Judicaël Phan (Ubisoft) "Nous sensibilisons au RGPD grâce aux Lapins crétins"

Alors que la Nuit du data protection officer approche, le DPO du géant français des jeux vidéo évoque ses derniers chantiers.

Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur La nuit du data protection officer.

JDN. Dans le cadre de la mise en conformité au RGPD, vous avez décroché le label Gouvernance de la Cnil au printemps dernier. Pourquoi une telle initiative ?

Judicaël Phan est associate general counsel et global DPO chez Ubisoft. © Ubisoft

Judicaël Phan. Obtenir ce label validait tout d'abord notre capacité à nous mettre en conformité avec le RGPD. Au-delà de cet aspect, l'initiative a permis de dynamiser les équipes autour de la protection des données à travers un projet concret et jalonné. Ce qui a été un vecteur d'accélération pour la mise en conformité. Le référentiel du label a servi de guide pour structurer notre démarche.

Il nous a amenés à faire évoluer notre organisation et nos processus, à mettre en place des mécanismes de contrôle novateurs à destination de nos 700 millions de joueurs et à renforcer nos actions de sensibilisation en interne. Il est aujourd'hui le garant d'une conformité durable car, bien entendu, il n'est pas question de le perdre.

Quelle organisation avez-vous mise en place pour traiter de la protection des données personnelles ?

Nous nous sommes structurés pour accorder à ce sujet l'attention qu'il mérite. En 2017, nous avons créé un pôle d'expertise Data & Privacy au sein de la direction juridique. Nous jouons le rôle de référents et animons l'entreprise sur ce sujet. Fin 2017, nous avons constitué une équipe d'une quinzaine de personnes dédiée au pilotage du projet de mise en conformité au RGPD : la GDPR Core Team. Aujourd'hui, nous formons un réseau de privacy champions, qui comptera environ 70 personnes fin 2018, dont le rôle est de garantir la mise en œuvre de bonnes pratiques, notamment la notion de privacy by design, dans tous les studios et entités d'Ubisoft.

Vous parliez de mécanismes de contrôle novateurs. Quels sont-ils ?

Les joueurs sont amenés à partager des données lorsqu'ils jouent à nos jeux, ce qui nous aide à améliorer sans cesse leur expérience au sein de l'écosystème Ubisoft. Mais nous voulons aller plus loin. Nous commençons à introduire dans les jeux sur mobiles des mécanismes de consentement au partage des données. Certains existaient déjà avant, mais on a souhaité en ajouter de nouveaux et surtout les rendre plus conviviaux. L'idée est que tant qu'un joueur n'a pas accepté de partager ses données avec des partenaires, elles ne le sont pas. Dans la pratique, très peu de joueurs refusent de partager leurs données, mais il est important pour nous de répondre à toutes les exigences. Le plus remarquable dans cette démarche est que les équipes business identifient désormais le RGPD comme un avantage concurrentiel.

Quelles ont été vos actions de sensibilisation vis-à-vis de vos 14 000 collaborateurs ?

Chez Ubisoft, la culture de la protection de la donnée personnelle est bien ancrée, notamment grâce à notre jeu Watch Dogs, dédié au monde du hacking. Pour autant, le label nous impose de mener des actions de sensibilisation. Nous avons mobilisé notre esprit ludique et créé deux modules de sensibilisation qui mettent en scène les Lapins Crétins. Ces modules de trois minutes ont remporté un succès inattendu sur notre intranet. Ils font désormais partie du processus d'accueil des nouveaux arrivants. Nous prévoyons par ailleurs de les décliner par métiers et de les intégrer à un serious game que nous allons rendre obligatoire. Leur succès a même dépassé les frontières de l'entreprise puisque d'autres sociétés ont manifesté leur intérêt, si bien que nous envisageons de les repackager pour les diffuser à l'extérieur.

Résumé du projet

En quoi le projet est-il ambitieux :

"Nous avons débuté un tour des organismes de régulation des pays du monde entier, y compris les Cnil européennes, pour valider la conformité de nos mécanismes de contrôle de l'usage des données afin de les généraliser à tous les jeux, tous les supports et tous les pays de diffusion."

En quoi le projet est-il innovant :

"La mise en place de mécanismes de contrôle est une pratique qui nous distingue notamment dans l'écosystème des applications mobiles. Le recours à l'univers des est suffisamment novateur et efficace pour séduire d'autres entreprises."

En quoi le projet est-il fédérateur :

"Le déploiement des mécanismes de contrôle de l'usage des données sur mobile a convaincu les équipes business qui sont devenues nos meilleures ambassadrices sur la protection des données personnelles."