Muriel Gourgousse (EDF) "Le CIL et le futur DPO ne doivent pas être vus comme le Père Fouettard"
Alors que la Nuit du Data Protection Officer se rapproche, la CIL d'EDF évoque son action sur le traitement des données chez l'énergéticien. Un chantier prioritaire pour le groupe.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est aujourd'hui votre place dans l'organisation d'EDF ?
Muriel Gourgousse. De formation juridique, je suis titulaire d'un DESS droit, informatique et télécoms. J'ai intégré EDF en 2010, après une première vie professionnelle consacrée à la protection des programmes, des oeuvres numériques et des données personnelles. J'ai été nommée CIL pour EDF SA le 1er mai 2016.
En tant que CIL, j'ai un réseau constitué de Relais Informatique & Libertés (RIL) dans les filiales dans lesquelles nous sommes majoritaires en France et à l'étranger, et d'Interlocuteurs Informatique & Libertés (I2L) dans les directions métiers. Je m'appuie également sur une équipe chargée d'assurer l'animation de ce réseau.
Dans le cadre du règlement européen, nous avons mis en place un projet spécifique de conformité, avec un directoire piloté par plusieurs membres du Comex. C'est un chantier prioritaire et l'ensemble des filiales et directions de notre réseau ont mis en place un tableau de bord que nous remontons au directoire.
Quels sont les principaux enjeux de votre action au sein d'EDF ?
La protection des données personnelles constitue avant tout un enjeu de société. C'est aussi un enjeu d'entreprise car on est dans un environnement très concurrentiel et par voie de conséquence nous devons proposer des services de plus en plus personnalisés à nos clients et à nos salariés. Aujourd'hui, EDF est sur une démarche de transformation numérique. Les technologies utilisées s'appuient sur une utilisation exponentielle des données personnelles.
C'est par ailleurs pour nous un sujet d'éthique, on ne peut pas se permettre à EDF de remettre en cause la confiance qui nous a été accordée par nos clients, nos salariés ou nos partenaires. C'est un élément primordial.
En pratique, la difficulté au quotidien est de savoir à quelle formalité est soumis tel traitement. Comment fait-on entendre à nos équipes projets qu'il faut minimiser la collecte de données ? Plus on réfléchit en amont, plus on est en mesure de garantir la protection des données des personnes, mais également notre sécurité en tant que responsable de traitement. Il faut resserrer les choses et aller à l'essentiel.
Quelles premières mesures avez-vous prises à votre arrivée ?
Cela a consisté à mettre en place un intranet dédié à la protection des données à caractère personnel, qui vive, qui soit pertinent, et à jour. C'est un outil que nous alimentons en veille technologique, en actualités Cnil, en lien avec le RSSI groupe. Nous avons aussi procédé à un état des lieux des différents traitements. A EDF, depuis la nomination du premier CIL il y a 11 ans, nous avons en effet établi une cartographie des traitements qui est mise à jour deux fois par an. C'est un outil qui existe et les procédures sont bien rodées. Depuis le début de l'année nous l'avons réexaminé dans une optique de conformité au RGPD. Il faut donc conjuguer la bascule que constitue cette échéance du 25 mai 2018 avec la gestion quotidienne de la protection des données personnelles.
Hier, le CIL était principalement "comptable" des traitements, il tenait le registre avec, si besoin, une assistance juridique. Demain, il participera encore plus à garantir la conformité des traitements. Nous avons donc fait évoluer les compétences des collaborateurs qui travaillent sur cette thématique, en intégrant par exemple un profil avec un passé RSSI chargé d'assurer un point de vue basé sur l'analyse de risques, la "fameuse" analyses d'impact sur la protection des données (ou PIA) visée par le RGPD, notamment sur les objets connectés et l'intelligence artificielle. Il est nécessaire d'anticiper un certain nombre de pratiques qui vont arriver très vite, car nous souhaitons les connaître au mieux pour en contrôler la conformité réglementaire le plus tôt et le plus efficacement possible. Nous travaillons aussi de concert avec la Cnil sur ces points.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Je suis là pour remettre un peu d'ordre, parfois, mais aussi et surtout pour faciliter le quotidien des collaborateurs"
Grâce à un travail de proximité. Il faut sensibiliser en permanence les gens au-delà de la question des formalités. C'est une sensibilisation qui passe par plusieurs canaux, et notamment par notre réseau Informatique et Libertés, nos interlocuteurs étant chargés de l'animation autour de la thématique de la protection des données personnelles au sein de leur entité. Des fiches pratiques et des kits de communication sont mis à disposition et les membres du réseau sont réunis régulièrement pour partager les bonnes pratiques, et les difficultés éventuelles. L'arrivée du RGPD a renforcé cette animation avec la mise en place de sept chantiers qui nous amènent à nous rencontrer à un rythme encore plus important.
La sensibilisation, pour moi en tant que CIL, c'est vraiment aller sur le terrain. Je me déplace régulièrement dans le but de passer des messages ciblés aux interlocuteurs métiers, qu'il s'agisse de conseillers clientèle, de collaborateurs RH, de managers ou de chefs de projet, en leur exposant des cas qu'ils ont à connaître. C'est un maillage très, très fin. Je crois avant tout aux relations humaines et aux vertus de la proximité avec les gens. C'est un véritable enjeu car nous évoluons sur un territoire très étendu.
Quels types de relation entretenez-vous avec vos homologues spécialistes de la protection des données personnelles ?
Cela passe essentiellement par les échanges et des rencontres via des organisations comme l'AFCDP, l'ADPO, le CIGREF ou le Medef. Les échanges au sein de ces structures, ou d'autres encore, sont importants parce que, malgré notre qualité de "sachants", le partage de l'expertise est indispensable. Ces espaces nous permettent aussi de construire collectivement des doctrines partagées sur les principes de mise en œuvre de telle ou telle technologie et de jouer pleinement notre rôle de conseil face à nos directions respectives. D'où l'intérêt des groupes pluridisciplinaires, y compris en interne. Le CIL et le futur DPO ne doivent pas être vus comme des empêcheurs de tourner en rond ou le Père Fouettard. Je suis là pour remettre un peu d'ordre, parfois, mais aussi et surtout pour faciliter le quotidien des collaborateurs concernés par la question des données à caractère personnel.
Quels sont vos principaux chantiers à venir ?
Il faut s'outiller dès maintenant pour mieux exploiter les bonnes pratiques que l'on a déjà mises en place, les partager et être certains qu'elles soient intégrées le plus en amont des projets, et dans les solutions technologiques retenues. La particularité, c'est que pour des raisons qui tiennent à la spécificité de l'entreprise, nous n'avons pas forcément une gestion centralisée, étant répartis sur l'ensemble du territoire. Il faut donc renforcer notre capacité de pilotage et nous outiller pour garantir une meilleure traçabilité afin d'améliorer l'efficience et la maîtrise de notre conformité, par exemple en matière de consentements des personnes concernées.
Aujourd'hui, la grande majorité des entreprises nourrissent de fortes ambitions numériques et je crois que les données à caractère personnel, et leur protection, doivent vraiment être au cœur de cette ambition.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.