Dominique Bricot (ADMR) "La veille fait pleinement partie du travail du DPO"

Alors que la Nuit du Data Protection Officer se rapproche, le DPO du réseau associatif ADMR explique comment il orchestre la gestion des données personnelles dans 2 700 associations locales.

Plus important réseau associatif français dédié aux services à la personne, l'ADMR regroupe 2 700 associations locales implantées dans toute la France.

JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation d'ADMR, de quelle direction dépendez-vous ?

Dominique Bricot (ADMR). Je suis aujourd'hui directeur de projets rattaché à la direction générale de l'Union nationale ADMR, après avoir été directeur départemental, puis responsable de projets structurants au niveau national. J'avais donc une forte culture métier et une vision transversale du réseau ADMR de plus de 24 ans, avant d'être désigné CIL en 2012 et DPO aujourd'hui. Le rattachement direct à la drection de l'UNADMR traduit la volonté d'inscrire la protection des données à caractère personnel dans les orientations et valeurs du réseau ADMR. Je ne suis ni informaticien, ni juriste de formation, mais spécialiste de la gestion des services à la personne. A la suite de l'affaire Acadomia, la Cnil avait souhaité sensibiliser le monde du service à la personne quant à la problématique de protection des données personnelles.

Quels sont les principaux enjeux de votre action au sein d'ADMR ?

La particularité de notre organisation est d'être composée de multiples entités juridiques. C'est ainsi que je suis le CIL pour… 2 408 entités juridiques. L'autre particularité, c'est que ces entités sont spécialisées dans le service à la personne et donc traitent des quantités importantes de données personnelles. Si on consolide l'ensemble, nous traitons les données d'environ 1,5 million de personnes, qu'il s'agisse des intervenants, des personnes chez qui ils délivrent une prestation et leur environnement.

Quelles premières mesures avez-vous prises à votre arrivée ?

Je suis CIL/DPO quasiment à temps plein. La particularité de mon action est d'avoir mis en place des relais départementaux avec, pour chacune des 76 fédérations départementales, 2 relais par département : un salarié et un bénévole. L'ADMR a la particularité d'être un mouvement associatif, géré et animé par des administrateurs bénévoles.

Cette organisation nous a permis de faire face au nombre important de structures qui la composent mais aussi d'appréhender les particularités de certaines. Je forme ces relais, je les réunis une à deux fois par an et je leur ai mi à disposition un portail intranet où nous pouvons échanger, analyser les traitements, suivre l'exercice des droits des personnes et poser des questions au quotidien. Une documentation spécifique est à leur disposition, avec divers modèles, des instructions et procédures afin d'être en capacité de comprendre toute question liée à la protection des données et apporter un premier niveau de réponse.

J'ai mis en place trois niveaux d'action. D'une part l'audit des entités départementales tous les deux ans au minimum avec une revue de protection de données et la sensibilisation des responsables de service. En pratique, je rencontre 2 à 3 fédérations départementales chaque semaine.

Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?

"Le portail reste le point de communication privilégié entre les spécialistes de la protection des données dans notre structure"

Outre cette communication directe avec les entités qui m'impose de gérer un agenda sur deux ans, je sollicite tous les supports du réseau ADMR. Nous avons un magazine mensuel et une lettre hebdomadaire où je peux publier des informations lorsque cela est nécessaire. Notre démarche fait l'objet d'une information dans le rapport d'activité de l'assemblée générale nationale. Néanmoins, le portail reste le point de communication privilégié entre les spécialistes de la protection des données dans notre structure. Plus de la moitié des 164 relais y accèdent au moins un fois chaque quinzaine.

La spécificité de votre action tient essentiellement au grand nombre de relais Informatique & Liberté qui ont été mis en place au sein de l'ADMR...

"Quant à la future loi Informatique & Liberté 2, là encore je suis assez serein"

J'aurai terminé en décembre un tour de France entamé voici deux ans afin de sensibiliser les gouvernances au RGPD. Les revues de protection des données ont été consacrées quasi entièrement au règlement européen et à la préparation de son entrée en vigueur. Dans ce cadre, il y eu beaucoup d'échanges avec la Cnil ainsi qu'au sein de l'AFCDP (Association française des correspondants pour la protection des données, ndlr) dans laquelle j'anime un groupe relatif à l'accompagnement des relais Informatique & Liberté.

Quels sont vos principaux chantiers à venir ?

Les pratiques et outils mis en place à partir de 2012 étaient déjà fortement imprégnés de l'esprit du règlement général européen. J'ai eu la chance de beaucoup échanger avec la Cnil du fait de notre environnement assez particulier. En parallèle, j'ai collaboré à la création et révision des outils qualité nationaux qui ont été diffusés dans notre réseau dans le cadre de l'accompagnement qualité ADMR. J'attends les dernières validations de la Cnil sur l'interprétation du règlement afin de diffuser la mise à jour de notre livret d'accueil, des contrats, des procédures d'exercice des droits, etc. Mais de mon côté tout est presque prêt !

Quant à la future loi Informatique & Liberté 2, là encore je suis assez serein. J'ai suivi de très près l'élaboration de la loi de confiance dans l'économie numérique, la loi pour une République numérique d'Axelle Lemaire, le RGPD… De mon point de vue, la veille fait pleinement partie du travail du DPO.

Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.