Daniele Nguyen (Schneider Electric) "Nous préparons un processus d'amélioration continu après la mise en place du RGPD"
Alors que la Nuit du Data Protection Officer se rapproche, la DPO de Schneider Electric évoque son action sur la gestion des données personnelles au sein du groupe industriel français.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est aujourd'hui votre place dans l'organisation de Schneider Electric ?
Daniele Nguyen. Je viens des ressources humaines. J'ai occupé différents postes, dans le recrutement, comme responsable du personnel dans une usine à Grenoble, puis au siège parisien de Schneider Electric, où aux côtés du DRH Groupe j'étais en charge de la communication RH, puis des relations sociales du Groupe.
En 2007, j'ai été nommé CIL tout en continuant à travailler en RH et à traiter d'autres dossiers en parallèle. Au fil des ans, avec le développement de la stratégie digitale de Schneider Electric, la mission de protection des données est devenue de plus en plus importante. Dans ce contexte en 2010, Schneider Electric a créé le poste de Group data privacy officer et j'ai été nommé DPO. J'ai un rôle de coordination globale sur la protection des données personnelles au sein du groupe. En 2013, je rejoins la direction juridique.
Quels sont les principaux enjeux de votre action au sein de Schneider Electric ?
Ces dernières années tout se digitalise, ce qui entraîne beaucoup de changements dans le système d'information. Nous sommes aussi amenés à intégrer et à gérer des partenaires. Côté collaborateurs et côtés clients il y a de plus en plus d'applications mobiles qui permettent aux clients de faire des choses. Tout cela constitue autant de défis pour la protection des données personnelles. Nous optons pour une approche empirique, pragmatique et responsable qui vise avant tout à créer de la confiance. Je suis convaincue qu'une bonne protection des données personnelles est un avantage concurrentiel pour l'entreprise.
Quelles premières mesures avez-vous prises à votre arrivée ?
D'abord, comprendre l'organisation de l'entreprise et les différents processus métiers. Puis faire un état des lieux de l'ensemble des traitements de fichiers que détiennent les différentes entités de l'entreprise. Enfin, et c'est l'un des éléments les plus essentiels, il faut aller à la rencontre des gens. Avec mon équipe, j'ai travaillé à la mise en place d'une organisation de gouvernance de la protection des données personnelles et j'ai fait nommer des relais dans chacun des pays où Schneider Electric est présent. Nous avons mis en place un registre au sens de ce qu'entend la Cnil. Avec le Règlement européen ce registre va s'élargir aux autres pays européens et va devenir obligatoire aussi bien pour l'entreprise que pour les fournisseurs de l'entreprise.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Sur le terrain, nous avons nommé des représentants, des "champions" de la protection des données personnelles"
Mon rôle est de faire connaître les règles relatives à la protection des données personnelles aux différentes entités de l'entreprise et aux personnes qui traitent les données. Cela implique de faire beaucoup de pédagogie. Concernant le Règlement européen, sa médiatisation et aussi le fait qu'en cas de non-conformité une entreprise s'expose à des sanctions financières conséquentes. Cela a entraîné une véritable prise de conscience ce qui, au quotidien, facilite le travail du DPO.
Nous avons mis en place des formations à plusieurs niveaux. L'une en e.learning où est expliqué tout de ce que l'ensemble des collaborateurs doivent savoir sur la protection des données personnelles. Les autres sont des formations sur-mesure très orientées métiers et qui traitent de sujets plus complexes et moins connus. C'est un préalable pour les aider à construire un plan d'action de conformité. Sur le terrain, nous avons nommé des représentants, des "champions" de la protection des données personnelles, qui sont formés, qui accompagnent les collaborateurs, et dont je suis chargée de coordonner le travail.
Quels sont vos principaux chantiers à venir ?
Continuer notre programme de mise en conformité au Règlement européen (RE) applicable le 25 mai 2018. Il nous faut mettre en place une culture de "l'accountability", c'est-à-dire de la "responsabilisation des acteurs". C'est l'un des principes du règlement. Et au-delà de la simple démarche de mise en conformité, il s'agit aussi de développer pour l'avenir un processus d'amélioration continu. Car tout ne va pas s'arrêter le 25 mai 2018. Nous avons mis en place une organisation de gouvernance de ce projet en clarifiant qui fait quoi, et qui est responsable de quoi.
Avez-vous des contacts avec d'autres CIL ou responsables en charge de la protection des données personnelles ?
En 2010, j'ai mis en place un groupe d'échange avec des homologues d'autres entreprises, la plupart du CAC 40, parce que je ne trouvais pas d'endroits où l'on pouvait parler de manière directe et échanger des informations sur nos entreprises respectives de manière confidentielle. C'est un groupe d'échange de pratiques, entre pairs. Nous sommes une dizaine et l'on se voit tous les deux mois sur une thématique et nous en discutons. C'était indispensable, car il arrive parfois qu'en tant que DPO on se sente un peu seule pour gérer telle ou telle problématique.
Par ailleurs, je suis membre de l'IAPP (International association of privacy professionals). C'est un organisme américain présent dans certains pays. Des réunions en soirée sont organisées et cela permet de se faire un réseau de DPO au niveau international.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.