Stéphanie Le Coq de Kerland (Nexity) "L'outil devait s'adapter aux changements organisationnels, et non l'inverse"
A l'approche de la Nuit du data protection officer, la DPO du géant de la construction immobilière détaille au JDN le chantier majeur qu'elle a conduit en 2018.
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel a été votre chantier prioritaire dans le cadre de la mise en conformité de Nexity au RGPD ?
Stéphanie Le Coq de Kerland. Il s'agit de la mise en place d'une organisation spécifique adaptée à nos process existants. Au moment où les discussions autour du RGPD ont commencé, toutes les structures de Nexity ont été sollicitées par des prestataires divers et variés. Consultants, avocats… Tous promettaient d'avoir la méthode miracle pour mettre en place le RGPD. Leurs propositions ne me séduisaient pas. Avant d'être DPO, j'étais correspondante informatique et libertés chez Nexity. J'avais une vision claire de la manière dont nous comptions mettre en place les choses. Pour moi, le meilleur moyen de mettre en place le RGPD était de faire évoluer les mentalités du groupe, de s'adapter sans créer de lourdeur spécifique. Nous voulions opérer des changements organisationnels auxquels l'outil s'adapterait, et non l'inverse.
Concrètement, comment vous y êtes-vous prise ?
"Créer des comités spécifiques RGPD aurait été le meilleur moyen de mal appliquer le règlement"
Je suis allée voir tous les comités de direction du groupe pour leur présenter le RGPD, la manière dont il s'intégrerait à nos façons de travailler et ce que cela impliquerait pour nos process. Les managers m'ont aidée à identifier des référents dans chacun des pôles fonction. Ces référents nous aident à tenir et mettre à jour nos registres de données. Ils font remonter les bonnes informations et sont à l'origine de la mise en place de la notification auprès de la Cnil, que nous avons intégrée à notre gestion de crise. Nous avons également développé un e-learning en interne, une formation assez ludique de 20 minutes, que les managers ont demandé à leurs équipes de suivre. Cela a permis de sensibiliser au RGPD la colonne vertébrale d'un groupe comme Nexity, qui rassemble 7 000 collaborateurs.
Comment avez-vous intégré la notion de privacy by design à vos projets ?
"Nous avons fait développer un outil qui automatisera l'analyse risques afférents à un projet en termes de réglementation RGPD / procédures internes à mettre en oeuvre pour y remédier"
Certains groupes ont fait le choix de créer des comités spécifiques RGPD pour faire passer les projets. Ce n'est pas notre cas. Nous avons trop d'interlocuteurs pour cela. Alourdir le système avec un comité spécifique aurait été le meilleur moyen de mal appliquer le RGPD. Nous avons donc injecté une petite partie du règlement dans nos process existants – procédure de validation des contrats, procédure de validation des projets, procédure autour de nos croissances externes, avec audits préalables et validations préalables, et procédure technique au niveau de la DSI. Nous avons formé aux règles de base du RGPD des collaborateurs qui participaient à ces procédures, pour qu'ils puissent vérifier que les projets aient bien été cadrés RGPD compliance ou qu'ils fassent remonter le sujet, le cas échéant. Nous avons également demandé à un prestataire externe, Kernix, de nous développer un outil qui a vocation à automatiser l'analyse du couple risque/procédure à implémenter pour aider au cadrage des projets. A partir d'une grille d'entrée, qui détaillera chacun des éléments techniques et organisationnels du projet, l'outil moulinera pour lister les risques afférents au projet en termes de réglementation RGPD et faire ressortir les solutions adaptées et existantes chez Nexity, soit en termes organisationnels, soit en termes techniques. Cela nous permettra également d'avoir une base lorsque nous devons faire un PIA (privacy impact assessment, ndlr) sur un projet et aussi de sortir de la documentation pour justifier les mesures mises en œuvre si, demain, nous devons déclarer une faille à la Cnil.
Quand disposerez-vous de cet outil ?
Nous sommes en train de le cadrer. Il sera, je l'espère, opérationnel au premier trimestre 2019.
Quelles difficultés avez-vous rencontrée pour vous mettre en conformité au RGPD ?
"Celui qui, aujourd'hui, détient une data sécurisée et sait la valoriser sera celui qui gagnera demain"
Nous n'avons pas rencontré de freins dans la mise en place d'une organisation adaptée à nos process. Tout le monde chez Nexity a vite compris que, d'une part, nous n'avions pas le choix et que, d'autre part, il s'agissait d'une demande de nos clients, et que cela pouvait nous conférer un avantage concurrentiel d'avoir de la data sécurisée. La seule difficulté intervient au moment où on se rend compte que développer un projet en RGPD coûte plus cher. Là, c'est plus compliqué de faire passer le message, même si, sur le plan théorique, tout le monde est d'accord avec la nécessité de se conformer au RGPD. D'ailleurs, je vais renforcer l'équipe. Je suis à la recherche d'un DPO adjoint qui aurait plus la qualité d'audit technique, de développement technique informatique, et qui pourrait venir muscler l'aspect technique / IT au moment du développement des projets, afin de s'assurer que le cadrage va bien jusqu'au développement en termes de mesure technique.
Quels bénéfices le groupe Nexity a-t-il retiré des efforts consentis pour se mettre en conformité ?
Outre le fait que la sécurisation des données soit un indispensable en termes de satisfaction client, celui qui détient la data et sait la valoriser gagnera demain. S'il ne soigne pas sa data et s'il ne la valorise pas, un promoteur a beau construire les plus beaux bâtiments, demain, il sera has been. Il ne pourra pas adapter ses logements aux demandes des clients, faire évoluer ses bâtiments vers des usages connectés, des services etc. Il ne pourra pas s'appuyer sur le cercle vertueux de valorisation de sa donnée.
Résumé du projet
En quoi ce projet est fédérateur pour Nexity ?
Il permet à un groupe comme Nexity, qui regroupe énormément de métiers et d'interlocuteurs, de travailler sur un socle commun et en transversalité. Il permet également à chacun de prendre un peu de hauteur et de se mettre à la place du client.
En quoi est-il innovant ?
Parce qu'il nous permet de mettre en place des projets avec un nouveau prisme, celui de la transparence vis-à-vis du client et de la prise en compte de ses besoins et de ce qu'il accepte.
En quoi est-il ambitieux ?
Parce qu'il implique une réelle conduite du changement à tous les niveaux, le tout sans bouleverser nos organisations.