Victor Vuillard (Parrot) "Protéger les données de vol de nos clients est notre enjeu majeur"

Alors que la Nuit du data protection officer approche, le DPO de Parrot évoque les contours de sa mission chez le fabricant de drones.

 Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.

JDN. Où en était le projet RGPD à votre arrivée chez Parrot en juin dernier ?

Victor Vuillard est le RSSI et DPO de Parrot © Parrot

Victor Vuillard. J'ai poursuivi le travail engagé sur la constitution du registre des traitements afin d'identifier les plus sensibles. Parrot est une boîte jeune et dynamique. Et cela se ressent, y compris dans son système d'information. Nous allions des traitements internalisés et d'autres externalisés dans le cloud, mais en restant toujours attentifs à la localisation des données.

Protéger les données de vol de nos clients est notre enjeu majeur. Pour y parvenir, nous avons l'atout majeur de maîtriser l'ensemble de la chaîne de traitement des données, depuis le drone, les systèmes de collecte et le stockage. Parrot est totalement transparent quant aux données collectées et c'est l'utilisateur du drone qui choisit quelles données il souhaite nous confier.

Est-ce qu'aujourd'hui les drones Parrot peuvent être qualifiés de "Secure by Design" ?

Si je prends l'exemple de notre tout nouveau drone, l'Anafi, les données sont chiffrées entre le drone et la télécommande SkyController. Tous les échanges sont sécurisés et nous minimisons au maximum les données stockées. De même, certaines données transmises en vue d'optimiser les performances de nos drones sont pseudonymisées. Nous ne voulons pas collecter plus de données qu'il n'est nécessaire. Nous avons la chance que notre centre de développement soit principalement ici, à Paris, ce qui est un atout pour la localisation et la maîtrise des données. Il est composé d'équipes jeunes avec de fortes compétences. Ils sont extrêmement réceptifs quant à cette problématique de sécurité et pleinement engagés dans une approche de type DevSecOps.

L'éventail de technologies est très large puisque cela va de l'électronique embarquée sur le drone aux serveurs de collecte de données jusqu'aux serveurs Web de notre service My Parrot où les pilotes de drones peuvent visualiser leur historique de vol.

Quel est votre agenda pour 2019 ?

Je poursuis le travail de documentation sur nos traitements. Dans ce projet RGPD, Parrot avait logiquement commencé avec les process les plus stratégiques, il faut poursuivre l'effort sur des traitements plus secondaires. Nous devons maintenant nous assurer du niveau de sécurité de l'intégralité de nos traitements mais aussi entrer dans un mode "run", c'est-à-dire s'assurer de la composante sécurité et protection des données dans chaque nouveau projet.

Nous devons aussi travailler sur des outils permettant de traiter les demandes de suppression de données personnelles de manière automatique. Ce projet permettra aussi aux clients Parrot d'exercer leur droit à la portabilité des données. Enfin, un travail doit être mené sur le volet contractuel avec nos sous-traitant afin de nous assurer qu'ils ont atteint un haut niveau de sécurité.

Le RGPD n'est pas un projet one-shot mais doit être mené dans la durée, dans une logique d'amélioration continue. C'est ce que je m’attelle à mettre en place chez Parrot.

Résumé du projet

En quoi est-il fédérateur pour l'entreprise ?

"Nous avons la chance que notre centre de développement soit principalement ici, à Paris, ce qui est un atout pour la localisation et la maîtrise des données. Il est composé d'équipes jeunes et extrêmement réceptives quant à cette problématique de sécurité et pleinement engagés dans une approche de type DevSecOps".

En quoi est-il innovant ?

"L'éventail de technologies est très large puisque cela va de l'électronique embarquée sur le drone aux serveurs de collecte de données jusqu'aux serveurs Web de notre service My Parrot où les pilotes de drones peuvent visualiser leur historique de vol".

En quoi est-il ambitieux 

"Nous devons maintenant nous assurer du niveau de sécurité de l'intégralité de nos traitements et travailler sur des outils permettant de traiter les demandes de suppression de données personnelles de manière automatique".