Elisabeth Quillatre (Renault) "Nous avons développé un tableau de bord du DPO"
A l'approche de la Nuit du data protection officer, la DPO de Renault explique comment elle s'est servie d'une obligation du RGPD pour créer un outil européen de suivi de la mise en conformité.
Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel projet majeur avez-vous mené cette année ?
Elisabeth Quillatre. Nous avons développé un tableau de bord du DPO qui regroupe au même endroit toutes les données nécessaires à son travail. Nous sommes partis des développements d'un registre obligatoire, qui décrit les conditions de chaque traitement de données opéré par l'entité juridique, quels sous-traitants interviennent dans ce traitement, quelles mesures de sécurité sont mises en place, quelle est la durée de conservation etc. Nous avons ensuite ajouté plusieurs modules : l'inventaire des failles de sécurité, les formations au RGPD effectuées, les études d'impact réalisées, les plaintes reçues pour non-conformité au RGPD et les contrôles effectués par la Cnil. Certaines de ces briques sont déjà actives en France, d'autres seront activées dans une deuxième version de l'outil qui sera livrée en janvier. Nous ajouterons un peu plus tard une dernière brique : l'exercice des droits par les utilisateurs ou les salariés – par exemple les demandes de suppression de données. Certaines de ces données sont intégrées en dur au registre via des bases de données, d'autres sont indexées et appelées via des API.
Concrètement, qu'est-ce que cet outil change dans votre travail ?
Avec le RGPD, nous ne déclarons plus nos traitements à la Cnil, nous devons à la place conserver des documents qui prouvent notre mise en conformité a posteriori en cas de contrôle. Cet outil nous permettra de montrer facilement notre mise en conformité aux autorités, par exemple pour prouver que nous avions bien sensibilisé nos salariés à ces nouvelles obligations. Autre intérêt : créer du lien entre ces différentes bases de données autrefois cloisonnées. Par exemple pour savoir si un contrôle fait suite à la plainte d'un client. Cet outil permet aussi aux DPO des différents pays européens où Renault opère d'avoir accès à un point d'entrée unique pour trouver toutes les informations de mise en conformité. Pour l'instant, cet outil est déployé en France et dans trois autres pays européens, avec des nombres variables de briques actives.
Quelles difficultés avez-vous rencontrées ?
La grosse difficulté est de gérer la vitesse de développement variable d'un module à l'autre. Lorsque nous modifions l'un des modules, nous devons aussi changer les API. Les outils sont interdépendants et doivent donc évoluer en même temps. C'est ce qui nous a par exemple obligés à reporter l'intégration du module d'exercice des droits, car nous n'avons pas pu le faire évoluer assez vite pour l'intégrer à la livraison prévue en janvier.
En quoi ce projet est-il innovant ?
"Il apporte des évolutions à un outil existant pour en faire quelque chose de totalement différent. C'est la première fois que je me retrouve dans une entreprise avec un outil unique qui me donne une vision globale sur toutes les missions que je dois remplir."
En quoi est-il fédérateur ?
"Nous avons associé les directions juridiques de plusieurs pays ainsi que les privacy ambassadors de nos directions métiers au siège, afin qu'ils participent à la création de leur futur outil de reporting."
En quoi est-il ambitieux ?
"C'est ambitieux car nous avons commencé en septembre et que tout doit être prêt pour décembre, ce qui implique un retroplanning extrêmement serré. Et quand on veut harmoniser un outil dans un groupe de cette taille, c'est toujours compliqué."
Elisabeth Quillatre est la data protection officer du groupe Renault depuis juin 2019. Elle occupait auparavant le même poste chez Christian Dior , après avoir travaillé pendant cinq ans sur les problématiques juridiques du département IT de L'Oréal.