Damien Dégremont (Leboncoin) "Nous avons fait d'une obligation du RGPD une fonctionnalité utilisateur à part entière"
A l'approche de la Nuit du data protection officer, le DPO du site de petites annonces Leboncoin détaille au JDN le chantier majeur qu'il a mené en 2018.
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel a été votre principal chantier dans le cadre de la mise en conformité au RGPD ?
Damien Dégremont. Il s'agit d'un projet portant sur la restitution des données aux utilisateurs du Boncoin. Nous avons implémenté une fonctionnalité supplémentaire, appelée data takeout, qui leur permet de télécharger et consulter en toute autonomie les données personnelles qu'ils nous ont confiées. Sont concernées leurs données de profil, bien sûr, mais aussi les annonces qu'ils ont déposées, celles qu'ils ont consultées, leurs informations de navigation, les recherches qu'ils ont effectuées sur le site ou encore les messages qu'ils ont échangés avec d'autres utilisateurs via la messagerie intégrée au site qui existe depuis l'été 2017.
Ce qu'il y a d'innovant, c'est la manière dont nous avons intégré cette fonctionnalité au site. Nous avons créé un bouton supplémentaire, "Récupérer mes données personnelles", cliquable dans la page "Mes infos" du compte utilisateur.
Pourquoi avoir choisi ce format ?
Nous voulions mettre en place un système qui permette à l'utilisateur de demander l'archive des données qui le concernent de manière autonome, sans avoir à contacter les équipes du Boncoin. Le processus n'en est pas moins sécurisé. Pour récupérer ses données, l'utilisateur doit se connecter à son espace sécurisé sur Leboncoin ainsi qu'à l'adresse email qu'il nous a indiquée et à laquelle est envoyé un lien de téléchargement qu'il recevra sous 30 jours. Il s'agit du délai légal, mais il suffit de quelques heures pour que l'archive soit générée. Depuis le 25 mai dernier, que cette fonctionnalité est opérationnelle, nous recevons plusieurs milliers de demandes de restitution de données personnelles par semaine contre seulement quelques-unes par an auparavant.
Nous avons donc automatisé l'exercice du droit à la portabilité des données personnelles, introduit par le RGPD, et en avons fait une fonctionnalité utilisateur à part entière. Si nous avions conservé le même mode de fonctionnement, nous n'aurions pas constaté une telle augmentation des volumes de demandes. Mais nous avions à cœur d'accentuer la transparence envers nos utilisateurs, la protection des données personnelles constituant un engagement RSE du Boncoin.
Concrètement, comment cette archive est-elle générée ?
La génération de cette archive mobilise plusieurs systèmes et composants. Nous nous appuyons sur nos data lakes, d'ordinaire utilisés pour améliorer le produit Leboncoin, qui sont capables de restituer rapidement un volume de données important. Et pour récupérer les messages échangés via la messagerie interne du site, qui ne sont pas exploitées dans les data lakes et ne sont pas accessibles à nos équipes, nous mobilisons la base active du site.
Combien de personnes ont travaillé à développer cette nouvelle fonctionnalité ?
Ce projet a mobilisé une vingtaine de personnes : développeurs, responsables produits, ingénieurs data, ingénieurs qualité, juristes… Ils ont travaillé dessus en parallèle de leurs autres projets et road maps. Mon rôle en tant que DPO a été de prioriser la recommandation d'implémentation de cette fonctionnalité et d'orchestrer la collaboration entre ces personnes.
Avez-vous rencontré des difficultés et comment les avez-vous dépassées ?
La principale difficulté a résidé dans l'orchestration des services et dans le délai court qui nous était imparti, étant donné que les équipes n'étaient pas mobilisées sur ce projet à plein temps. Nous avons commencé à travailler dessus début 2018. Nous avons travaillé en mode agile, avec des stand-ups d'avancement, à raison de deux par semaine.
Nous avons aussi mis en place un comité de pilotage hebdomadaire pour l'ensemble du chantier RGPD qui nous permettait de présenter son avancement, d'améliorer les fonctionnalités et de prendre des décisions. Un membre du Comex était présent, à savoir le directeur général adjoint du Boncoin.
Et vous, qu'aviez-vous à gagner avec cette nouvelle fonctionnalité ?
Cela nous a surtout permis d'avoir une meilleure vision de l'ensemble des données personnelles dont nous disposons, ce qui nous est utile au regard des autres obligations du RGPD, comme la tenue du registre des traitements.
Résumé du projet
Pourquoi il est fédérateur pour Leboncoin
"Il nous a permis de mobiliser l'ensemble des collaborateurs du Boncoin autour d'une valeur conforme à l'un de nos engagements RSE. Il était sans doute plus facile de les mobiliser sur cette fonctionnalité que sur les aspects plus stricts et rigoureux d'un règlement tel que le RGPD."
Pourquoi il est innovant
"Il est innovant dans son implémentation, sous forme de fonctionnalité utilisateur. Du point de vue interne au Boncoin, l'innovation vient du fait qu'il ait impliqué la data pour une restitution directe aux utilisateurs. Une data qui sert d'ordinaire aux analyses en back office."
Pourquoi il est ambitieux
"Il a été mené en quelques mois pour être prêt le 25 mai et en parallèle des autres projets et road maps de chacun. Il a mobilisé des collaborateurs aux compétences variées, pour lesquels ce n'était pas toujours évident de travailler ensemble.