Juliette Rouilloux-Sicre (Thales) "Nous avons créé une boîte à outils mondiale de protection des données"
A l'approche de la nuit du data protection officer, la DPO du groupe français détaille un vaste projet d'harmonisation de la politique et des outils de protection des données personnelles à l'échelle de 68 pays.
Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Sur quel projet majeur avez-vous travaillé ces derniers mois ?
Juliette Rouilloux-Sicre. Nous avons déployé en novembre une boîte à outils applicable à nos 80 000 collaborateurs dans 68 pays. L'objectif de ce projet est d'assurer partout dans le groupe la diffusion et l'implémentation d'une culture de protection des données personnelles. Cette boîte à outils contient des éléments de e-learning au sujet du RGPD créés spécifiquement pour le groupe. Il s'agit de cas pratiques du quotidien accompagnés de questions à choix multiples et d'un score final. Un questionnaire général est obligatoire pour l'ensemble des salariés du groupe. Nous en avons créé cinq autres spécifiques à certaines divisions : légal, achats, ventes, systèmes d'information et marketing.
Notre boîte à outils comporte aussi une fonction d'automatisation des mentions d'information que nos équipes doivent transmettre à toute personne sujette à des traitements de données, mais aussi des clauses contractuelles. Au lieu de les réécrire à chaque fois ou de risquer de ne pas inclure les bons éléments, l'employé remplit plusieurs menus déroulants qui précisent le type de traitement effectué et la base légale concernée. En fonction de ces choix, l'outil leur sort une mention d'information ou une clause contractuelle adaptée. Cette mention est identique peu importe le pays, même hors de l'Union européenne. Dernier élément de la boîte à outil, un registre des traitements de données, tels qu'exigé par le RGPD, et commun à nos 68 pays. Le groupe a décidé d'appliquer le RGPD partout dans le monde pour en faire un élément de différenciation auprès des clients non-européens.
Comment avez-vous mené ce projet à bien ?
J'ai pu m'appuyer sur un réseau de 400 correspondants et relais à la protection des données personnelles que nous avons formés dans les différents pays et divisions du groupe, afin d'avoir un maillage très fin. En termes de communication, nous avons créé une mascotte baptisée DP-e-O présente dans la boîte à outils et tous nos contenus relatifs au RGPD afin d'aider les employés à identifier rapidement la problématique. A présent, nous entrons dans une période d'audit pour vérifier que toutes ces méthodes seront bien appliquées dans la durée.
Quelles difficultés avez-vous rencontrées ?
"Nous avons décidé d'appliquer le RGPD partout dans le monde pour en faire un élément de différenciation"
Il a été compliqué d'expliquer à des collègues au Brésil ou au Moyen-Orient qu'ils devaient s'adapter à une réglementation qui ne s'applique pas chez eux, mais ils ont compris que cela faisait désormais partie de l'ADN du groupe. L'autre difficulté a été d'adapter cette boîte à outils au vaste champ d'activité du groupe, de la vidéo-protection à la cybersécurité, en passant par la défense, les transports, la biométrie et le spatial, aussi bien en B2C qu'en B2B.
En quoi votre projet est-il fédérateur ?
Nous avons créé une communauté internationale d'employés qui échangent sur des projets liés à la protection des données personnelles. C'est formidable en termes de culture de groupe.
En quoi est-il innovant ?
Nous avons mis en place une large palette d'outils adaptée au vaste univers du groupe, aussi bien sur la formation que la mise en conformité.
En quoi est-il ambitieux ?
Nous avons harmonisé nos outils et notre politique de protection dans 68 pays avec des cultures et des niveaux de maturité sur les données personnelles très différents.