Arnaud David (CGI) "Nous avons créé un outil pour industrialiser la protection des données"

Alors que la Nuit du Data Protection Officer se rapproche, le DPO du groupe de services en technologies de l'information évoque son action sur les données des 71 000 salariés de la société et de ses clients.

JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ?

Arnaud David est le DPO de CGI. © CGI

Arnaud David. J'ai une formation juridique. J'ai commencé ma carrière en 2007 en tant qu'avocat spécialisé dans les TIC, successivement pour les cabinets August Debouzy et Baker McKenzie où je traitais des dossiers principalement axés sur la protection des données personnelles. Cette matière n'intéressait à l'époque que quelques grands groupes. J'ai ensuite quitté la profession d'avocat pour rejoindre la direction juridique de Microsoft France. J'ai alors travaillé non seulement sur des projets de transformation digitale de sociétés françaises et étrangères au moyen du cloud computing mais aussi sur les questions liées à la cybersécurité entourant ce nouveau phénomène. En 2016, j'ai rejoint CGI pour occuper le poste de chief data protection officer pour l'ensemble du groupe, c'est-à-dire pour une société regroupant 71 000 collaborateurs répartis dans 40 pays.

Quelle est votre place dans l'organisation de CGI, de quelle direction dépendez-vous ?

D'un point de vue organisationnel, je dépends du chief legal officer qui est par ailleurs membre du comité exécutif de CGI et secrétaire général de l'entreprise. En d'autres termes, j'ai un reporting direct auprès du comité exécutif, ce qui à mon sens est la position la plus opportune pour ce type de mission. La protection des données personnelles est un sujet juridique et éthique ayant de fortes incidences opérationnelles concernant toutes les fonctions d'une entreprise. Il est donc essentiel pour que cette mission prospère que les organes de direction soient des parties prenantes.

Quels sont les principaux enjeux de votre action au sein de CGI ?

Certains groupes internationaux très centralisés ont fait le choix de désigner un DPO unique pour l'ensemble des pays européens. Notre orientation a été différente, compte tenu de notre modèle d'affaires basé sur la proximité avec les clients. Nous avons opté pour une gouvernance étendue. J'ai ainsi la charge de la protection des données personnelles pour l'ensemble du groupe, mais je ne suis pas tout seul, j'ai autour de moi une équipe d'experts s'appuyant eux-mêmes sur un réseau de relais de proximité dans les unités d'affaires, au plus près des opérationnels. Pour la France par exemple, nous avons nommé une CIL en charge notamment d'organiser et d'animer ce réseau.

La singularité de CGI c'est que nous traitons les données personnelles de nos 71 000 professionnels mais aussi celles de nos clients dans le cadre de nos activités de conseil, d'intégration de systèmes et d'outsourcing . Lorsque nous aidons nos clients à se transformer, nous pouvons en effet, en tant que prestataire IT, être amenés à traiter énormément de données personnelles pour leur compte. Cela fait de la protection des données un vrai challenge, puisque l'idée est vraiment de concilier ce que l'on fait en interne et en externe. Avec la mise en place du RGPD, nos clients vont devoir se conformer à de nouvelles exigences. Je pense que ces exigences sont à double sens. Elles peuvent provenir des clients qui se sont d'ores et déjà engagés dans des projets de conformité. Mais ces exigences peuvent aussi venir de nous en tant que prestataire, car nous pouvons être en avance sur leur projet de conformité et l'on peut être amené à les conseiller sur ce que nous considérons comme étant un niveau de protection des données adéquat et qu'il conviendrait d'appliquer a minima dans le cadre des services que nous fournissons. Le RGPD requiert une conduite responsable dans le traitement des données personnelles.

Quelles premières mesures avez-vous prises à votre arrivée ?

L'un des premiers chantiers que j'ai mis en œuvre est la création d'une gouvernance dédiée à la protection des données personnelles. Car traditionnellement il y a énormément d'entreprises où l'activité de protection des données était faite à mi-temps ou reléguée au second plan. Nous souhaitions par conséquent mieux structurer l'organisation avec notamment des personnes qui travaillent à plein temps sur ce sujet. J'ai une équipe rapprochée de 10 personnes qui travaillent pour chacune des zones géographiques au sein desquelles nous opérons. J'ai également des relais dans chacune des "unités d'affaires" au niveau local. Cela fait un total d'une cinquantaine de personnes dans le monde qui travaillent pour mon organisation.

Nous avons par ailleurs initié la révision des politiques de protection des données personnelles en souhaitant que les exigences européennes soient étendues à l'ensemble de l'entreprise. Qui peut le plus, peut le moins ! Et dans la perspective d'industrialiser la protection des données, nous avons créé un outil non seulement d'inventaire, comme c'est requis par le RGPD, mais également d'analyse et d'évaluation des traitements. Donc, chaque personne ayant un projet en interne ou avec un client peut le rentrer dans l'outil, interagir avec mon équipe via cet outil afin de déterminer si oui ou non son projet atteint les niveaux requis de protection des données. Cet outil est appelé à évoluer en y intégrant de plus en plus d'automaticité voire pourquoi pas, de l'intelligence artificielle.

Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?

"Le RGPD n'est pas un système déclaratif et de conformité à un instant T mais bien un système d'amélioration continue"

Nous avons un programme de conduite du changement pour accompagner nos professionnels et leur expliquer ce que cela va changer pour eux au jour le jour. Ce programme est composé d'actions de communication (par exemple pour expliquer ce qu'est une donnée personnelle, un traitement de donnée) qui vulgarisent le sujet pour en assurer une bonne compréhension et assimilation. Ces actions sont diffusées sur notre intranet et via des relais que nous avons au sein des équipes opérationnelles. Nous avons également développé un e-learning accessible à tous qui décrit les grands concepts de la protection des données et inclut des questionnaires d'évaluation. De manière connexe, des formations plus spécifiques ont également été développées pour traiter les problématiques particulières des métiers qui sont amenés à traiter beaucoup de données personnelles (RH, finance, gestion de projets).

Quels sont vos principaux chantiers à venir ?

La protection des données c'est avant tout une question de culture d'entreprise, il faut toujours être en capacité d'augmenter le niveau de maturité de l'organisation. L'un des premiers chantiers est encore et toujours l'information et la communication. Par ailleurs, le RGPD n'est pas un système déclaratif et de conformité à un instant T mais bien un système d'amélioration continue. Il faut prendre en compte tous les retours que nous avons sur nos processus en interne, pour les modifier, les réformer et les améliorer. Le second pilier pour cette fin 2017, début 2018, c'est de continuer à améliorer l'intégration de la protection des données dans les projets réalisés pour nos clients, d'échanger et coopérer avec eux, de les accompagner dans leurs propres projets de conformité. Contrairement à une idée reçue, le RGPD n'opère pas un transfert de responsabilité client-prestataire en matière de conformité. Au contraire, il s'agit d'un nouveau paradigme basé sur la recherche d'un équilibre entre le responsable de traitement et le sous-traitant. Il s'agit plus que jamais d'une collaboration, d'une co-construction pour protéger au mieux la donnée et en assurer une utilisation responsable. 

Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.