Charley Dupré (Volkswagen France) "Le marché des services de mobilité est indissociable de la protection des données personnelles"

Alors que la Nuit du Data Protection Officer a lieu ce mardi soir, le DPO France du groupe automobile évoque comment il se prépare à la mise en place du RGPD.

JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de Volkswagen France et de quelle direction dépendez-vous ?

Charley Dupré est Data protection officer de Volkswagen France. © Volkswagen France

Charley Dupré (Volkswagen France). J'ai un parcours relativement atypique puisque j'ai suivi une formation en multimedia avant de me reconvertir dans le droit des affaires ! Notamment le droit des contrats et de la distribution tout en ayant une forte affinité avec l'univers des technologies de l'information. Je suis arrivé chez Volkswagen France en janvier dernier, puis j'ai été nommé Data protection officer (DPO) en septembre dernier pour m'occuper de la mise en œuvre du futur RGPD. J'ai ensuite été nommé Data protection officer (DPO) en septembre dernier. Il se trouve que je connaissais bien l'écosystème de Volkswagen et de ses différentes marques (Volkswagen, Audi, Seat, Skoda). Par ailleurs, il faut aussi disposer d'une vision transversale (IT, marketing, juridique). Divers relais métiers (IT, marques, ressources humaines) sont prévus : entre une vingtaine et une trentaine de personnes seront prochainement mobilisées sur ces questions.

Au plan statutaire, je suis rattaché au service juridique avec deux référents : Luc Chausson, le directeur de l'innovation et des projets stratégiques qui connait très bien l'entreprise, et le directeur juridique de Volkswagen France. Au niveau du siège en Allemagne, je suis en relation avec une vingtaine de collaborateurs.

Quels sont les principaux enjeux de votre action au sein de Volkswagen France ?

À court terme d'effectuer une cartographie des données et des flux existants afin de se mettre en conformité avec le RGPD tout en priorisant les actions les plus cruciales. L'idée, c'est aussi d'optimiser la base relationnelle avec la clientèle et nos divers concessionnaires. Il y a aussi la question de l'utilisation des données à long terme, données longtemps sous-traitées aux concessionnaires. Il s'agit enfin d'enjeux de formation du réseau de distribution et des collaborateurs de Volkswagen France. 

Quelles premières mesures avez-vous prises à votre arrivée ?

Nous avons notamment effectué un audit interne avec un cabinet d'avocats spécialisés, le cabinet Alain Bensoussan, où nous avons interrogé 130 personnes en interne. Une fois cet audit lancé, il a fallu informer les collaborateurs sur la dimension "business", leur expliquer la place et le rôle d'un DPO et faire remonter les informations nécessaires. Il a fallu faire beaucoup de pédagogie et expliquer que le RGPD n'aurait pas un impact considérable sur les ventes de véhicules. Mais il faut voir aussi que nous sommes à un tournant et que l'enjeu du véhicule connecté est considérable pour une entreprise comme la nôtre. Ces nouveaux services de mobilité sont supervisés par notre maison-mère qui prend ces sujets cruciaux et stratégiques très au sérieux.

Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?

C'est actuellement en discussion et cette réflexion n'a démarré qu'en octobre dernier. Le plan d'action dont l'élaboration a pris plus de temps que prévu devrait être finalisé fin décembre 2017.

Quelle utilisation spécifique faites-vous des données dont vous disposez ?  

Comme toute entreprise, ces données nous servent à la relation-client sur des durées souvent très longues, de dix à vingt ans. Cette relation à long terme concerne notamment l'usage et l'entretien du véhicule. Nous réfléchissons actuellement à la manière dont nous conserverons ces données sans être intrusifs vis-à-vis de nos clients. Nous avons aussi une réflexion sur les nouveaux process d'après-vente compte-tenu de l'émergence de nouvelles applications prometteuses en matière de maintenance prédictive et de détection des pannes. C'est un domaine où tout reste à inventer et à faire. Les technologies sont là mais il faut convaincre le public de leur intérêt. Ce que nous devons inventer, c'est une sorte d'assistance prédictive à la conduite. C'est l'une des spécificités du secteur. Nous sommes un peu comme dans les années 2005/2006 juste avant l'arrivée des premiers smartphones...

Quels sont vos principaux chantiers à venir ?

D'abord la mise en œuvre des process indispensables à la conformité avec le RGPD en vérifiant que les procédures actuelles sont bien conformes à la loi informatique et libertés, sachant que jusqu'à présent l'univers de la data n'était pas véritablement prioritaire dans le groupe. Ensuite, il s'agira de remettre à plat nos relations contractuelles avec nos clients, nos fournisseurs, notre réseau de distribution, etc. Enfin, nous n'oublions pas les données concernant nos collaborateurs ni le volet nouvelles technologies. Ce qu'il faut bien comprendre, c'est que nous sommes à la veille d'un réel changement de paradigme avec le basculement d'un achat de véhicules à un marché organisé autour de services de mobilité. Un univers indissociable de la protection des données personnelles de nos clients.

Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.