22 Oct 2020

Profil de DPO : Cécile Degeorge – DPO de Bouygues Immobilier

Nous avons eu la chance d’interviewer Cécile Degeorge. Ensemble nous sommes revenus sur son parcours et ses actions en tant que DPO de Bouygues Immobilier. 

  • Y a-t-il un avantage à avoir un passé de Responsable Digital pour être DPO ?
  • Quelle est la Task Force idéale pour mener à bien la mise en conformité RGPD ?
  • Comment sensibiliser les collaborateurs à cet objectif ? 

2 ans après la mise en application du RGPD, nous constatons qu’il n’y a pas qu’une seule stratégie possible pour la conformité RGPD. Identifier et adapter ce qui se fait ailleurs peut être un bon moyen de poursuivre la mise en conformité dans le temps. 

Sans doute trouverez-vous au sein de cet échange quelques bonnes pratiques qui sauront vous inspirer.

Q : Pouvez-vous revenir sur votre parcours et sur ce qui vous a amenée à devenir DPO au sein de Bouygues Immobilier ?

Après 10 ans chez Bouygues Telecom au sein de la direction marketing, en tant notamment que responsable de l’animation du site internet client, je suis devenue responsable du service digital chez Bouygues Immobilier, en charge de la prospection commerciale via le web. On m’a ensuite confié une mission sur le Big Data, dans le cadre de l’initiative « digital booster » qui visait à faire émerger des nouveaux sujets dans l’entreprise.

J’ai alors vu arriver le RGPD, qui m’a intéressée et j’ai donc demandé à devenir DPO du groupe. Grâce à mon parcours dans le Digital, j’avais une très bonne connaissance des problématiques opérationnelles et des sujets à risque, notamment par rapport aux prospects et clients. J’ai en revanche dû acquérir la partie réglementaire et technique et à cette fin j’ai suivi une formation de DPO certifiée à l’université technologique de Troyes, en partenariat avec PWC.

Q : En termes d’organisation : comment avez-vous réussi à identifier puis à mobiliser des relais en interne pour assurer la mise en conformité de votre organisation ?

Lorsque je suis devenue DPO en mars 2018, le sujet du RGPD était une priorité pour l’entreprise : il était sponsorisé par mon manager de l’époque, la directrice de la transformation digitale, qui était au Comex. Avec Delphine Poppe, la RSSI et une personne du service juridique, nous formions un trio totalement mobilisé pour avancer main dans la main sur ce sujet de conformité. Des comités de pilotage étaient organisés tous les mois, suivis de comité de production qui avaient lieu toutes les semaines au début du projet. L’implication des différents acteurs était forte, facilitée également par la présence d’un chef de projet MOA qui a notamment sollicité les métiers pour établir les expressions de besoin.

Indéniablement, mon parcours et ma bonne connaissance du tissu de l’entreprise ont été un atout pour mobiliser les différents acteurs, comme par exemple les directeurs commerciaux en région. Il me semble également que mon approche a facilité les choses : je me suis toujours efforcée d’être dans l’accompagnement plus que dans la contrainte. J’ai toujours envisagé le métier de DPO comme un « business partner » qui cherche avec les métiers des solutions pour être conforme avec le RGPD.

“Le parcours dans le digital et une bonne connaissance du tissu de l’entreprise sont un atout pour mobiliser les différents acteurs”

Un autre point important dans notre organisation a été la complicité professionnelle qui s’est développée avec Delphine Poppe, avec qui le partage la même vision et la même envie d’aider les métiers à faire correctement les choses. Ce tandem, cette complémentarité, cette forte disponibilité, cette approche opérationnelle partagée du sujet et la part belle laissée à l’accompagnement plutôt qu’à la coercition nous ont beaucoup aidées, et continuent d’être très utiles.

A présent que la mise en conformité est enclenchée, l’organisation évolue : je suis désormais rattachée à la direction juridique au sein du secrétariat général et nous sommes en train de mettre en place des comités de suivi pour pouvoir ancrer le projet dans la durée. Nous organisons toujours des réunions très régulières avec les filiales pour lesquelles je suis DPO et je continue de reporter auprès de la direction pour les sujets essentiels

Q : Quelle est la principale difficulté rencontrée par un DPO ?

Malgré nos efforts de pédagogie et les échanges nourris que je peux avoir avec les métiers, l’appropriation de ce règlement par les collaborateurs qui sont axés sur le business pur, loin des contraintes règlementaires, reste parfois difficile.

Si le RGPD est bien vu comme un sujet important dans le groupe, avec une grande mobilisation de la direction, ses conséquences ne semblent pas toujours claires pour les opérationnels, qui ont du mal à s’approprier le règlement et à comprendre l’importance de procéder à certaines mises en conformité, comme par exemple le suivi des contrats.

“L’appropriation du RGPD par les collaborateurs axés sur le business pur est parfois difficile” 

De ce fait, il est parfois compliqué de les faire adhérer, participer, jouer leur rôle. Nous avons déjà mis en place des modules de e-learning, nous travaillons avec le management et déployons régulièrement des actions de sensibilisation, que nous avons rendues obligatoires pour tous les collaborateurs en contact avec les clients et prospects. Mais le travail de pédagogie doit continuer pour faire prendre conscience à chacun que la protection des données nous concerne tous.

Merci encore à Cécile Degeorge pour le temps qu’elle nous a consacré et sa prise de parole sur le sujet de la conformité RGPD. Pour ceux qui souhaitent échanger directement avec elle. Cécile Degeorge est présente sur LinkedIn.

RGPD : Quel rôle pour le RSSI ?

RGPD : Quel rôle pour le RSSI ?

Le Règlement Général sur la Protection des Données personnelles (RGPD), entré en application le 25 mai 2018, amène les Responsables de la Sécurité des Systèmes d’Information (RSSI) à être sollicités dans le dispositif de mise en conformité des...

La CJUE invalide le Privacy Shield

La CJUE invalide le Privacy Shield

La Cour de Justice de l'Union Européen invalide la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis En revanche, elle juge que la décision 2010/87 de la Commission relative...