Guillaume Sanna (Cdiscount) "Un jour, le DPO ne sera plus nécessaire au sein des entreprises"

Alors que la Nuit du data protection officer a lieu ce 3 décembre, le DPO de Cdiscount explique comment il a obtenu le label Cnil concernant la gouvernance en matière de protection des données

Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.

JDN. En tant que DPO de Cdiscount, quel est votre principal projet en cours et quels enseignements en tirez-vous ?

Guillaume Sanna est DPO de Cdiscount. © Cdiscount

Guillaume Sanna. Incontestablement, le déploiement et la mise en production au sein de l'entreprise du label décerné l'an dernier par la Cnil concernant la gouvernance en matière de protection des données. C'est un label dont nous sommes particulièrement fiers, d'autant que nous sommes l'une des toutes premières entreprises françaises à en avoir bénéficié et le seul e-commerçant. Précisons bien que cette démarche, entamée début 2017, ne concerne pas la seule protection des données personnelles mais l'ensemble des données de l'entreprise, y compris en matière de cybersécurité, de privacy by design ou de lutte contre la corruption. Or c'est justement là que le projet devient structurant dans la mesure où l'ensemble de nos 1 800 collaborateurs y sont directement associés, du bas de l'échelle jusqu'aux membres du comité exécutif, avec une communauté correspondante d'une centaine de référents à terme - une soixantaine aujourd'hui - issus de toutes les couches de l'entreprise.

Ce qu'il faut, c'est changer les mentalités, un peu comme en matière de RSE. Un jour, je suis persuadé qu'un DPO ne sera plus nécessaire au sein des entreprises, une fois que les collaborateurs se seront effectivement appropriés cet enjeu.

Certes, c'est chronophage mais cela porte ses fruits. Depuis l'entrée en vigueur du RGPD dans l'Union européenne il y a un an et demi (25 mai 2018, ndlr), nous avons formé plus de 900 collaborateurs en présentiel et espérons atteindre les 1 300 dans les semaines qui viennent. Nous avons aussi un volet spécifique pour nos principaux partenaires extérieurs : centres d'appels, annonceurs…

Concrètement, comment êtes-vous organisé et quelles sont les principales décisions que vous avez prises en arrivant il y a 18 mois ?

D'abord, il faut savoir que je suis arrivé chez Cdiscount en provenance de Fidal où j'exerçais en tant qu'avocat. Et l'entreprise était déjà cliente du cabinet. Je considérais à l'époque que c'était la plus mature du groupe Casino sur toutes ces questions. Dès mon arrivée, j'ai lancé un audit des différents services en liaison étroite avec notre RSSI et le service juridique afin de disposer d'une vision globale de l'intérieur de l'entreprise. Mon arrière-pensée était de doter la société d'une nouvelle culture autour de la protection des données sans que son DPO ne soit perçu comme une extension de la Cnill, ce qui est trop souvent le cas dans les entreprises françaises. En tant que DPO, je dispose de cinq collaborateurs directs et travaille étroitement avec le RSSI, la direction juridique et la direction des systèmes d'information. Nous avons enfin une sorte de DPO intragroupe qui regroupe les DPO des différentes filiales de Casino (Monoprix, Leader Price, Franprix) ainsi que 3W.relevanC, la régie publicitaire du groupe, où nous déployons tous les mêmes procédures. 

Quel est votre budget et de qui dépendez-vous ?

C'est toujours un peu compliqué à déterminer. Disons que pour la DPO cela tourne autour de trois millions d'euros cumulés depuis 2017 dont deux millions pour l'archivage des données et l'adaptation de l'espace client. Côté RSSI, on peut évaluer son apport et ses développements à plus d'un million d'euros sur trois ans. Il faut bien voir que la complémentarité DPO-RSSI est très forte chez nous, le RSSI étant à la fois le bras armé et l'adjoint du DPO. Je dépends de Marie Even, secrétaire générale de Cdiscount et membre du comité exécutif.

En quoi ce projet est innovant  :

"Ce projet est innovant car il intègre la protection des données comme un élément inhérent à la philosophie de l'entreprise avec des référents choisis dans chacun des services afin d'inculquer cette culture à l'ensemble de nos équipes".

En quoi ce projet est ambitieux :

"Ce projet est ambitieux car il vise à former l'ensemble des collaborateurs de Cdiscount d'ici juin 2020 avec un budget global relatif à la protection des données de l'ordre de trois millions d'euros sur trois ans. Enfin, nous sommes en train de créer un diplôme universitaire dédié à la formation des DPO avec la Faculté de Bordeaux où est situé le siège de Cdiscount".

En quoi ce projet est fédérateur :

"Un jour, le DPO ne sera plus nécessaire au sein des entreprises"
"Un jour, le DPO ne sera plus nécessaire au sein des entreprises"

Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer . JDN. En...