Patricia Le Large (Orange) "Il faut plus de programmes universitaires sur la protection des données personnelles"
Alors que la Nuit du Data Protection Officer se rapproche, la DPO du groupe Orange évoque son action et ses projets au sein de l'opérateur historique.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation d'Orange et de quelle direction dépendez-vous ?
Patricia Le Large. Je suis juriste de formation. Après avoir démarré ma carrière à l'Autorité de régulation des télécommunications (ART) à l'époque des négociations sur les premières directives européennes en matière de protection des données personnelles, j'ai rejoint France Télécom en 1996 pour travailler sur des questions de droit de la concurrence, droit de la distribution ou droit de la consommation. Je suis également intervenue pour Wanadoo [alors FAI de France Télécom, ndlr]. Cela fait plus de six ans maintenant que je travaille exclusivement sur la protection des données personnelles, notamment en tant que correspondante informatique et liberté (CIL) du groupe (Orange SA, Orange Caraïbes, Orange Bank). Depuis 2016, je suis Data protection officer (DPO) du groupe. Je suis rattachée à Nicolas Guérin, le directeur juridique du groupe. Je m'appuie sur quelques collaborateurs directs ainsi que sur un réseau de juristes dans divers pays, dont une vingtaine de correspondants dans l'Hexagone.
Quels sont les principaux enjeux de votre action au sein d'Orange ?
Mettre en place et se préparer le mieux possible à l'entrée en vigueur du Règlement général sur la protection des données (RGDP) qui est très structurant sur l'ensemble du périmètre qui est le mien. Je suis notamment chargée de coordonner l'ensemble des DPO du groupe, de conseiller et accompagner les diverses équipes dans la mise en place de cette conformité. Pour le DPO du groupe, ce serait parfois "mission impossible" si nous ne disposions pas de ce réseau de correspondants multidisciplinaires. Tout cela consiste en un mixe entre sécurité informatique, consommation, marketing de nos offres, etc. Chacun apporte son expertise afin de mutualiser les bonnes pratiques et de structurer son approche sachant que cette dernière n'est pas la même au sein d'Orange Business Services (OBS) que dans le B2C, par exemple. De ce point de vue, le DPO du groupe est à la fois un chef d'orchestre et une vigie.
Quelles premières mesures avez-vous prises à votre arrivée ?
J'étais déjà correspondante informatique et liberté (CIL), ce qui m'a permis de prioriser mon approche en fonction de l'élaboration du RGPD, notamment entre 2012 et 2016. Il faut bien voir que le RGPD, ce sont 99 articles répartis sur 88 pages ! Cela suppose de s'approprier véritablement ce règlement dans toute sa complexité. Ensuite, c'est aussi une réelle opportunité puisque ce texte est européen ce qui nous oblige à avoir une approche commune et à harmoniser nos pratiques dans les différents pays d'Europe où nous sommes implantés.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"J'effectue une à deux interventions mensuelles dans les différents comités de direction des entités opérationnelles du groupe"
Ce sujet est très présent au sein d'Orange, toutes équipes confondues. Il y a aussi beaucoup de pédagogie à faire en matière de protection des données. J'effectue ainsi une à deux interventions mensuelles dans les différents comités de direction des entités opérationnelles du groupe. Nous avons également un intranet spécifique, des publications internes relatives à ces questions, des réunions avec les membres du comité exécutif, etc. Je suis sollicitée toutes les semaines et j'y accorde beaucoup d'importance pour que l'ensemble des équipes acquièrent les bons réflexes.
Quel usage spécifique faites-vous des données personnelles dont Orange dispose ?
Orange est en contact quotidien avec ses clients et cela implique systématiquement un usage de leurs données personnelles : d'abord pour la souscription et la gestion de la relation clients. Répondre à toutes les questions du client par rapport à ses offres y compris le service après-vente, l'assistance, l'accueil en boutique, au téléphone ou sur internet. Ensuite pour lui proposer des offres adaptées à ses besoins, améliorer la qualité de son parcours sur nos services. Les données personnelles sont aussi utilisées pour assurer un déploiement optimal du réseau ou lutter contre la fraude et plus largement pour répondre à toutes nos obligations légales et réglementaires en tant qu'entreprise et opérateur de communications électroniques.
Quels sont vos principaux chantiers à venir ?
Il y en a beaucoup ! Beaucoup de sollicitations d'abord, notamment en termes de sensibilisation au code de conduite interne à observer au sein de l'entreprise. Ensuite, il s'agit de mettre en œuvre des pratiques de type "privacy by design", autrement dit de s'assurer de la protection de la vie privée dès la conception d'une application ou d'un service. Il s'agit donc d'intervenir au bon moment lors de la validation d'une nouvelle offre, notamment en termes de conformité. C'est aussi une question d'adaptation permanente et pour certains métiers une réelle transformation des pratiques. Le sujet va au-delà de la stricte conformité dans la mesure où c'est aussi une opportunité pour renforcer la confiance envers nos clients. C'est un effort collectif, en liaison avec la Commission nationale informatique et liberté (Cnil). Pour le reste, Il faut plus de programmes universitaires sur la protection des données personnelles.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.