Marion Ledoux (Safran) "Nous avons publié notre outil de pilotage de la conformité RGPD en open source"
Alors que la Nuit du data protection officer approche, la DPO du géant français de l'aéronautique, de l'espace et de la défense évoque ses chantiers.
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Sur quel gros chantier avez-vous travaillé cette année ?
Marion Ledoux. Nous avons déployé un chantier international de mise en conformité au RGPD. Dans ce cadre, un module d'e-learning a été conçu avec pour objectif de sensibiliser les salariés à ce qu'apporte le nouveau règlement, aussi bien en termes de traitement des informations clients, fournisseurs, partenaires que de recrutement ou de ressources humaines. Un quiz valide l'acquisition des notions et permet d'obtenir une certification interne à partir de 70% de bonnes réponses. En complément, nous proposons des sessions de formation présentielle à des populations ciblées : chargés de recrutement et chefs de projet informatiques. L'objectif étant de leur détailler l'impact du RGPD sur leurs activités. Nous avons également mis en place un réseau de DPO au sein des principales sociétés du groupe. En complément, une politique groupe de protection des données personnelles a été mise en place ainsi que l'insertion de principes de protection des données personnelles dès la conception et par défaut dans les process de projets informatiques.
Dans le sillage de cette démarche, Safran a développé une application web de vérification de la conformité des traitements de données personnelles. Elle permet de réaliser l'analyse de conformité, l'analyse d'impact et de gérer la tenue d'un registre des activités de traitement. C'est là notre projet le plus innovant et le plus ambitieux sur ce terrain. Grâce à cette application disponible en français et en anglais, les DPO peuvent piloter et superviser la conformité des traitements en lien avec les équipes métiers concernées pour toutes les sociétés du groupe. L'application souligne les informations obligatoires mentionnées dans l'article 30 du RGPD et permet la validation par les DPO des réponses saisies par les personnes en charge de traitements de données personnelles.
Quelles difficultés avez-vous rencontré ?
L'un des principaux défis a été de mettre en place une démarche unique pour l'ensemble du groupe. Démarche partant de la sensibilisation et de la formation jusqu'au déploiement opérationnel de l'application de gestion de la conformité, et cela auprès d'une population de plus de 91 000 salariés.
Où en êtes-vous dans l'exécution du projet ?
Le projet est bien avancé. La formation est proposée en e-learning aux salariés en deux langues depuis six mois. L'application de pilotage de la conformité est opérationnelle en interne depuis août suite à un développement de moins de neuf mois. Elle vient compléter l'outil de PIA de la Cnil, et reprend les questions contenues dans le registre PME de cette dernière. Elle a été mise à disposition par Safran en open source sur la plateforme GitHub.
Résumé du projet
Pourquoi il est fédérateur pour l'entreprise
"Plusieurs populations tirent avantage de l'application Safran de pilotage de la conformité. Chaque direction et département met désormais en œuvre des traitements de données personnelles via cet outil doté d'une gestion multi-sociétés et multi-langues. Il pourrait par ailleurs être réutilisé pour d'autres types de procédures".
Pourquoi il est innovant
"L'application a été mise à disposition de tous sur Internet par la DSI de Safran. Elle est disponible sur GitHub sous licence GNU GPLv3, ce qui autorise sa réutilisation et son enrichissement par d'autres sociétés. La démarche de publication du code d'une application développée par Safran est une pratique nouvelle en particulier sur des sujets de conformité".
Pourquoi il est ambitieux
"L'ambition du projet était de parvenir à déployer en moins d'un an une application de pilotage de la conformité unique, indépendante de toute autre solution et simple à installer pour l'ensemble des sociétés du groupe."