Isabelle Fluxa (La Poste) "Nous nous efforçons de ne pas collecter plus de données que nécessaire"

Alors que la Nuit du Data Protection Officer se rapproche, la correspondante à la protection des données de La Poste et de La Banque postale évoque ses chantiers dans le groupe.

JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de La Poste et de quelle direction dépendez-vous ?

Isabelle Fluxa est correspondante à la protection des données de La Poste et de La Banque postale © S. de P. La Poste

Isabelle Fluxa (La Poste). J'ai été directrice de la planification stratégique du groupe durant quinze ans puis directrice des affaires institutionnelles nationales de 2003 à 2015. J'étais notamment chargée des contrats d'entreprise et de la réforme des retraites des postiers, autant de sujets fortement "impliquants". Il y a aujourd'hui beaucoup d'enjeux importants en matière de protection des données personnelles, notamment dans l'univers du numérique. Depuis août 2016, je suis correspondante à la protection des données du groupe, aussi bien à La Poste qu'à La Banque postale.

Statutairement, le Correspondant informatique et liberté (CIL) aujourd'hui ou le Data protection officer (DPO) demain n'ont pas de supérieurs hiérarchiques. Cela dit, je suis rattachée au directeur juridique de La Poste et de La Banque postale, tout en étant membre du comité de direction de cette dernière. Enfin, j'ai deux adjoints à La Banque postale et quatre collaborateurs à La Poste, ainsi que divers référents informatique et liberté dans la centaine de filiales du groupe.   

Quels sont les principaux enjeux de votre action au sein du groupe La Poste ?

Notre principal enjeu, c'est le développement des activités numériques du groupe, ce qui comporte nécessairement une forte dimension relative à la protection des données personnelles. C'est une question de conformité au soutien de notre développement d'autant que La Poste a une forte image de confiance. Nous ne collectons des adresses mail, par exemple, qu'avec le consentement express de nos clients.

Quelles premières mesures avez-vous prises à votre arrivée ?

D'abord organiser et renforcer mon équipe tout en améliorant l'outil de traitement des données personnelles. Ensuite préparer la mise en œuvre du Règlement général de protection des données (RGPD) qui interviendra le 25 mai 2018. Nous nous efforçons ainsi de diagnostiquer les traitements, notamment les plus risqués, en construisant des plans d'action même si nous manquons relativement de moyens. Pour ce qui est des traitements les plus risqués, nous avons défini deux critères : la dépendance au business de La Poste et les traitements où il faudra une conformité parfaite avec le RGPD.  

Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?

De nombreux acteurs sont impliqués : DSI, RSSI, direction juridique, responsables de la conformité, etc. Il y a donc un fort enjeu managérial derrière tout cela. Nous avons donc constitué une communauté de la protection des données avec des réunions mensuelles régulières. Encore une fois, tout est une question de priorisation et de gestion par les risques.  

Quelle utilisation spécifique faites-vous des données personnelles en votre possession ?

Les données personnelles sont collectées à des fins précises. Il ne s'agit donc pas de faire n'importe quoi. Nous nous efforçons de ne pas collecter plus de données que nécessaire. Qu'il s'agisse de nouveaux collaborateurs, de clients, de prospects commerciaux, etc. De même, nous insistons pour que les gens soient toujours bien informés.

Quels sont vos principaux chantiers à venir ?

Il y en a beaucoup dans la mesure où le RGPD est très exigeant. Nous avons divers plans d'action à déployer, notamment la rédaction de directives internes au groupe, la notification des violations d'action à l'Autorité de contrôle ou l'analyse d'impact sur la vie privée. Il y a aussi la question de la formation des collaborateurs à grande échelle, notamment sur l'usage des données personnelles dans le cadre de leurs activités. Nous avons aussi un projet d'Intranet dédié pour l'année prochaine. Pour la Banque postale, nous participons à tous les travaux de place, notamment au sein de la Fédération française des banques (FFB) pour tout ce qui touche aux sujets informatique et liberté.

Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.