Hélène Legras (New Areva) "Le RGPD impose une vraie évolution de notre métier"
Alors que la Nuit du Data Protection Officer se rapproche, la DPO de New Areva analyse les conséquences du RGPD chez le spécialiste de l'énergie nucléaire.
JDN. Quel est votre parcours ? Quels sont votre rôle et votre place dans l'organisation ? Pourquoi avoir choisi de devenir DPO ?
Hélène Legras (New Areva). Je suis juriste de formation. Je suis entrée chez Framatome en 1991 (devenu Areva en 2001) pour m'occuper des sujets liés à la protection des données personnelles, et donc des questions relatives à la loi Informatique et Libertés de 1978 puis à la directive européenne de 1995. En mars 2007, je suis devenue correspondante informatique et libertés (CIL), une fonction mutualisée au niveau du groupe. Le 25 mai 2017, j'ai naturellement été désignée data protection officer (DPO) du groupe New Areva. Je suis directement rattachée au directeur juridique du groupe.
Nous n'avions pas d'obligation à nommer un DPO au titre du Règlement général de protection des données à caractère personnel (RGPD) mais le G29 recommande de le faire. Et c'est, pour la Cnil, la première étape dans la mise en place du RGPD. Nous avons considéré que nommer un DPO nous conformait à ces deux vues tout en s'inscrivant dans la suite logique de l'histoire de nos relations avec la Cnil. Cette décision confirme, en outre, notre attachement à la protection des données personnelles.
Ce qui change avec le Règlement, c'est que nous ne sommes plus dans un système déclaratif, où il suffisait de tenir un registre et de faire un bilan annuel, mais dans un système de conformité qui impose de mettre en place une organisation appropriée et transversale. C'est pourquoi les missions du CIL et du DPO sont différentes. Mon rôle de DPO consiste donc à installer et à piloter l'organisation qui va assurer la conformité du Groupe. Cela étant, comme nous appliquons la loi de 1978 et la directive de 1995, une partie du chemin a déjà été parcourue.
Concrètement, je coordonne un réseau de correspondants internes présents dans les différentes directions de l'entreprise : la DSI, qui traite les données, la DRH, qui les collecte, et aussi, les archivistes, la communication, l'audit et les assurances. J'apprécie ce travail en réseau. En parallèle, j'anime un réseau de DPO d'autres entreprises dans le cadre de l'Association des DPO (ADPO) dont je suis la vice-présidente.
Quels sont les principaux enjeux liés à la donnée personnelle chez New Areva et à vos actions ?
"Ce réseau de correspondants est essentiel car les analyses d'impact se mènent en collaboration étroite avec nos responsables métier et la DSI"
New Areva est un groupe qui évolue dans le BtoB. Les données dont nous parlons sont donc surtout des données d'employés, soit celles d'environ 20 000 salariés répartis dans quatre continents. Nous devons assurer le respect de leurs données au titre du Règlement, c'est-à-dire les informer de leurs droits sur leurs données, mettre en place les procédures qui vont leur permettre d'y accéder et de les rectifier, systématiser les demandes d'autorisation de publication de photos, etc. En complément, nous devons localement appliquer les réglementations propres au pays. En France, par exemple, la loi Lemaire nous oblige à inscrire les durées de conservation dans les mentions légales. En Allemagne, où la désignation d'un DPO était obligatoire même avant la publication du RGPD, d'autres spécificités locales s'appliquent.
Quelles actions concrètes avez-vous menées depuis votre nomination ?
J'ai commencé par former et sensibiliser le management et les opérationnels dès avril 2016, date à laquelle le Règlement est devenu applicable. Il était important que tout le monde sache ce qu'il fallait faire et respecter. J'ai aussi formé les directions juridiques des filiales hors d'Europe, comme les Etats-Unis, afin qu'elles répercutent le Règlement dans le fonctionnement de leurs filiales, en cas de traitement de données des salariés européens.
Le 25 mai 2017, un an exactement avant la date butoir de la mise en conformité, j'ai informé la Cnil de ma nomination. Cela, à nouveau, pour afficher notre volonté et montrer qu'un pilote se tenait prêt à lancer la démarche de mise en conformité.
Mon réseau de correspondants était jusque-là essentiellement constitué d'opérationnels au sein de la DSI et de la DRH. Je l'ai étendu à d'autres directions : la Communication et les Archivistes, qui sont amenés à manipuler des données, l'Audit, car le RGPD prévoit de faire des audits de conformité, et les Assurances, qui nous accompagnent dans les procédures d'analyse d'impact et de risques. Ce réseau de correspondants est essentiel car les analyses d'impact se mènent en collaboration étroite avec nos responsables métier et la DSI, ainsi qu'avec les Assurances qui participent aux analyses des risques.
Enfin, nous procédons progressivement aux différentes actions de mise en conformité, comme l'ajout dans le registre de traitements des informations prévues par l'article 30 du Règlement.
Comment communiquez-vous en interne, au-delà du cercle des DPO, pour sensibiliser et informer sur votre action ?
Comme évoqué, j'organise des réunions de présentation. Je privilégie les rencontres physiques car elles ont plus d'impact. Au-delà, j'ai aussi publié sur l'intranet de la direction juridique des articles de presse et une série de fiches pédagogiques sur les différentes notions qui composent le sujet : qu'est-ce qu'une donnée à caractère personnel, qu'est-ce que la Cnil, qu'est-ce qu'un CIL, etc.
Vous êtes vice-présidente et cofondatrice de l'Association des DPO ? Pourquoi cette association ? Quelle importance accordez-vous à ce rôle ?
"Il reste aussi à déployer, en coordination avec la DSI, les procédures de notification des violations de données à caractère personnelles"
Nous avons créé l'ADPO en janvier 2016 avec l'avocat Alain Bensoussan parce qu'il nous semblait important d'aider les CIL des grandes entreprises française à devenir des DPO. Comme je le disais, le RGPD impose une vraie évolution de notre fonction. Et les enjeux sont élevés. L'association est un lieu où nous pouvons partager nos expériences et nos pratiques.
Nous venons d'ailleurs de publier un ouvrage collectif sous le titre "Le Data Protection Officer, une nouvelle fonction dans l'entreprise" (éditions Bruylant, Groupe Larcier, août 2017), destiné à aider les DPO à accomplir leurs missions.
Aujourd'hui, plus de 70 grands groupes français adhèrent à l'Association. Cela nous permet aussi de porter une voix unique auprès de la Cnil. Nous échangeons régulièrement avec ses représentants pour leur faire part des difficultés que nous rencontrons ou leur présenter nos outils de travail. La Commission a d'ailleurs manifesté un grand intérêt à l'égard de notre démarche car elle a besoin du retour des entreprises sur l'applicabilité des règlements. La prochaine réunion de l'ADPO sera le 25 mai 2018 et nous y inviterons la Cnil.
Quels sont vos chantiers à venir ?
Nous devons mettre à jour nos procédures : mentionner la nouvelle réglementation, informer les collaborateurs de leurs droits, intégrer les nouvelles notions et les évolutions par rapport aux lois précédentes, pour le droit d'accès par exemple. Il reste aussi à déployer, en coordination avec la DSI, les procédures de notification des violations de données à caractère personnelles. Et bien sûr, à actualiser en permanence le registre en fonction de l'évolution du groupe.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.