Frederic Varnieu (ResMed) "Les principes du RGPD ne se limitent pas aux frontières de l'Europe"
Alors que la Nuit du data protection officer approche, le director privacy Europe du fabricant de dispositifs médicaux et éditeur de logiciels ResMed explique comment il s'appuie au niveau mondial sur les standards de privacy les plus élevés, en prenant le RGPD pour référence.
Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Comment un groupe international comme ResMed capitalise sur la conformité au RGPD ?
Frederic Varnieu. Du fait de notre activité, la protection des données personnelles est cruciale et la conformité au RGPD est perçue comme un avantage concurrentiel. C'est un gage de confiance pour nos clients professionnels de santé. Mais cette culture de la data privacy ne peut pas s'arrêter aux frontières de l'Europe, elle doit être globale.
Au regard du chantier que représente la mise en conformité du RGPD, nous avons souhaité appliquer le modèle européen au reste du monde, au sein d'un programme commun entre filiales. Il s'agit de respecter ses principes fondamentaux communs tout en se donnant la possibilité de désactiver, si nécessaire, certaines mesures en fonction des pays et de leurs réglementations locales.
Basée aux Etats-Unis, notre équipe de R&D a, par exemple, tout à gagner à appliquer le principe du privacy by design. Cela évite de devoir changer les solutions développées voire de recommencer à zéro quand il s'agit de les implémenter dans des pays aux standards de protection plus élevés.
Par ailleurs, le fait d'être déjà "RGPD ready" permet de préparer le terrain à une approche globalisée de la privacy. Il y a déjà des règlementations équivalentes au Brésil, en Australie ou en Californie et d'autres sont en préparation.
Comment vous êtes-vous outillés en conséquence ?
Nous nous sommes dotés de OneTrust, une plateforme centralisée de gestion de la confidentialité. Editée par une société américaine du même nom, elle présente l'intérêt d'être globale. Multilingue, elle répond aux différents référentiels locaux.
Sur ce système de management de la privacy, on va trouver la cartographie des traitements, la gestion des incidents (au niveau européen pour l'instant), la gestion des demandes d'accès, la gestion des sous-traitants ou le suivi des cookies de nos sites web. L'objectif est de n'avoir qu'un seul outil pour parvenir à cette vision globale.
La plateforme doit s'ouvrir aux métiers, et notamment aux équipes achats et sécurité informatique, afin d'éviter les doublons. Pourquoi faire deux questionnaires d'évaluation sous-traitants, l'un pour l'équipe privacy, l'autre pour l'équipe sécurité ? Il s'agit aussi d'étendre l'outil à l'international. Mes collègues d'Amérique du Nord et d'Asie Pacifique commencent à travailler dessus en utilisant ce que nous avons déjà développé.
Sur le plan organisationnel, je dispose, en Europe, de relais pour inculquer et promouvoir cette culture de la protection des données, soit vingt personnes représentant de pays et de fonctions différentes. Nous sommes en train de dupliquer ce modèle à l'international et notamment aux Etats-Unis et au Canada.
Quels sont les perspectives de ce projet ?
Notre souhait est que de plus en plus de personnes au sein de l'entreprise utilisent cet outil au quotidien comme un tableau de bord. Du service achats, au service sécurité en passant par les chefs de projet : tous devraient démarrer un projet en remplissant un formulaire d'évaluation.
Il s'agit d'éviter de répéter les mêmes efforts dans chaque pays lors de la création d'un nouveau questionnaire d'évaluation des traitements. Faire valider par les différentes filiales ce type de document rallonge toutefois le délai et oblige à des concessions. Par exemple, pour désigner la personne concernée par un traitement, nous avons retenu le terme américain "individual" plutôt que "data subject" qui sonnait trop juridique en Europe. Le questionnaire peut être ensuite décliné en plusieurs langues avec une légère adaptation locale dans la formulation des questions.
Demain, la plateforme devrait s'interfacer à notre système d'information afin de synchroniser automatiquement les données d'une nouvelle application ou les informations d'un nouveau sous-traitant. Aujourd'hui, nous complétons ces informations manuellement.
En quoi ce projet est-il ambitieux ?
En capitalisant sur les apports de la mise en conformité du RGPD, nous avons souhaité appliquer le modèle européen aux autres pays. Notre vision à long terme consiste à avoir une politique de la privacy identique partout dans le monde. Former des relais en dehors de l'Europe avec une différence de culture reste un vrai challenge.
En quoi est-il fédérateur pour l'entreprise ?
La protection des données personnelles est cruciale dans notre activité et elle fait partie de notre culture d'entreprise. Pour preuve, je suis correspondant informatique et libertés depuis 2012, bien avant l'apparition du DPO. Créer une équipe globale de protection des données incluant des relais nous permet d'étendre notre culture au-delà des frontières européennes.
En quoi est-il innovant ?
Pour harmoniser nos efforts et tenir compte des mises à jour réglementaires différentes par pays et évoluant en continu, nous nous sommes dotés d'une plateforme centralisée de gestion de la confidentialité, accessible par tous et de n'importe où.