Eddy Alberto (Airbus Helicopters) "La mise en conformité au RGPD était d'abord une opportunité"
A l'approche de la nuit du data protection officer, le DPO d'Airbus Helicopters détaille le chantier de la mise en place du RGPD au sein d'un groupe composé de 230 sociétés
Le JDN propose pour la troisième année consécutive, ce 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel est le projet le plus structurant que vous ayez eu à conduire au cours de ces derniers ?
Eddy Alberto. Sans conteste notre outil de protection des données, dont nous finalisons le déploiement au sein du groupe Airbus dans 230 sociétés. Son lancement remonte à fin 2017 dans la perspective de la mise en conformité au règlement général sur la protection des données (RGPD). Nous sommes très vite arrivés à la conclusion qu'il nous fallait travailler en réseau afin de correspondre au mieux à nos besoins. Nous avons doté les 250 membres de cette communauté d'un outil permettant le recensement des traitements de données personnelles afin d'assurer la conformité avec nos applications, produits et services. D'où le déploiement en 18 mois à partir de 2018, d'abord à l'échelle européenne, d'un registre commun à l'ensemble du groupe dans la perspective de l'entrée en vigueur du RGPD. Notamment son article 30, mais également l'article 35 relatif aux études d'impact (privacy impact assessment), en tenant compte de nos propres impératifs locaux mais également selon les pays où une réglementation sur la protection des données est en cours de développement (Brésil, Californie…).
Quels outils avez-vous mis en place ?
Nous avons fait le choix d'un outil standard correspondant le mieux à nos besoins, tant en termes de prise en main et de définition de ses critères que de mise en place de mécanismes de conformité (procédures de gouvernance, BCR, privacy by design, privacy notice, clauses contractuelles types). Il nous a fallu ensuite former les membres de notre réseau à la réglementation ainsi qu'à l'utilisation de l'outil à travers différents modules de formation interne : webinars, documentation spécifique, mise en œuvre d'un intranet où les membres de notre réseau peuvent échanger, partager leurs expériences ou poser des questions aux collaborateurs du data protection office.
Le tout s'inscrit dans le cadre de la transformation numérique de la société afin de protéger au mieux l'ensemble des données personnelles de nos clients, fournisseurs et collaborateurs. Evidemment nous travaillons en relation étroite entre les divisions Avion, Hélicoptère et Défense & Espace d'Airbus.
Nous avons ainsi effectué une cartographie des données les plus sensibles et procédons à un examen rigoureux de la solidité et de la fiabilité de nos fournisseurs. Nos contrats incluent notamment des clauses liées à la conformité en matière de protection des données d'intensité variable en fonction de la relation contractuelle. Nous avons, de ce point de vue, un cadre contractuel qui clarifie plutôt les relations avec les fournisseurs.
Quels obstacles spécifiques avez-vous rencontrés dans le déploiement de ce nouveau registre ?
Il ne faut pas considérer la réglementation sur la protection des données personnelle de manière restrictive. La mise en conformité au RGPD était d'abord une opportunité ! Nous avons aujourd'hui 1 400 traitements identifiés selon les mêmes critères, certains en cours d'harmonisation avec une philosophie parfois différente selon les pays (Russie, Etats-Unis, Chine, Brésil…).
Au niveau du groupe, une douzaine de collaborateurs, dont plusieurs juristes et spécialistes de l'IT, s'activent directement auprès de Pierre Picq, le DPO du groupe Airbus. Pour ce qui est de la division hélicoptères, dont je suis le DPO, nous disposons de trois collaborateurs. Nous nous appuyons sur un réseau de 36 personnes. La mise en œuvre de ce dispositif devrait être finalisé à la mi-2020, ce qui serait un véritable succès compte tenu de la prise en compte de toutes les réglementations en cours de développement qui s'inspirent du RGPD.
En quoi ce projet est-il ambitieux ?
Parce qu'il s'applique à l'ensemble des 230 sociétés du groupe dans le monde et qu'il implique la totalité des membres du réseau afin de les faire travailler tous ensemble sur un même référentiel.
En quoi ce projet est innovant ?
Parce qu'il s'agit d'une véritable digitalisation du registre des données personnelles de la société, registre intégré dans la gouvernance des données de l'entreprise.
En quoi ce projet est fédérateur ?
Il est fédérateur de par sa volonté d'identifier et d'analyser l'ensemble du traitement de données personnelles propres à l'ensemble du groupe Airbus.