Patrick Villard (Swiss Life) "La philosophie du RGPD peut être complexe à mettre en œuvre ou sujette à interprétations"
Alors que la Nuit du Data Protection Officer se rapproche, le CIL de Swiss Life évoque sa politique de gestion des données personnelles dans un secteur particulièrement régulée en la matière.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être CIL ? Quelle est votre place au sein de l'organigramme de Swiss Life, de quelle direction dépendez-vous ?
Patrick Villard. Après une formation initiale en gestion d'entreprise et expertise comptable, j'ai fait l'essentiel de mon parcours professionnel au sein de Swiss Life. Entré en 1984, j'ai occupé différentes fonctions dans les domaines de la finance, de l'organisation des processus ou de l'informatique. J'ai également travaillé directement avec le directeur général d'une filiale ce qui apporte une bonne vue de l'entreprise. Ce parcours diversifié m'a conduit à occuper le poste de RSSI depuis 2005.
Dès la création du Correspondant informatique & libertés (CIL), Swiss Life s'est posé la question de nommer un CIL. Sur proposition de la direction juridique, il a semblé rapidement logique à notre PDG que je cumule les deux fonctions. Le RSSI sécurise les informations dans l'entreprise. Le CIL protège les données personnelles des collaborateurs et des clients. Il y a une complémentarité de fait et une utilisation forte de cette transversalité comme dans le cas du RSSI. A ma nomination en 2006, nous n'étions qu'une cinquantaine de CIL en France.
Hiérarchiquement, je suis rattaché au DSI qui est membre du comité exécutif. Ce rattachement au plus haut niveau de l'entreprise est un gage d'indépendance. Je n'ai pas de collaborateur, mais je m'appuie sur un réseau de "Responsables de la protection des données" établis dans chaque direction. Enfin, je devrais être appelé à devenir DPO dès que les nominations seront rendues possibles par la Cnil.
Quels sont les principaux enjeux de votre action au sein de Swiss Life ?
Les enjeux sont de différents ordres. Il en y a un qui ne change pas, c'est la protection des données et des droits des individus. Ainsi, nous avons montré que la politique de protection des données personnelles reflète les trois valeurs de Swiss Life. A savoir, être attentif aux personnes, apporter de la sérénité et prouver notre fiabilité. La protection des données personnelles doit effectivement se faire en toute transparence et avec la plus grande efficacité.
Un autre des enjeux consiste à accompagner la transformation digitale du groupe. Je fais partie, par exemple, de la communauté des "data champions" de la société, qui réunit les experts de la donnée chez Swiss Life. Par mes recommandations, j''apporte le volet régulation. Je pose le cadre, les limites d'un projet afin d'assurer sa conformité. Tout le monde a aussi pris conscience qu'il faut lutter contre l'inflation de données, l'infobésité.
Notre gouvernance intègre les nouveaux enjeux liés au projet du RGPD en prenant en compte la conformité dès le début, selon le principe du privacy by design. Le règlement conduit aussi à systématiser les analyses d'impacts (DPIA, Data Privacy Impact Assessment).
Quelles premières mesures avez-vous prises à votre arrivée ?
A ma prise de fonction en 2006, j'ai commencé par échanger avec la Cnil afin de vérifier et mettre à jour les déclarations effectuées par Swiss Life. J'ai ensuite recensé les documents de collectes de données existants. Ce sont eux qui alimentent en données les traitements, cela a permis de dresser un bon état des lieux. Je me suis présenté personnellement à la Cnil. Comme je le disais, nous étions très peu de CIL lors de ma nomination. Ce qui facilitait des relations plus personnelles.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
TV interne, e-mail, intranet, affichage… Nous utilisons tous les canaux de communication interne pour sensibiliser les 2 500 collaborateurs du groupe. L'e-learning permet aussi de passer des messages au plus grand nombre.
Régulièrement, j'interviens durant les parcours d'intégration des nouveaux collaborateurs, les "Welcome days". Pas question de citer les différents articles du règlement. Pour capter l'attention, je travaille par analogie en embarquant mes interlocuteurs dans des histoires vraies qui touchent à leur quotidien. Comme cette femme qui ,s'étonnant de voir des opérations illicites passées sur son compte bancaire, se rend au commissariat. Après enquête, il apparaît que c'est sa petite nièce de 10 ans qui avait compris comment passer des achats en ligne en indiquant le code de sécurité au dos de la carte bancaire.
Entraîneur national d'athlétisme dans la vie privée, je crois à ce travail de coaching. J'interviens, également, aussi à l'Isep dans le cadre du mastère spécialisé "management et protection des données à caractère personnel".
Quelles sont les spécificités du secteur de l'assurance ?
Détenant de manière licite un grand volume de données sensibles touchant notamment à l'habitat, à la santé, à l'épargne de leurs clients, les sociétés d'assurances sont particulièrement régulées. C'est avec la banque, je pense, une des professions les plus réglementées. Pour faciliter les échanges avec l'autorité de contrôle, un pack de conformité assurance a été conclu, en 2014, entre les sociétés d'assurances et la Cnil. Il s'agit en quelque sorte d'un code de bonne conduite. Nous travaillons régulièrement avec la Fédération Française de l'Assurance (FFA), dans le cadre du club de la conformité, ce qui permet d'avoir des échanges réguliers de la profession avec la Cnil.
Quels sont vos principaux chantiers à venir ?
En mars dernier, Swiss Life a été le premier assureur à recevoir le label "gouvernance informatique et libertés" de la Cnil pour ses différentes activités d'assurance vie, prévoyance santé et dommages. Depuis, la Cnil a publié une deuxième version de ce label afin de répondre au niveau d'exigences qu'introduit le RGPD. Swiss Life va répondre à ce nouveau cahier des charges. Cela sera un pas de plus dans la voie vers le RGPD. Qui d'autre que la Cnil peut nous dire quels sont les progrès à accomplir ? Je me nourris des rencontres avec mes homologues des autres sociétés d'assurances. J'effectue aussi une veille sur les travaux réglementaires. Les lignes directrices émises par le G29 livrent ainsi de précieuses indications. Elles permettent de mieux comprendre la philosophie du RGPD qui, sur certains aspects, peut être complexe à mettre en œuvre ou sujette à interprétations.
En cours de réécriture, les évolutions de la loi Informatique & Libertés apporteront aussi leur lot de précisions. Au regard des nombreuses actions à mener, tout ne sera pas terminé au 25 mai 2018. Il ne faut pas être paralysé par cette date.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.