Nora Bensaïd (Bpifrance) "Nous avons créé le Club des DPO"
A l'approche de la Nuit du DPO, la déléguée à la protection des données de Bpifrance revient sur la création d'un club dédié à ses homologues français.
Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel projet vous a occupé ces derniers mois ?
Nora Bensaïd. La création du Club des DPO, qui est une communauté d'experts en protection des données. Nous trouvions que cela avait du sens de créer une communauté de professionnels dédiés à ces sujets pour réfléchir collectivement aux solutions adaptées aux difficultés rencontrées sur le terrain. L'expertise dans ce domaine n'est pas nouvelle mais la peur de la sanction l'est. Le texte est clair sur certains aspects et moins sur d'autres. Par exemple, beaucoup de DPO se posent encore des questions sur la mise en œuvre des études d'impact ou encore sur les qualifications de responsable de traitement et de sous-traitant. Aucune entité française n'est encore totalement conforme avec RGPD, ce n'est pas un scoop. La plupart des entités ont bien entamé le chantier tandis que d'autres ont identifié le sujet mais ne l'ont pas totalement traité. Les DPO ont donc besoin de se parler pour échanger de bonnes pratiques.
Comment fonctionne ce club ?
En septembre 2018, nous avons organisé une première rencontre avec une quarantaine de DPO de tous secteurs d'activité et la Cnil. Plusieurs tables rondes se sont enchaînées. Le format a bien fonctionné. A l'issue de cet événement, nous avons envoyé un questionnaire aux DPO pour valider cette volonté commune d'échanger et trouver un nom à ce club. Nous avons ensuite organisé une seconde rencontre en mars 2019 avec une cinquantaine de personnes et de nouveau la Cnil. Cette fois, nous avons choisi un format de cas pratiques. Des DPO ont animé eux-mêmes ces ateliers au Hub de Bpifrance (un espace dédié aux start-up, ndlr). La Cnil a répondu à une séance de questions-réponses. Cette rencontre a également bien fonctionné. L'objectif est d'en ressortir des guidelines que nous pourrons soumettre à la Cnil. Enfin, la troisième rencontre a eu lieu lors de la 5ème édition de Bpifrance Inno Génération (BIG) (un événement dédié aux entrepreneurs, ndlr). Plusieurs DPO sont venus témoigner de leurs expérience respectives.
Qui peut faire partie de ce club ?
A minima un professionnel de la protection des données, qu'il soit interne ou externe à une entité. Nous avons en priorité intégré les personnes qui ont participé à la première rencontre car c'est légitime. Rien n'est écrit encore aujourd'hui sur la façon dont on peut adhérer au club. L'idée n'est pas d'avoir un club fermé. Nous voulons créer une communauté qui reflète le tissu économique. La taille de l'entité n'est donc pas un critère.
Pourquoi Bpifrance serait le mieux placé pour piloter ce club ?
"Nous ne souhaitons pas faire double emploi avec d'autres organisations et associations"
Nous sommes présents sur le terrain et c'est dans l'ADN de Bpifrance d'accompagner l'écosystème français sur un grand nombre de sujets. C'est donc notre rôle d'accompagner les structures qui n'ont pas les ressources nécessaires sur les enjeux de RGPD. En avril 2018, nous avons d'ailleurs publié un guide de sensibilisation pour les PME, en partenariat avec la Cnil. Bpifrance fédère les membres et impulse des orientations mais nous travaillons dans un esprit constructif.. Si un membre a des idées pour des rencontres, des thématiques ou autres, nous les prenons évidemment en compte.
Quelles difficultés avez-vous rencontrées pour monter ce club ?
Nous ne souhaitons pas faire double emploi avec d'autres organisations et associations qui traitent aussi des problématiques liées aux données personnelles. Nous avons donc passé beaucoup de temps à benchmarker. Nous avons exposé clairement les objectifs de ce club, à savoir se focaliser sur l'expertise métier sans que cela devienne par exemple une tribune d'autopromotion. C'est pourquoi nous avons construit une charte en collaboration avec la Cnil pour poser les bases et objectifs de ce club.
Comment allez-vous faire évoluer ce club ?
Nous allons poursuivre les échanges avec la Cnil. Il faut aussi transformer toute la matière que nous avons collectée. La prochaine rencontre aura probablement lieu en 2020, le calendrier précis n'est pas encore calé. Le format n'est pas encore défini, il faut être créatif pour proposer des formats différents. Nous avons intégré la communauté dédiée aux DPO dans Tribu, le réseau social de Bpifrance. Nous sommes en train d'activer les comptes des membres pour leur permettre d'interagir en-dehors des temps de rencontres. C'était une demande de leur part.
En quoi ce projet est-il fédérateur ?
"Il permet d'enrichir l'expertise des DPO de tous les secteurs d'activité et de toutes les tailles d'entités. Pour Bpifrance, ce sera aussi un bon moyen de faire évoluer notre guide de sensibilisation au RGPD à destination des PME."
En quoi ce projet est-il innovant ?
"Il crée une passerelle de communication directe entre les professionnels de la protection des données et l'autorité de régulation. "
En quoi ce projet est-il ambitieux ?
"Il nous permet d'avoir une meilleure connaissance non seulement de l'écosystème français et, s'agissant d'un texte européen, de l'écosystème européen. Et par extension de l'international via les retours d'expérience des DPO des groupes internationaux qui doivent piloter les sujets RGPD dans tous les pays où ils sont présents"
Nora Bensaïd est DPO de Bpifrance depuis mars 2018. Avant l'entrée en vigueur du RGPD elle était responsable juridique droit des affaires -contrats au sein de la banque publique d'investissement. Entre 2005 et 2012 Nora Bensaid a successivement occupé des postes de juriste d'entreprise chez Brink's France, le groupe Mornay (protection sociale) et Elior.