Camille Porgès (Eutelsat) "Il est nécessaire de sensibiliser les métiers au privacy by design"
Alors que la Nuit du data protection officer approche, la DPO de de l'opérateur télécoms raconte comment elle a insufflé la notion de privacy by design dans le groupe.
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Comment avez-vous mené la mise en conformité d'Eutelsat au RGPD ?
Camille Porgès. Quand je suis arrivée chez Eutelsat en 2010, j'ai été plongée dans un environnement où les innovations technologiques et d'usages nous ont amenés à anticiper les enjeux liés à la data. Lorsque j'ai été nommée CIL en 2013, je me suis plongée dans la cartographie des traitements pour comprendre, analyser et interroger notre gestion de la donnée. J'ai mis en place les premiers outils de conformité à la Loi Informatique et Libertés, puis le projet de texte RGPD est arrivé, plaçant au centre du projet de conformité les notions de privacy by design et d'accountability. La conformité au RGPD est un projet de transformation de l'entreprise, il ne s'agit pas d'un projet réglementaire, SI ou métier, mais d'un projet global, transverse, devant impliquer toute l'entreprise. Dès lors, j'ai dû intégrer une dimension de conduite du changement.
Comment insuffler la notion de privacy by design dans l'entreprise ?
Le concept de privacy by design est au cœur du RGPD. Il ne s'agit pas seulement d'une obligation nouvelle à la charge du responsable de traitement, mais d'un changement à opérer en termes de culture, qui doit se traduire directement dans les méthodes de travail et les processus internes.
Un groupe de travail a été constitué pour élaborer cette procédure, afin que l'ensemble des directions soient impliquées et puissent contribuer et adhérer au projet. Cela a demandé du temps, mais il me semble que sans ce travail en commun, nous aurions beaucoup perdu en efficacité lors de la mise en oeuvre.
Comment avez-vous mené ce grand chantier du RGPD ?
Le fait d'avoir été CIL avant d'être désignée DPO m'a permis de commencer à travailler en amont sur la base de la cartographie des traitements, et d'anticiper les actions à mettre en place en vue de l'entrée en vigueur du RGPD. Le responsable de la sécurité des systèmes d'information est bien entendu un partenaire incontournable dans la mise en place des actions de conformité, non seulement sur les aspects de sécurité des données, mais également sur les aspects organisationnels. Cela nous a amenés à mettre en place un système dans lequel, pour chaque traitement, un data owner et un system owner sont identifiés, afin de mieux coordonner la mise en place des actions de conformité. Cela contribue également à l'efficacité du privacy by design.
Résumé du projet :
En quoi est-il fédérateur pour l'entreprise ?
"La conformité au RGPD est un projet de transformation de l'entreprise, il ne s'agit pas d'un projet réglementaire, SI ou métier, mais d'un projet global, transverse, devant impliquer toute l'entreprise." "Pour chaque traitement, un data owner (responsable métier) et un system owner (responsable SI) sont identifiés, afin de mieux coordonner la mise en place des actions de conformité, ce qui contribue également à l'efficacité du privacy by design."
En quoi est-il innovant ?
"Le DPO doit faire la démonstration permanente de ce qu'il peut apporter au business, pour que la conformité soit perçue non pas comme une contrainte venant perturber les processus ou accroître la charge de travail mais comme un levier de création de valeur. Un groupe de travail a été constitué pour élaborer cette procédure, afin que l'ensemble des directions soient impliquées, puissent contribuer et ainsi adhérer au projet."
En quoi est-il ambitieux
"Le concept de privacy by design est au cœur du RGPD. Il ne s'agit pas seulement d'une obligation nouvelle à la charge du responsable de traitement, mais d'un changement à opérer en termes de culture, qui doit se traduire directement dans les méthodes de travail et les processus internes. Mais la conformité au RGPD s'inscrit dans un processus d'amélioration continue, et nous sommes déjà dans la préparation de la seconde phase de sensibilisation, qui se déroulera courant 2019."