Martial Michaux (Transdev) "Le plus dur est de s'assurer que la conformité au RGPD est durable"
Alors que La nuit du data protection officer s'approche, le DPO de l'opérateur de transports publics Transdev présente au JDN le chantier majeur qu'il a conduit en 2018.
Le JDN propose pour la deuxième année consécutive le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Sur quel gros chantier avez-vous travaillé cette année ?
Martial Michaux. La mise en conformité avec le RGPD. Nous avons dû nous interroger en détail sur nos traitements, leur durée de conservation, leur cohérence par rapport à la finalité. Cela nous a obligé à faire le ménage sur nos serveurs et nettoyer nos bases de données. Concrètement, nous avons mis en place un plan d'action comportant treize points à régler pour être le plus proches de la conformité le 25 mai (date d'entrée en vigueur du RGPD, ndlr). Quelques exemples : la sensibilisation du personnel, la création des registres de traitement de données, de mécanismes d'informations des personnes dont les données sont traitées, ou encore le recueil du consentement.
Si la protection des données personnelles inclue une partie technique, le comportement de ceux qui doivent le mettre en œuvre est très important. D'autant que Transdev est une entreprise décentralisée où chaque réseau possède une culture forte. Une grosse partie de mon travail en tant que DPO est de communiquer dans nos antennes locales pour expliquer les principes à respecter. Nous avons donc installé des référents RGPD dans chaque exploitation pour relayer ce message. J'interviens pour ma part dans les comités de direction locaux, qui font ensuite redescendre les informations.
Quelles difficultés avez-vous rencontré ?
Il n'est pas extrêmement compliqué de comprendre ce que le RGPD demande. La difficulté a plutôt été de bien mobiliser les équipes et s'assurer que nous disposions des ressources nécessaires pour nous mettre en conformité. L'autre défi venait du fait que nous souhaitions aller vite, alors que l'entreprise est déjà occupée par d'autres actualités, comme les appels d'offre auxquels elle répond. La mise en conformité arrive comme une mission supplémentaire. D'autant qu'il a fallu l'intégrer aux autres projets en cours dans l'entreprise. La grande diversité d'activités chez Transdev a également rendu les choses plus difficiles que dans une entreprise plus mono-produit : nous gérons des parkings, des navettes à la demande, des bus, des vélos ou encore des locations de voitures.
Où en êtes-vous dans l'exécution de ce projet ?
Le gros du travail a été fait. Nous devons à présent nous s'assurer que la conformité est durable. Car le plus dur est de respecter le RGPD lors des nouveaux traitements de données ou d'innovations. Par ailleurs, le règlement européen impose de déclarer aux personnes concernées les traitements réalisés avec leurs données. Nous avons privilégié nos clients passagers, pour lesquels c'est déjà le cas, mais devons encore le faire avec nos collaborateurs. Nous allons mener une opération de communication dans le courant du mois d'octobre. Notre message :"Transdev fait attention à vos données personnelles et attend que vous fassiez de même avec celles que vous pourriez manipuler dans le cadre de votre activité professionnelle." Un autre chantier pour nous sera de mettre en cohérence la conformité des huit pays européens dans lesquels nous opérons, car tous n'offraient pas le même niveau de protection avant le RGPD.
Résumé du projet
Pourquoi il est fédérateur pour l'entreprise
"La mise en conformité alimente la stratégie du groupe, car nous pouvons acquérir une meilleure connaissance de nos clients en utilisant mieux les données personnelles collectées."
Pourquoi il est innovant
"Le nettoyage et la mise en conformité de nos bases de données nous permet de développer des analyses de données de plus en plus élaborées pour identifier les grands changements et tendances chez les clients."
Pourquoi il est ambitieux
"Ce projet a demandé de travailler rapidement et a touché aux méthodes de travail des collaborateurs, qui sont toujours difficiles à changer, surtout dans une entreprise décentralisée."