Véronique Chatonnier (Paris Habitat) "Nos principaux usages des données concernent la gestion locative et patrimoniale"
Alors que la Nuit du Data Protection Officer se rapproche, l'actuelle CIL et future DPO de Paris Habitat détaille ses chantiers chez le premier bailleur social de la ville de Paris.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de Paris Habitat, de quelle direction dépendez-vous ?
Véronique Chatonnier (Paris Habitat). Je suis de formation juridique et suis correspondante informatique et libertés (CIL) depuis la mi-2012. Je dépends actuellement de la direction des affaires juridiques et de la commande publique de Paris Habitat. Dans le cadre de ma future désignation en qualité de DPO, il est prévu de me rattacher auprès de la DGA en charge de l'innovation, des ressources humaines et des usages numériques.
Quels sont les principaux enjeux de votre action au sein de Paris Habitat ?
Il y a un important travail de sensibilisation et d'adaptation des procédures existantes à effectuer. Il ne s'agit pas simplement d'imposer des procédures mais plutôt d'intégrer la protection des données dans les processus métiers existants. Il est important d'être en phase avec les objectifs et valeurs portés par l'entreprise comme la confiance et la qualité de service.
Quelles premières mesures avez-vous prises à votre arrivée ?
D'abord me faire connaître en tant que CIL auprès des collaborateurs de Paris Habitat. J'ai notamment créé un espace dédié dans l'intranet du groupe ainsi qu'une vidéo de sensibilisation de quatre minutes disponible sur le site et présentée à tout nouvel arrivant. Ensuite, j'ai très rapidement traité les principes de base de la conformité des données à savoir les formations préalables (registre, demandes d'autorisations), le traitement des zones de commentaires, la durée de conservation des données, les mesures de traçabilité, etc.
J'ai aussi créé des référentiels métiers spécifiques par rapport à leurs missions (gardiens d'immeubles, gestionnaires locatifs). Il y a, de ce point de vue, une difficulté parfois à interpréter la loi. On se demande par exemple : combien de temps conserver les données ou les documents papier ? Sous quel format ? Qui peut y avoir accès ? Etc. Par ailleurs la Cnil a élaboré en 2014 un pack de conformité sectoriel dédié au logement social qui est un outil de référence pour la profession.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Même si la loi est parfois difficile à interpréter, nous sommes très vigilants sur la protection de ces données"
Je m'appuie sur notre site Intranet "le blog du CIL" qui dispose d'une documentation avec une double entrée, soit thématique (durée de conservation, tiers et sous-traitant, données de santé), soit métier (gestionnaire locatif, gérant, gardiens d'immeuble). Par ailleurs, je dispose d'un référent dans chacune de nos vingt-deux agences. Ce référent a essentiellement un rôle de relais. Ensuite, j'informe de mes actions et projets au sein du comité informatique et libertés composé de l'ensemble des directeurs de Paris Habitat. Enfin, j'insère mes interventions autant que possible au sein des réunions des directions métiers.
Quel usage spécifique faites-vous des données dont vous disposez ?
Nos principaux usages des données concernent la gestion locative et patrimoniale, y compris la gestion des attributions, le contentieux et le suivi social, ainsi que la gestion des ressources humaines et la relation avec nos fournisseurs. Même si la loi est parfois difficile à interpréter, nous sommes très vigilants sur la protection de ces données ainsi que sur leur fondement légal.
Quels sont vos principaux chantiers à venir ?
Très clairement la mise en conformité avec le Règlement général sur la protection des données (RGPD). Il nous oblige à revoir et adapter certaines procédures et à sécuriser toujours davantage les données personnelles dans notre système d'information (SI). Nous sommes au milieu du gué car si un premier travail de rédaction a été réalisé, nous débutons actuellement la validation et la mise en œuvre d'un certain nombre de politiques et de procédures prévues par le RGPD comme les procédures d'incidents informatiques, de violation des données à caractère personnel, d'analyse d'impact sur la vie privée ou encore d'alerte professionnelle.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.