Emeline Bissoni (Automatic Data Processing) "Gérer la paie de 40 millions de personnes implique de protéger sérieusement leurs données personnelles"

Alors que la Nuit du data protection officer approche, la DPO du spécialiste de la gestion de paie fait le point sur ses chantiers.

Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur La nuit du data protection officer.

JDN. Quel est votre principal chantier en cours en matière de protection des données ?

Emeline Bissoni, DPO d'Automatic Data Processing. © Automatic Data Processing

Emeline Bissoni. Très concrètement, la mise en conformité au règlement général sur la protection des données, le fameux RGPD. Il faut bien voir que notre société, une entreprise américaine fondée en 1949 et spécialisée dans l'externalisation de la gestion de la paie et des ressources humaines, exerce son activité dans un domaine particulièrement sensible en matière de protection des données personnelles. Nous disposons donc d'une petite dizaine de collaborateurs dédiés à ces fonctions sous la houlette de Cécile Georges, notre global chief protection officer, une ancienne avocate française de chez Gide Loyrette Nouel qui est aujourd'hui basée à Roseland, notre siège dans le New-Jersey. La tâche est de taille. Nous gérons la paie de 40 millions de personnes dans le monde, dont 3 millions en France, et comptons 740 000 entreprises clientes dans le monde, dont la moitié du Cac 40 en France.

En ce qui concerne le RGPD, nous avons adopté une démarche classique de binding corporate rules (BCR ou règles d'entreprises contraignantes, ndlr) qui s'applique notamment aux transferts intra-groupe depuis février 2016. Il nous a fallu deux ans pour mettre en place ce mode de fonctionnement avec la nomination d'un chef de projet par business unit pour se mettre en conformité avec le RGPD. Cela a été mené un peu comme un projet informatique, notamment en termes de sensibilisation (organisation de webinars, diffusion d'affiches...).

Comment avez-vous mené à bien ce chantier ?

Je suis une spécialiste de l'audit et ancienne avocate, notamment au sein du cabinet Alain Bensoussan à Paris. Ma première mission a été de mettre la France et l'Europe en conformité avec le RGPD. Pour le reste, nous avons un collaborateur dédié à chaque pays qui se met en relation avec les directeurs juridiques pour la gestion des incidents de sécurité sur un mode privacy by design. Et nous avons bien évidemment un délégué à la protection des données auprès de la Commission nationale de l'informatique et des libertés en France. Nous avons également des correspondants dédiés dans les principaux pays d'Europe (Espagne, Grande-Bretagne, Italie, Pologne, Suisse) et les grandes zones géographiques (Asie, Amérique latine). Nous sommes d'ailleurs bien outillés de ce point de vue puisque notre équipe de protection des données existe depuis plus d'une dizaine d'années.

Résumé du projet 

En quoi ce projet est fédérateur 

"Tout le monde s'est investi car ce projet était dans l'ADN de l'entreprise et qu'il était porteur de business et de création de valeur. De ce point de vue, nous n'avons eu aucun problème à mobiliser l'ensemble de nos équipes."

En quoi ce projet est innovant 

"La matière en elle-même n'est pas particulièrement innovante mais l'entreprise et l'ensemble des professionnels se sont sentis directement concernés, y compris parmi nos clients."

En quoi ce projet est ambitieux 

"Parce qu'avec nos binding corporate rules (BCR), il va bien au-delà de l'Europe. Avec une volumétrie de quarante millions de fiches de paie par mois, cela exige une forme d'excellence et nous n'avons aucun droit à l'erreur."