Eddy Alberto (Airbus Helicopters) "Je consacre 40% de mon temps au RGPD"

Alors que la Nuit du Data Protection Officer se rapproche, le DPO d'Airbus Helicopters présente au JDN les contours de son poste et ses projets.

JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation d'Airbus Helicopters et de quelle direction dépendez-vous ?

Eddy Alberto est le DPO d'Airbus Helicopters © Airbus Helicopters

Eddy Alberto (Airbus Helicopters) . Juriste de formation, je suis diplômé de l'université de droit d'Aix-en-Provence et titulaire d'un troisième cycle de défense et de sécurité de l'université de Toulon-Var. J'ai débuté ma carrière professionnelle comme consultant au sein d'Eurisys Consulting (Cogema), un cabinet de conseil dans l'organisation et la maîtrise des risques pour le secteur nucléaire.

En 1998, j'ai rejoint la direction juridique d'Eurocopter, qui allait devenir Airbus Helicopters, où j'étais en charge de la négociation de contrats. Puis, j'ai intégré la direction commerciale pour conduire des projets d'innovation et de "business development", avant de devenir, en 2014, correspondant Informatique & Libertés, une fonction rebaptisée DPO au sein du groupe. J'ai cumulé cette fonction avec celle de responsable du programme éthique et conformité.

Depuis juin, j'assure la fonction de DPO à plein temps afin de répondre à la transformation digitale du groupe Airbus ainsi qu'aux exigences du RGPD. A ce titre, je suis responsable de la protection des données personnelles chez Airbus Helicopters, en France comme à l'étranger. L'entreprise gère des données personnelles concernant ses employés, ses clients et ses fournisseurs. Soit quelque 70 traitements dont une quinzaine pour la partie RH.

Airbus a une organisation matricielle avec des responsables de la protection des données personnelles par activité : les avions de ligne, les hélicoptères, l'aérospatial et la défense. Je rapporte au DPO du groupe Airbus et dépends du département RH. Au sein d'Airbus Helicopters, je m'appuie à la fois sur les DPO nationaux et un réseau d'une quinzaine de correspondants au sein des principaux métiers (ventes, achats…), nommés " data protection representatives ".

Quels sont les principaux enjeux de votre action au sein d'Airbus Helicopters ?

"Nous sommes dans un processus d'amélioration permanente"

Les enjeux sont multiples. Avec la transformation numérique engagée, Airbus est à un tournant de son histoire. Le mouvement est inéluctable. Le digital va changer notre façon d'appréhender notre activité d'industriel, de gérer notre relation avec les fournisseurs, les clients. Il s'agit d'accompagner ces changements en garantissant la conformité des traitements de données personnelles. Cela suppose la mise en place de directives et de procédures ainsi que d'une gouvernance des données afin de s'assurer qu'elles sont appliquées.

Nous sommes dans un processus d'amélioration permanente. Des indicateurs permettent de mesurer l'exposition au risque et d'évaluer l'écart afin d'atteindre les standards exigés par la réglementation. Les "data protection representatives" nous remontent du terrain les projets en cours. De notre côté, nous les conseillons pour cadrer les usages et lutter contre le "shadow IT". L'objectif est de tendre vers une vue exhaustive de tous les traitements. 

Airbus Helicopters ne part pas de zéro. Nous tenons depuis longtemps un registre des traitements qui représente, en quelque sorte, le code source de la protection des données personnelles. Ce registre évolue avec le temps. 

Quelles premières mesures avez-vous prises à votre arrivée ?

"Il faut aménager la possibilité de conduire des audits réguliers chez ses fournisseurs"

A mon arrivée, j'ai procédé à un état des lieux et suivi une formation auprès de la Cnil. J'ai pu bénéficier des actions prises par mon prédécesseur comme la mise en place de la tenue du registre et du réseau de relais. Afin de faire connaître la fonction de DPO, j'ai rencontré le top management des départements IT, RH, ventes, marketing et achats. Ces managers ont identifié quels collaborateurs dans leurs équipes étaient particulièrement exposés aux risques et devaient faire l'objet d'une formation. Il a aussi fallu avec ces métiers s'interroger sur le caractère ou non sensible des traitements puis mettre en place les processus assurant leur conformité.

Les sous-traitants sont également concernés. La fonction achats doit veiller à ce qu'ils respectent les exigences de conformité. Le RGPD nécessite d'ajuster ou d'intégrer des clauses et des annexes aux contrats. Il s'agit, par ailleurs, d'aménager la possibilité de conduire des audits réguliers chez ses fournisseurs afin de vérifier la bonne exécution des mesures de protection et de sauvegarde des données.

Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?

Au-delà de la communication informelle que j'évoquais, j'ai utilisé les canaux spécifiques de la communication institutionnelle (intranet, TV interne, newsletter…). Chaque année, je profite du " data privacy day " pour promouvoir la fonction.

En ce qui concerne la sensibilisation des personnes exposées au risque, elle mixe formation physique et à distance. Par petits groupes, elles suivent 2 à 3 heures de formation en présentiel, complétée par des modules d'e-learning qui diffèrent selon leur activité. Ce cursus leur confère un vernis suffisamment épais pour ne pas se mettre en défaut avec la réglementation.

Pas besoin de motiver les apprenants. Tous les employés se sentent concernés par la protection des données détenues par leur entreprise. Le sujet fait la une de tous les médias. La "data privacy" est aussi évoquée durant dix minutes dans le parcours intégration que suit chaque nouvelle recrue. Enfin, j'interviens dans la "business academy", l'académie interne du groupe.

Quel est votre état d'avancement en ce qui concerne le projet de mise en conformité au RGPD ?

"La mission du DPO ne s'arrêtera pas en mai 2018"

Notre objectif est d'être totalement conforme à la date du 25 mai 2018. Nous n'avons pas découvert le texte une fois voté. Cela fait des années que nous suivons les avancées des travaux européens. Par ailleurs, des procédures étaient déjà posées et un registre tenu. Il nous faut compléter le dispositif pour tenir compte des obligations accrues qu'introduit le RGDP. Le règlement européen est un enjeu d'entreprise au regard du niveau de sanctions prévues, sans parler de l'impact d'une fuite de données sur la réputation de l'entreprise.

Je vois davantage ce règlement comme une opportunité. Sur la forme, il simplifie la mise en œuvre des obligations en offrant un cadre juridique homogène pour l'ensemble des Etats-membres de l'Union européenne. Nous avons des sociétés en France, en Espagne ou en Allemagne et chacune d'elles doit se conformer au droit national. Demain, nous aurons le même langage et le même référentiel.

Sur le fond, les exigences sont plus importantes. Le RGPD nécessite de réaliser des études d'impacts préalables à chaque traitement sensible, d'instaurer les principes de "privacy by default" et de "privacy by design", de revoir les procédures... Tout ce dispositif ne peut être qu'un vecteur d'amélioration de nos produits et services. La bonne gestion des données personnelles renforce le sentiment de confiance que nos employés, fournisseurs et clients placent en Airbus Helicopters. Le RGPD peut être même perçu comme un avantage concurrentiel.

Quels sont vos principaux chantiers à venir ?

Le chantier numéro un, c'est bien sûr la conformité au RGPD. J'y consacre 40 % de mon temps. La mission du DPO ne s'arrêtera toutefois pas en mai 2018. Il faudra ensuite garder ce niveau exigence et être en capacité de démontrer à tout moment notre conformité (accountability). Cela passe par le suivi d'indicateurs afin de nous évaluer en permanence.

Il s'agira aussi d'assurer une veille sur le RGPD. La jurisprudence éclairera certaines zones d'ombre, précisera des points faisant l'objet d'interprétations. Airbus Helicopters a la chance d'entamer sa révolution numérique en même temps que la mise en place du RGPD. Il est préférable d'avoir un règlement au moment où on doit l'appliquer. 

Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.

Décideurs / Data protection officer

Annonces Google