Anny Pinto (Adecco Group) "Le e-learning sur les données personnelles est obligatoire pour l'ensemble des salariés du groupe"
Alors que la Nuit du Data Protection Officer se rapproche, la group privacy officer d'Adecco Group détaille ses chantiers chez le géant mondial des solutions RH.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation d'Adecco Group et de quelle direction dépendez-vous ?
Anny Pinto. Je suis une avocate espagnole rentrée chez Adecco Group en 2005. Basée à Madrid j'intervenais sur toutes les questions touchant à la loi informatique pour deux entités technologiques de groupe. J'ai ensuite été rattachée au siège d'Adecco Group à Zürich et mon périmètre d'intervention s'est élargi au domaine de la protection des données personnelles. Puis j'ai été nommée début 2016 group privacy officer d'Adecco Group et rattachée directement au directeur juridique mondial.
Quels sont les principaux enjeux de votre action au sein d'Adecco Group ?
Je dirige un programme de protection des données personnelles, qui a pour but, non seulement de se mettre en conformité avec le cadre légal, mais aussi de faire évoluer les processus et les comportements. Il s'agit aussi d'optimiser l'utilisation des données personnelles en général dans le cadre d'une organisation décentralisée.
Pour remplir cette mission, je dispose d'une équipe de collaborateurs basée à Zurich qui apporte support et expertise à la direction générale et qui coordonne le déploiement du programme au sein des différents pays. Je suis ainsi en relation directe avec 26 experts en IT ou protection des données personnelles représentant la majorité des pays du groupe. Nous avons créé ce que je pourrais appeler notre "IT & Privacy Experts Network" disposant d'outils de communication et de plateformes d'échanges. Nous nous rencontrons au moins tous les trois mois pour faire le point sur l'implémentation du programme et partager idées et bonnes pratiques. Une étroite collaboration entre les membres de l'équipe est vraiment une des clefs de la réussite de ce programme.
L'une des composantes majeures de ce programme est bien entendu l'accompagnement des pays dans la prise en compte des nouvelles exigences du Règlement général sur la protection des données (RGPD). Pour ce faire, mon équipe et moi travaillons étroitement avec les juristes locaux. Le sujet du RGPD est bien évidemment celui qui monopolise la majeure partie de notre énergie et de nos efforts. Cela avance bien même si le rythme devrait encore s'accélérer à partir de janvier 2018.
Quelles premières mesures avez-vous prises à votre arrivée ?
La première chose a été de renforcer le niveau de collaboration entre mon équipe à Zurich et les experts ou juristes locaux en créant et animant notre fameux "Network". Nous avons ensuite rapidement travaillé à harmoniser nos pratiques vis-à-vis de nos fournisseurs. En parallèle nous avons défini le détail du programme. Pas seulement au regard du RGPD mais au sujet de l'ensemble des données d'Adecco Group. Ensuite, d'importantes actions ont été menées auprès des collaborateurs afin de les sensibiliser sur l'intérêt de ce dispositif dans un esprit "business topic". J'ai toujours dit que le sujet de la protection des données personnelles n'était pas qu'une question de conformité légale ou de compliance mais un véritable sujet métier qui impacte la totalité de l'organisation. Il y a eu parfois des incompréhensions - et c'est normal, mais notre réseau et moi-même avons travaillé pour expliquer le sujet aux collaborateurs d'Adecco Group. Aujourd'hui, tout le monde comprend la complexité et l'intérêt du programme que ce soit au niveau des systèmes d'information, du numérique, de la conformité, etc.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
J'ai beaucoup de chance car ce programme est vivement soutenu par le CEO du groupe et son conseil d'administration. Par ailleurs, nous mettons en place des "tailored training", c'est-à-dire des sessions de formation spécialisées. Le e-learning est obligatoire pour l'ensemble des salariés du groupe. Ensuite, c'est aux directions juridiques des différents pays de s'organiser. Nous fonctionnons beaucoup en réseau parce que nos juristes locaux sont des experts qui travaillent en étroite collaboration avec le business.
Quel usage spécifique faites-vous des données personnelles dont dispose Adecco Group ?
Adecco Group est le leader mondial des solutions RH et propose de nombreux services à destination de ses candidats et de ses clients à travers ses diverses entités : travail temporaire, conseil en recrutement et organisation, intérim spécialisé, recrutement de cadres, formation, gestion du capital humain, externalisation de services... Pour pouvoir proposer les solutions les plus efficaces et pertinentes à nos candidats et à nos clients, nous collectons et analysons des données personnelles.
Quels sont vos principaux chantiers à venir ?
Les actions majeures ont été identifiées afin d'être prêtes en mai. Par exemple, je peux vous citer le renforcement de nos clauses contractuelles ou le data inventory et le data mapping réalisé sur l'ensemble de nos plateformes techniques. Nous déployons tous nos efforts pour atteindre le but que nous nous sommes fixés. Mais ce programme ne s'arrêtera pas là et va continuer parce que notre but est aussi de nous transformer et d'innover tout en continuant à traiter et utiliser des données personnelles dans le but de prendre soin et de respecter la vie privée de nos clients, candidats, intérimaires et collaborateurs.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.