Florence Graveline (Sacem) "La Sacem a traité plus de 2 108 milliards d'actes de streaming et de téléchargement en 2017"

Alors que la Nuit du data protection officer approche, le DPO de la Société des auteurs, compositeurs et éditeurs de musique revient sur son plus gros chantier.

 Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.

JDN. Quel projet vous a particulièrement mobilisée cette année ?

Florence Graveline est DPO et responsable des études juridiques de la Sacem. © Sacem

Florence Graveline. Comme beaucoup d'entreprises, la mise en conformité au RGPD a été un sujet majeur pour la Sacem qui traite plus de 121 millions d'œuvres, les données de ses 164 500 membres et des milliards de données relatives à la répartition des droits d'auteur. A titre informatif, la Sacem a traité plus de 2 108 milliards d'actes de streaming et de téléchargement en 2017 ! L'enjeu pour moi a été de fédérer les équipes autour de cette mise en conformité que nous avons gérée en mode projet. L'objectif était de faire en sorte que la protection des données personnelles ne soit pas perçue comme une contrainte de plus dans le travail de chacun mais apparaisse comme une opportunité de valoriser la donnée, en cohérence avec notre mission de protection des droits d'auteur. Ma conviction était que les actions nécessaires ne pourraient être mises en place sans l'adhésion des collaborateurs à tous les niveaux.

D'où partiez-vous ?

Nous ne partions pas de zéro. L'anticipation par rapport aux exigences réglementaires a d'ailleurs été un facteur clé de réussite du projet et de la construction d'un modèle opérationnel pérenne. Nous disposons ainsi d'un registre depuis 2010. Nous avons conçu pour cela un logiciel sur mesure car nous avons des besoins spécifiques liés à la nature et à la complexité des données que nous manipulons. Nous l'avons fait évoluer au fil des ans en prévision du RGPD. Depuis 2016, la notion de privacy by design est intégrée aux nouveaux projets. Cela est le cas pour la plateforme URights, par exemple, que nous développons en partenariat avec IBM et qui permet de rechercher des données de vente de services numériques dans un environnement de big data.

Comment avez-vous procédé pour fédérer l'entreprise autour de ce projet ?

Organisés en mode projet, nous avons pu définir les chantiers avec des lots prioritaires, mobiliser les acteurs clés et créer des synergies où chacun apporte son expertise. Nous avons également lancé deux événements visant à mieux faire comprendre les enjeux liés au RGPD. En octobre 2017, nous avons organisé un colloque intitulé "La protection des données personnelles : l'affaire de tous". Nous y avons invité à la fois des personnalités extérieures pour montrer comment cela se passait dans d'autres entreprises et des collaborateurs de la Sacem. Ces derniers ont témoigné de l'opportunité d'intégrer, dès la conception, la protection des données dans les projets, comme cela a été fait pour URights.

Puis, nous avons organisé un forum, en janvier 2018, sur le thème "Reprenez la maîtrise de vos données". Le forum s'est tenu un mercredi entre 12 et 14 heures au siège de l'entreprise pour permettre aux collaborateurs et à leurs ados d'y participer. L'objectif était de changer la perspective du collaborateur en le plaçant de l'autre côté du miroir dans la posture de celui dont les données personnelles sont utilisées. Différents ateliers, sur la sécurisation des données bancaires et des mots de passe, sur l'utilisation d'objets connectés, ou encore un serious game ont permis aux participants de se mettre en situation et de comprendre l'intérêt du RGPD pour la protection de leurs propres données. Des podcasts des deux événements restent disponibles pour les collaborateurs qui n'ont pas pu y participer.

Et finalement, quels résultats ?

Premier constat : les collaborateurs sont passés d'une phase d'acceptation passive à une phase proactive. Surtout, ils ont désormais le réflexe de me solliciter en amont de leur projet, ce qui me permet de les accompagner, de les conseiller en leur proposant des solutions adaptées.

Résumé du projet

En quoi le projet est-il ambitieux :

"À la fois par le volume de données et de traitements considérés, le nombre de chantiers à mener et par le fait que nous devions entraîner nos homologues en Europe et à l'international dans notre dynamique : nous collectons pour nos membres dans 96 pays en s'appuyant sur des accords signés avec 116 sociétés étrangères. "

En quoi le projet est-il innovant :

"Nous avons conçu un logiciel sur mesure bien avant l'entrée en vigueur du RGPD, ce qui nous a permis d'anticiper la mise en place du Règlement et d'intégrer, dès 2016, les démarches de privacy by design dans nos nouveaux projets."

En quoi le projet est-il fédérateur :

"Grâce à nos différentes actions de communication et à l'organisation en mode projet, nous avons réussi à embarquer les différentes équipes - IT, métier, juridique - dans ce projet et à faire de chacun un acteur de la protection des données personnelles."