Didier Bégay (Visiotalent) "On peut faire beaucoup plus avec les données quand on maitrise le contexte réglementaire"
Alors que la Nuit du Data Protection Officer se rapproche, le DPO de Visiotalent évoque la portée de son rôle dans le business de l'offre de recrutement de la start-up.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de VisioTalent, de quelle direction dépendez-vous ?
Didier Bégay (Visiotalent). J'ai un passé plutôt technique avec une thèse en informatique et une carrière de presque 20 ans comme enseignant-chercheur, plus particulièrement sur les logiciels critiques. J'ai ensuite rejoint France Telecom R&D où je me suis orienté vers la sécurité, surtout les aspects relatifs au bizdev de services puis en définissant et mettant en place les process adéquats au Technocentre Groupe. Ceci incluait les aspects juridiques et protection des données personnelles. Lorsqu'Orange a reçu des remontrances de la part de la CNIL en 2013 pour la perte de 1,2 million de données clients chez un sous-traitant de sous-traitant d'Orange, j'ai mis en place les process protection des données du marketing client France et fait en sorte que ce type d'incident ne puisse se reproduire. Puis j'ai réalisé un travail analogue à la division ressources humaines du groupe Orange. En 2017, je me suis mis à mon compte en fondant ma société D-B-K et je suis aujourd'hui ce que l'on pourrait appeler un DPO partagé. C'est ce qui m'a poussé à travailler pour VisioTalent, une start-up dont les fondateurs ont bien compris l'importance de protection de la donnée personnelle
Quels sont les principaux enjeux de votre action au sein de VisioTalent ?
VisioTalent est une start-up d'une trentaine de personnes qui propose un service de pré-qualification de candidatures par vidéo. L'actionnariat est sensible aux aspects sécurité et a souhaité mettre en place de vraies actions quant à la protection des données personnelles, et en faire un différentiateur sur le marché. Nos clients sont souvent des entreprises prestigieuses comme BMW, Cartier, Clarins pour qui le recrutement est aussi porteur d'image. Ils souhaitent attirer les jeunes talents à fort potentiel et l'entretien vidéo est pour elles un moyen de se donner une image d'innovation. Or pour ce type d'entreprise, il n'est pas envisageable d'être confronté à une fuite de données quelconque.
Quelles premières mesures avez-vous prises à votre arrivée ?
A mon arrivée il n'y avait pas de RSSI mais un chef produit génial qui savait que la protection des données est un sujet important mais ne savait pas comment le traiter. J'ai donc recadré la problématique, proposé un plan d'action et mis en place une organisation pour formaliser la gouvernance de la sécurité du SI, basée sur la norme ISO 27000, pour simplifier les mesures de protection des données personnelles. Avec le chief security officer, nous avons mené l'analyse de risque, puis défini politiques et plans d'action, ce qui nous a permis d'avoir une démarche pragmatique sur la donnée personnelle et de communiquer en interne et en externe sur la mise en conformité avec les normes et référentiels.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"A la fin du premier trimestre 2018 nous serons parfaitement conformes au règlement général"
Communiquer auprès des membres d'une start-up est à la fois plus simple et plus compliqué que lorsqu'il s'agit d'une grande entreprise de type Orange. Les employés sont très compétents, très engagés dans leur travail et ont peu de temps à consacrer à autre chose. Par contre la légitimité n'est pas discutée dès lors que le soutien managérial est acquis. Je communique d'une autre manière selon qu'il s'agisse de commerciaux ou de techniciens.
Pour ces derniers, formaliser la sécurité apparaît comme un manque de confiance vis-à-vis de leur travail, c'est le lot de tous les geeks face à ces approches considérées comme "moins viriles". Mais pour les convaincre, il suffit de mener des tests de vulnérabilité... Le meilleur des geeks a aussi des faiblesses.
Pour les chargés de support, face aux questions liées à notre conformité, je leur donne les mots-clés pour répondre et expliquer que depuis le mois de septembre nous sommes ISO 27000 et qu'à la fin du premier trimestre 2018 nous serons parfaitement conformes au règlement général. Enfin, je mène des séances de training après des commerciaux pour qu'ils me remontent les interrogations de leurs prospects afin de préparer des argumentaires qui font de la sécurité un avantage concurrentiel pour Visiotalent.
En quoi est-ce que la sécurité peut devenir un avantage concurrentiel pour une start-up en quête de croissance ?
"La sécurité et la protection des données personnelles restent un combat"
Nous sommes persuadés à Visiotalent qu'il est bien plus facile de développer du business dans un contexte de confiance réciproque. D'autant qu'on peut faire beaucoup plus avec les données quand on maitrise le contexte réglementaire. Nous sommes d'ailleurs prêts à ouvrir sous NDA nos procédures opérationnelles à nos grands clients. Nous jouons la carte de la transparence avec eux afin de montrer à quel point la sécurité et la protection des données sont dans l'ADN de Visiotalent. La direction m'a donné son accord afin d'organiser chaque année une réunion avec les DPO de nos clients pour aller plus loin encore dans cette volonté de partage et d'ouverture.
Quels sont vos principaux chantiers à venir ?
Certains de nos clients souhaitent disposer de bases de données ségrégées. Cela va avoir un impact sur notre architecture, mais certains clients pour qui cette approche est un prérequis sont prêts à payer pour cela. Notre stratégie est avant tout customer Centric, y compris sur le volet sécurité.
Dans une start-up, il faut avant tout être pragmatique, pas dogmatique. En sécurité, il faut faire les choses bien, mais de manière proportionnée, raisonnée par les analyses de risques, et surtout s'engager dans un processus d'amélioration continue. La sécurité et la protection des données personnelles restent un combat.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.