Delphine Girard (SEB) "Si le RGPD dit quoi faire, il ne dit pas comment"
Alors que la Nuit du data protection officer a lieu ce 11 décembre, le DPO de Seb détaille comment a été coordonné le chantier du RGPD dans le groupe.
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel est votre projet le plus important mené au sein du groupe SEB ?
Delphine Girard. J'ai intégré SEB en septembre 2017 pour coordonner le plan d'action dédié au RGPD. Le groupe étant présent dans plus de 150 pays, cette mise en conformité intègre une dimension internationale. De nombreux projets développés au niveau central sont ensuite déployés dans nos différentes filiales. Le siège social étant basé à Ecully, le responsable de traitement se trouve dans l'Union européenne, ce qui induit l'application du RGPD à de nombreux pays, y compris en dehors de l'UE. En mai 2018, j'ai été désignée DPO pour faire le lien entre le "corporate" et les marchés.
Comment uniformiser les processus dans un groupe international ?
Nous avons fait le choix d'un outil pour structurer notre mise en conformité et répondre au principe d'"accountability" selon lequel une entreprise doit pouvoir prouver à tout moment sa conformité au règlement. Si le RGPD dit quoi faire, il ne dit pas comment. L'outil était un moyen de partager des référentiels et standards communs à l'ensemble du groupe. Le risque étant élevé puisqu'en cas de contrôle, le régulateur peut sanctionner un défaut de registre de traitements de données personnelles d'une amende pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires global annuel.
En septembre 2017, à l'issue d'un benchmark, nous avons fait le constat qu'il y avait peu d'outils sur le marché. Nous avons opté pour un éditeur qui proposait l'outil, selon nous, le plus complet. Il est parti de la philosophie du règlement pour le construire. Cet éditeur avait, par ailleurs, une expérience de la conformité avec des solutions permettant d'accompagner une démarche de certification aux normes ISO.
Quel a été le rétroplanning ?
D'octobre à décembre, nous avons eu des contacts très réguliers avec ce prestataire avec de nombreuses démonstrations. Il s'agissait, par exemple, de bien comprendre les différentes fonctionnalités, de répondre aux questions liées à sécurité comme l'authentification unique (single sign-on)….
Après la phase de négociation des termes contractuels, nous avons été accompagnés, de mars à mai, par le prestataire dans l'installation et la personnalisation de l'outil. Il est disponible en plusieurs langues mais nous demandons à chacun de le compléter en anglais afin d'avoir une vue à 360° au niveau groupe et échanger de bonnes pratiques.
Comment faire adhérer les utilisateurs à cette nouvelle plateforme ?
Début 2018, j'ai commencé à visiter chaque filiale au sein de l'Union européenne pour déployer notre plan d'action en expliquant les actions menées par le groupe et celles devant être déployées au niveau local. J'ai aussi organisé des sessions dédiées à la formation à l'outil. En plus de cette formation en présentiel, j'ai organisé des webinaires. Plus de 120 personnes ont été formées à distance auxquelles viendront s'ajouter une cinquantaine d'ici la fin de l'année. Nous avons diffusé mi-octobre un guide utilisateur spécifique aux besoins du groupe, en complément de celui proposé par l'éditeur.
Résumé du projet :
En quoi est-il fédérateur pour l'entreprise ?
"SEB a fait le choix d'un outil pour structurer sa démarche et partager des référentiels et standards communs à l'ensemble du groupe".
En quoi est-il innovant ?
"Transverse, le projet a été mené en lien avec trois experts de la privacy dans leurs domaines respectifs : les RH pour les données salariés, l'IT pour les aspects de sécurité, et le juridique pour les données des consommateurs".
En quoi est-il ambitieux ?
"Pour être pertinent, l'outil doit être renseigné par les différentes filiales. Les utilisateurs mettent à jour les traitements existants et demain recenseront les nouveaux traitements".