Igor Babic (Axa) "Toutes les entités du groupe Axa bénéficient d'un DPO"
Alors que la Nuit du Data Protection Officer se rapproche, le DPO de l'assureur détaille son action dans ce groupe brassant les données personnelles de 107 millions de clients.
JDN. Pourriez-vous nous rappeler votre rôle et votre place dans l'organisation ?
Igor Babic (Axa). Mon rôle est d'animer un réseau d'une centaine de data protection officer (DPO) répartis dans les différentes entités du groupe Axa à travers le monde. Je travaille étroitement avec ce réseau, que je considère comme mon équipe. Ensemble, nous œuvrons à la mise en place des moyens qui permettent à Axa de garantir la protection des données personnelles de ses clients, employés, fournisseurs ou de tiers, utilisées dans le cadre de son activité. Nous les protégeons conformément aux réglementations et à nos propres standards qui se situent souvent au-dessus de ce qui est requis par la législation locale.
Je fais partie de la direction conformité du groupe. Je suis épaulé dans mon rôle d'animateur du réseau par trois personnes. Je bénéficie aussi de l'appui de deux sponsors : la directrice des opérations du groupe et le secrétaire général. Ma nomination comme DPO remonte à 2011. J'occupais auparavant la fonction de responsable sécurité de l'information du groupe.
Ce qui m'intéresse particulièrement dans mon travail, c'est sa portée éthique. Les nouvelles technologies produisent de nombreuses innovations. Notre rôle de DPO est de s'assurer qu'elles se concrétisent au bénéfice du client, considéré ici comme un citoyen, et de l'entreprise.
Quels sont les principaux enjeux liés à la donnée personnelle chez Axa ?
Axa compte 107 millions de clients. Pour leur proposer nos services, censés les aider à maîtriser les risques de la vie grâce à l'assurance, nous sommes amenés à collecter des données personnelles qui ont trait à leur santé, à leurs comportements, etc.
Nous devons protéger ces données au sens de la réglementation et de la confidentialité. Nous considérons que notre responsabilité est aussi de les utiliser dans un sens positif. Pour y parvenir, nous nous obligeons, pour chaque nouveau projet, à nous poser trois questions : l'utilisation de la donnée est-elle utile au client ? Est-elle utile à l'entreprise ? Est-elle utile à la société en général ? Nous ne lançons les projets que si nous savons répondre positivement à ces trois interrogations. C'est pour cette raison, par exemple, que nous ne vendons pas les données de nos clients. Le même raisonnement s'applique aux autres données collectées, celles de nos collaborateurs et de nos fournisseurs, en particulier.
Vous avez construit un réseau de DPO à travers le groupe. Y avait-il un caractère obligatoire à le déployer ? Que vous apporte-t-il ?
"La plupart des nouveautés du règlement étaient déjà en œuvre à un endroit ou à un autre du groupe"
Nous avons décidé de rendre obligatoire la désignation d'un DPO dans chaque entité en 2012, au moment de la publication du premier draft du règlement général sur la protection des données (RGPD). En outre, dans un groupe décentralisé comme Axa, les entités ont un rôle clé pour porter les projets de conformité au règlement. Le rôle des DPO est de les accompagner dans leur démarche, par de la formation et la mise en œuvre d'une politique adaptée au métier de l'entité.
Aujourd'hui, le réseau est construit. Toutes les entités bénéficient d'un DPO. C'est une réussite dont nous sommes fiers. Je constate une vraie différence depuis le déploiement de ce réseau. Grâce à leur travail de formation, de conseil et d'assistance à la mise en œuvre des bonnes pratiques, les DPO ont permis la réalisation des objectifs fixés.
Quelles actions concrètes avez-vous menées ? Par quelles étapes êtes-vous passé ?
"Les DPO interviennent également dans les séminaires de formation des nouveaux entrants"
Dès 2012, j'ai accompagné le lancement du projet Binding Corporate Rules (BCR) au niveau groupe, qui s'est ensuite déployé dans les entités (les BCR sont un ensemble de règles internes encadrant au sein d'un groupe les transferts de données personnelles hors de l'Union européenne, ndlr). Sur cette base, nous avons évalué les écarts entre les situations des entités et les exigences du règlement. Les entités, assistées des DPO, ont pu démarrer leur mise en conformité en 2016, dès la publication de la version finale du règlement.
Dans les faits, la plupart des nouveautés du règlement étaient déjà en œuvre à un endroit ou à un autre du groupe. Ainsi, le registre des traitements fonctionne depuis longtemps en France tandis que la procédure de signalement des violations est opérationnelle au Royaume-Uni. Nous avons tiré parti de l'effet levier du réseau pour partager méthodes, solutions et expériences de mise en œuvre des procédures et accélérer ainsi le déroulement des projets.
Mon rôle à ce niveau a été de coordonner toute cette organisation. En parallèle, j'ai contribué, entre 2012 et 2016 et par le biais de l'Association française des entreprises privées (Afep), à l'évolution du règlement lui-même en faisant part des points qui nous semblaient difficiles à appliquer.
Comment communiquez-vous en interne, au-delà du cercle des DPO, pour sensibiliser et informer sur votre action ?
Un premier niveau d'information est disponible sur l'intranet. On y trouve les politiques ainsi que des vidéos de sensibilisation et des modules de serious games à l'intention de tous. Les DPO interviennent par ailleurs dans les comités de direction métier de leurs entités pour présenter le règlement et nos actions. Ces rendez-vous sont appréciés. Ils contribuent à former les managers et sont une opportunité pour débattre de cas concrets. Ils permettent aussi de vérifier un point essentiel : que le DPO soit identifié par les équipes et sollicité comme il se doit. Les DPO interviennent également dans les séminaires de formation des nouveaux entrants. Cela permet à ces derniers de les identifier dans un contexte décontracté qui facilitera la sollicitation par la suite, notamment dans le cadre de projets.
Sur quels chantiers allez-vous mettre l'accent dans les prochains mois ?
Concernant le RGPD, nous entrons dans la phase de contrôle : nous nous assurons de la bonne marche des projets de mise en conformité, qui devront être finalisés en mai prochain. Nous vérifions en particulier la robustesse des processus et des procédures, ainsi que les preuves de conformité exigées par le règlement. Nous nous déplaçons dans les différentes entités, accompagnés d'un DPO d'une autre entité pour croiser les expériences. Là encore, nous jouons sur l'effet réseau. De manière plus globale, nous accompagnons la transformation digitale du groupe, qui est un enjeu clé pour Axa. Notre rôle est celui de facilitateur : s'assurer que les innovations proposées par le métier soient acceptées par les clients, les régulateurs et l'entreprise.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.