Antoine Pichot (Société Générale) "Nous avons créé une filière d'une cinquantaine de DPO et correspondants"
A l'approche de la Nuit du Data Protection Officer, le DPO de la banque de la Défense revient sur la mise en place d'une gouvernance taillée pour le RGPD.
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel est le projet le plus innovant mené dans le cadre du RGPD dans le groupe Société Générale ?
Antoine Pichot. Nous avons créé une filière d'une cinquantaine de DPO et de correspondants de plein exercice dans l'ensemble du groupe. Il y a trois dimensions autour de cette filière. Tout d'abord, une dimension d'expertise. Il fallait des professionnels car ce type de projet ne s'improvise pas. J'ai donc sollicité les équipes juridiques du groupe pour qu'elles me détachent leurs meilleurs juristes en protection des données. La deuxième dimension de cette filière est la proximité. Les entités locales et les business units du groupe ont désormais des interlocuteurs au quotidien vers lesquels ils peuvent se tourner pour échanger, dans une posture de conseil et d'accompagnement. Le troisième principe de cette filière est le partage. Nous organisons un call mensuel et deux séminaires par an pour partager nos expériences. En tant que DPO, j'anime l'ensemble de cette communauté.
Parmi la cinquantaine de DPO et correspondants, combien sont basés à l'étranger ?
Environ la moitié. Nous avons imaginé un modèle de DPO mutualisé en dehors de la France. Quand dans un pays nous avons une grande banque de détail - c'est le cas pour la Roumanie ou la République Tchèque, le DPO de cette entité s'impose logiquement comme le DPO des autres plus petites activités de crédit conso, de financements spécialisés… Dans d'autres pays, comme ceux de l'Europe de l'Ouest (Italie, Royaume, Allemagne) avec des activités très diversifiées, il y a plusieurs DPO. En revanche, dans chaque pays il y a un DPO coordinateur qui est chargé d'animer sa communauté. Tous les mois les DPO de chaque pays se réunissent avec leurs correspondants locaux pour partager leurs expériences.
Comment sont formés les DPO et correspondants aux problématiques du RGPD ?
Nous sommes en train de déployer un programme de certification. Cela garantit une certaine homogénéité d'expertise et c'est motivant pour les équipes. Quand j'ai lancé il y a plusieurs mois la démarche de certification, il était compliqué de trouver des prestataires. Nous avons donc dû faire du sur-mesure et construire avec nos partenaires notre propre programme de formation.
"Nous sommes en train de déployer un programme de certification"
Puis, nous nous sommes tournés vers l'IAPP (International association of privacy professionals, ndlr), un organisme américain qui fait référence dans ce domaine. La Cnil vient d'ailleurs de lancer une consultation sur le sujet de la certification. Je pense qu'elle est dans une logique de labellisation des compétences DPO. Nous avons également mis en place des formations dans tout le groupe, notamment un e-learning obligatoire pour tous les collaborateurs. Nous avons des taux d'accomplissement compris entre 90 et 95%.
Quelles difficultés avez-vous rencontré lors de la mise en place de cette filière DPO ?
Nous partions d'une feuille blanche. Certes, il y avait un existant en matière de protection des données personnelles mais il a fallu l'adapter aux nouvelles exigences du RGPD et aux nouveaux choix faits par le groupe. L'autre difficulté résidait dans la gouvernance. J'ai pris mon temps pour sceller une sorte de partenariat entre toutes les équipes concernées : le juridique, la data, le RSSI, les métiers... pour réunir nos forces et les mettre à disposition des métiers. Finalement, avec de la maïeutique et de la conviction, nous sommes arrivés à faire converger les uns et les autres.
En quoi votre profil (ancien co-directeur de la stratégie, du digital et de la relation client de la banque de détail en France) vous a aidé dans l'organisation de cette filière ?
Je connais bien les enjeux business du groupe. Je vois bien le parallèle entre les exigences du RGPD et les attentes des clients telles qu'elles ressortent des enquêtes de satisfaction que nous réalisons régulièrement. Je suis le point de rencontre entre la stratégie digitale marketing et le réglementaire. En partant du client, nous avons une démarche d'écoute et, avec l'appui de juristes, nous arrivons à mener des actions qui font sens d'un point de vue marketing client et juridique. Par rapport à la filière DPO, je pense savoir comment positionner et optimiser l'efficacité d'une filière de conformité vis-à-vis des métiers puisque j'ai été de l'autre côté.
Comment voyez-vous évoluer cette filière ?
Après la construction, il est temps de passer à la phase de consolidation. Dans les mois qui viennent, la filière DPO va contribuer au basculement de l'organisation d'un mode projet vers un mode run. Nous allons vite être projetés vers de nouveaux défis réglementaires. D'autres règlements comme e-privacy vont arriver et il y aura des frontières assez poreuses avec les sujets RGPD. Il y aura également des problématiques internationales. Il y a des politiques de protection des données dans tous les pays où le groupe est présent. Certains pays souhaitent aller vers le RGPD comme le Japon. Nous serons également attentifs à l'évolution de la réglementation aux Etats-Unis et en Asie.
Résumé du projet :
En quoi ce projet est-il fédérateur pour le groupe ?
"La filière DPO est un dispositif qui se diffuse au sein de l'organisation et qui est au plus près des métiers. Nous avons fait le choix de nous appuyer sur les compétences existantes, de leverager la compétence des équipes juridiques, RSSI, data et de créer des partenariats avec elles pour être plus efficaces."
En quoi ce projet est-il innovant ?
"Déployer une filière de conformité dans une philosophie collaborative est assez innovant. Je pense qu'on est en avance de phase en comparaison avec d'autres grands groupes, notamment en lançant nos premières certifications RGPD en interne."
En quoi ce projet est-il ambitieux ?
"Nous considérons que le travail de la filière DPO contribue à la stratégie de relation client du groupe et au renforcement de notre position de tiers de confiance. Ce projet est ambitieux par les moyens investis, notamment sur la formation et le droit des personnes."