Nathalie Laneret (Capgemini) "Nous avons le même niveau de protection des données dans l'ensemble du groupe"
Alors que la Nuit du Data Protection Officer se rapproche, la DPO de Capgemini détaille son action pour gérer l'utilisation des données au sein du groupe présent dans 40 pays.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de Capgemini et de quelle direction dépendez-vous ?
Nathalie Laneret (Capgemini). Je suis avocate de formation, inscrite aux barreaux de Paris et de New York. Après avoir démarré chez August & Debouzy dans l'univers de l'Internet, du e-commerce et de la cryptologie, j'ai passé huit ans et demi comme juriste généraliste chez 3M. Puis, j'ai été recrutée par Capgemini en 2011 sur des sujets de conformité, et notamment la protection des données personnelles et le droit de la concurrence. Nous avons notre propre programme baptisé "Binding corporate rules" (BCR) de conformité interne chez Capgemini et nous le mettons actuellement en conformité avec le Règlement général sur la protection des données (RGPD). Je rapporte à la directrice juridique du groupe et au directeur mondial de la cyber-sécurité, qui est lui-même en relation constante avec le secrétaire général pour la cryptologie du groupe. Je dispose de trois collaborateurs directs et de quatorze DPO au sein de diverses entités géographiques ainsi que de nombreux correspondants en matière de cyber-sécurité, soit une quarantaine de personnes.
Quels sont les principaux enjeux de votre action au sein de Capgemini ?
D'abord, c'est une mission passionnante et exigeante. Ensuite, l'essentiel de ma mission consiste à m'assurer que Capgemini se conforme bien à la protection des diverses données personnelles dont nous disposons, notamment celles de nos clients qui sont protégées conformément aux règles applicables. Ce qui consiste à s'assurer en permanence que nos clients soient eux-mêmes en conformité dans le cadre d'une stratégie commune. Nous avons aussi un objectif "business" afin que ces données créent de la valeur pour l'entreprise et pour nos clients. Les intérêts sont parfois contradictoires mais le plus souvent compatibles et complémentaires.
Quelles premières mesures avez-vous prises à votre arrivée ?
Ce qui était d'emblée très clair, c'est qu'au regard de notre business modèle, nous avions besoin que les transferts de données internationaux (Capgemini est présent dans une quarantaine de pays, ndlr) soient réellement harmonisés, notamment les transferts hors Union européenne. D'où cette adoption - bien avant les premières discussions autour du RGPD - de "Binding corporate rules" (BCR) propres à Capgemini, aussi bien en interne que vis-à-vis de nos clients,. De ce fait et même si c'est un très gros chantier, nous avons le même niveau de protection des données dans l'ensemble du groupe. Il y a aussi une forte dimension technologique dans ces programmes, notamment au niveau de la sécurité des données.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
Nous avons plusieurs canaux à commencer par le e-learning qui est obligatoire pour tous les collaborateurs concernés. Quant aux questions de cyber-sécurité, cela concerne l'ensemble des 200 000 salariés du groupe. Nous avons aussi divers Intranet locaux et des webinars spécifiques à la protection des données ainsi qu'un séminaire annuel sur la cyber-sécurité. La protection des données personnelles est un sujet stratégique pour nous
Quelle utilisation faites-vous des données personnelles dont vous disposez ?
Comme n'importe quelle autre entreprise, les données concernant nos collaborateurs rentrent dans le cadre traditionnel des ressources humaines. Ensuite, il y a les données sensibles, notamment celles de nos clients, pour lesquelles nous nous efforçons de s'adapter à leurs demandes, à leurs besoins et à leur business. Certains traitements sont très simples, d'autres plus compliqués comme ceux relevant du " secret défense " ou dans l'univers de la santé.
Quels sont vos principaux chantiers à venir ?
Continuer à s'appuyer sur nos BCR et à implémenter le RGDP. Pour obtenir le meilleur niveau de conformité possible tout en restant extrêmement pragmatiques, réactifs et productifs. Il faut aussi que les règles soient suffisamment souples pour pouvoir s'adapter rapidement. Parfois, il faut faire des concessions même si ce n'est pas toujours évident. Ce qu'il faut, c'est être toujours capable d'adapter ces règles à notre organisation.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.