées. Nous allons les optimiser afin de raccourcir les délais de traitement des demandes, désormais fixés à un mois, en tenant compte de l'augmentation prévisible de leur volume.

Enfin, nous devons amener à leur terme tous les chantiers de mise en conformité non encore aboutis à ce jour, notamment la révision des clauses contractuelles avec nos partenaires, qui prendra du temps. 

Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.