Amine Talbi (DPO, Tessi) "3 800 traitements ont été cartographiés dans le cadre de notre projet RGPD"
Alors que la Nuit du data protection officer approche, le DPO de Tessi, prestataire français de processus externalisés, détaille sa stratégie RGPD, à la fois en termes de process et d'outillage.
Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quel a été votre projet majeur en 2018 et 2019 ?
Amine Talbi. Il a consisté à intégrer les exigences du RGPD à la fois à nos traitements internes et à nos offres commerciales. Notre catalogue regroupe plus de 68 offres de services. Elles recouvrent la digitalisation des processus documentaires, les processus de back office métiers, de marketing et de relation client, le conseil et l'intégration, l'édition de logiciels, et les services de data center et de cloud computing. Nous opérons notamment pour des clients dans le secteur bancaire et assurance qui nous soumettent à des exigences fortes et des audits réguliers. Au total, nous comptons environs 100 audits par an de la part de nos clients.
En termes d'organisation, Tessi représente 9 500 collaborateurs. Nous avons réalisé un chiffre d'affaires de 427 millions d'euros en 2018, avec à la clé une croissance organique de 5%. Le groupe est présent dans 11 pays, à la fois en Europe et à l'international. En interne, nous déployons des processus sur-mesure en matière de facturation, d'encaissement, d'éditique, d'onboarding de nouveaux salariés ou encore de modification des données clients. Pour vous donner une idée des volumes concernés par le projet, nous numérisons et traitons 375 millions de pages et 1,7 milliard de chèques et encaissements chaque année. Nous éditons en parallèle 160 millions de pages et gérons 7,3 millions d'appels entrants ou sortants.
Quel a été le principal enjeu de ce projet de mise en conformité au RGPD ?
De répondre à la réglementation à plusieurs titres. D'abord en tant que responsable de nos propres traitements internes. Ensuite en tant que sous-traitant pour le compte de nos clients. Enfin, en tant que responsable conjoint avec certains clients, dans le cas où nous leur fournissons des moyens, des logiciels pour traiter leurs données.
Dans le cas où Tessi agit en tant que sous-traitant ou responsable conjoint, nous mettons en place un atelier obligatoire dédié à la sécurité et à la conformité au RGPD visant à évaluer, ensemble avec le client, la sensibilité des données concernées par la prestation, à identifier d'un commun accord des mesures de sécurité appropriées couvrant le cycle de vie des données en fonction de leur nature, les risques et les coûts. Nous nous assurons également que les dispositifs prévus par le RGPD relatifs au transfert des données personnelles hors de l'Union Européenne sont pris en compte dès la conception du projet. Sur ce dernier point, nous avons d'ailleurs déposé en octobre 2018 auprès de la CNIL une demande d'adoption de nos BCR (en anglais Binding Corporate Rules ou BCR, ces règles désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne, ndlr).
"Notre logiciel de gestion des risques et de la conformité a été équipé d'un module pour piloter nos processus RGPD"
Pour sensibiliser les personnels, 15 sessions de formations ont été dispensées, à la fois en e-learning et en présentiel. Au total, l'équipe de pilotage compte 15 personnes dont un auditeur à plein temps centré sur le RGPD et deux juristes également à plein temps sur les questions de gestion des données personnelles.
Quelles ont été les différentes étapes de mise en place ?
Le projet de mise en conformité du groupe Tessi au RGPD a démarré en avril 2017. Il s'appuie sur deux phases : Build et Run.
Sur l'étape de Build, nous avons mis en œuvre une gouvernance dédiée à la protection des données personnelles applicable à l'ensemble des filiales et pilotée par mon équipe. Elle vise à construire, suivre et animer le déploiement du programme de protection des données, aligné sur les enjeux stratégiques de réduction des risques. Elle s'est traduite par la mise en œuvre d'un réseau de DPO locaux. Elle a aussi donné lieu à un état des lieux de la protection des données pour chaque filiale, avec l'élaboration d'un indice de maturité. Ensuite, un cadre général de protection des données personnelles a été formalisé. Il se compose de 30 procédures, instructions et enregistrement, 7 grilles de contrôles interne, et 6 fiches de bonnes pratiques.
Comment pilotez-vous la mise en conformité des traitements, c'est-à-dire la phase de Run ?
Une cartographie des traitements a été réalisée. Nous avons identifié 849 traitements en tant que responsable de traitement, et 2 957 en tant que sous-traitant. 12 indicateurs de performance ont été élaborés pour mesurer et suivre la conformité. En parallèle, une structure de gouvernance a été mise sur pied pour superviser l'état d'avancement du travail. Elle s'articule autour d'une réunion mensuelle par filiale, ainsi que quatre comités de pilotage et deux revues de direction par an. Le chantier de mise en conformité couvre de nombreux domaines : avenants contractuels, conformité de nos logiciels, de nos traitements, suivi des recommandations après audit interne RGPD, traitement des demandes d'exercice des droits des personnes sachant que nous en avons instruites plus de 350…
Par ailleurs, la stratégie RGPD a été outillée. L'éditeur de notre logiciel de gestion des risques et de la conformité, G2Développement, a développé un nouveau module pour piloter nos processus RGPD. Il nous permet de regrouper l'ensemble de nos traitements, notre base documentaire, et d'assurer le suivi de toutes les actions de conformité. Il permet aussi de gérer les différentes notifications obligatoires en cas de violation de données personnelles. Le module crée une fiche par incident sur la base de laquelle une réunion de crise pourra être mise en place pour définir d'éventuelles actions de remédiation.
Quel est le principal facteur de réussite de ce projet ?
Sa réussite est à mettre au crédit d'une implication forte de la direction générale. Ce projet est au cœur des préoccupations de Tessi, notamment en tant que garant de la confiance numérique nécessaire à ses clients et à la transformation digitale.
En quoi le projet est innovant ?
En tant que prestataire de services, Tessi a dû intégrer les exigences du RGPD à la fois en tant que responsable du traitement, de sous-traitant et de responsable conjoint. Le groupe a complété son application de gestion des risques et de la conformité d'un module taillé spécialement pour orchestrer ses processus RGPD.
En quoi le projet est ambitieux ?
Les données à traiter son massive. Chaque année, Tessi numérise et traite au total 375 millions de pages et 1,7 milliard de chèques et encaissements. Il édite 160 millions de pages et gère 7,3 millions d'appels entrants ou sortants.
En quoi le projet est fédérateur ?
Le projet concernait l'ensemble des services de l'entreprise. La direction général a joué le rôle de sponsor ce qui a constitué un élément clé dans sa réussite.