2 Mar 2021

Profil de DPO : Céline Petit – DPO de Data need Advice

Nous avons eu le plaisir d’interviewer Céline Petit qui est revenue sur son parcours, ses actions et convictions en tant que DPO externalisé.

  • Pourquoi avoir recours à un DPO externalisé pour la protection de ses données ?
  • Pourquoi les logiciels de mise en conformité RGPD sont-ils indispensables au métier de DPO, et tout particulièrement pour un DPO externalisé ?
  • DPO externalisé : un métier d’avenir ?

2 ans après la mise en application du RGPD, nous constatons qu’il n’y a pas qu’une seule stratégie possible pour la conformité RGPD. Identifier et adapter ce qui se fait ailleurs peut être un bon moyen de poursuivre la mise en conformité dans le temps. 

Q : Pouvez-vous revenir sur votre parcours, et sur ce qui vous a amenée à devenir DPO externalisé ?

Ma double formation de juriste en droit public et en droit privé m’a permis de concilier mon attrait pour les missions de service public et l’intérêt général d’une part, et mon vif intérêt à chercher des solutions inventives en droit, notamment dans le domaine de la propriété industrielle et des nouvelles technologies. Cette double sensibilité m’a rapidement guidée vers le secteur de la recherche publique au sein de la filiale de valorisation de l’université de Grenoble. J’ai ensuite travaillé en tant que juriste, pour l’Institut des Sciences biologiques du CNRS où j’ai pu toucher du doigt les données personnelles utilisées dans le cadre de Recherches/Santé, puis de façon plus immersive pour l’Institut Curie où j’ai travaillé, par ailleurs, sur la mise en place d’un guide de bonnes pratiques sur l’utilisation des données personnelles dans le milieu associatif et caritatif en prévision de l’entrée en application du RGPD.

En 2018, je décide de me consacrer à temps plein au métier de DPO indépendant en fondant Data Need Advice.

 

Q : Qui sont vos clients et pourquoi ont-ils recours à un DPO externalisé ?

De par mon parcours et mon réseau, mes clients sont issus, pour la grande majorité, des secteurs de la e-Santé, des nouvelles technologies – notamment la Blockchain – et des assurances. Ils font appel à un prestataire externe car ils ne disposent pas en interne des ressources, des connaissances ou compétences suffisantes. Ils préfèrent donc avoir recours à un professionnel ayant des connaissances approfondies en matière de réglementation et de bonnes pratiques de mise en conformité. L’externalisation de cette fonction leur permet en outre de répondre à l’exigence d’indépendance du DPO dans ses missions, requise par le RGPD, et de réduire ainsi les risques de conflits d’intérêt.

 

Q : Quelle est votre vision du métier de DPO externalisé ?

Comme l’arborescence d’Adequacy regroupe l’ensemble des filiales d’un groupe au même endroit, je me vois comme le DPO Data need Advice d’une entité, en charge de plusieurs filiales que sont mes clients. Cet arbre global qui nous abrite tous a les mêmes racines, mais des branches différentes. Je me sens DPO pour l’intérêt général, mettant en œuvre des règles et actions spécifiques en fonction de mes clients. Dans le respect de la confidentialité bien sûr. 

Q : Quelle relation entretenez-vous avec vos clients ?

Le plus important, me semble-t-il, est de créer et maintenir un lien avec les équipes pour avoir une vision globale, susciter la confiance et l’envie de participer. C’est pourquoi je mets en place des comités de pilotage réguliers, des questionnaires de remontée d’information et des ateliers thématiques pour échanger avec tous mes clients. Par exemple, j’organise actuellement des ateliers consacrés aux AIPD pour que chacun en comprenne les enjeux, en quoi ils sont concernés, quels sont les critères impliquant la nécessité d’en faire une etc… L’écueil à éviter serait de me saisir de ce sujet dans mon coin, au risque que les équipes internes pensent que je décide seule de la nécessité ou non de faire une AIPD, et que cette dernière soit incomplète et ne reflète pas la réalité.

Diffuser et partager l’information dans l’entreprise est primordial non seulement pour garder le contact, mais plus globalement pour assurer une mise en conformité efficiente.

Une autre clé du succès, selon moi, réside aussi dans la capacité à comprendre dès l’amont de la mission le schéma de gouvernance de chaque client, et de s’adapter en conséquence pour délimiter les implications et rôles de chacun, avoir des relais internes efficaces. En effet, d’une entreprise à l’autre, mes interlocuteurs diffèrent. Dans les petites entreprises, je travaille principalement avec le responsable RH / administratif et le dirigeant. Dans les entreprises de taille plus importante, je vais être en contact avec les responsables des différents services, tels que les responsables techniques, les responsables RH, les responsables marketing /communication et, bien sûr, quand il y en a un, les RSSI, mais aussi des personnes impliquées directement dans les activités de traitement.

 

Q : Pourquoi avoir choisi Adequacy et comment utilisez-vous cette solution logicielle ?

La rédaction de mes rapports d’analyses notamment me prenait énormément de temps. Comme je suis passionnée de nouvelles technologies, j’ai rapidement cherché un moyen d’automatiser ce qui pouvait l’être et me suis renseignée auprès de différentes LegalTechs.

Adequacy s’est imposée comme la solution dont j’avais besoin. Grâce à son approche centralisée, elle facilite la réalisation des audits, le pilotage, elle fluidifie le contact avec les clients grâce à la possibilité de leur ouvrir un accès (commentaires possibles, sollicitations, etc..) et facilite la réalisation des registres de traitement et des AIPD. Elle permet également d’automatiser des process comme les demandes d’exercice des droits et de créer ses propres référentiels.

Grâce au temps qu’Adequacy me fait gagner, je peux me concentrer sur mon rôle de conseil auprès de mes clients et leur proposer, notamment pour les plus petits, des tarifs adaptés et avantageux. Je suis convaincue qu’Adequacy est un facteur de différenciation dans mon métier et c’est pourquoi je le propose systématiquement comme outil à mes clients. J’ai de très bons retours de leur part, ils voient en cette solution un gage d’efficience et de crédibilisation de mon offre.

 

Q : Quelle vision d’avenir portez-vous sur le métier de DPO externalisé ?

C’est indéniablement une profession qui a de beaux jours devant elle ! Je suis convaincue qu’avec l’évolution constante de la régulation sur les données et la croissance de l’usage des données dans l’entreprise, le recours à cette profession, pour les entreprises n’ayant pas les ressources en interne, va se démocratiser, jusqu’à devenir automatique. Tout comme une entreprise fait naturellement appel à un expert comptable ou à un avocat, elle fera appel demain à un DPO externalisé. Profession probablement vouée à se coupler à celle de Délégué à l’Éthique Numérique (DEO), intégrant à ses missions, en plus des dimensions juridique et technique, des enjeux éthiques qu’engendrent la collecte et le traitement de toutes ces données mais également le recours de plus en plus fréquent à des systèmes algorithmiques décisionnels/prises de décisions automatisées. J’appelle de mes vœux cette évolution car il s’agit de se mettre au service de l’intérêt général, de contribuer à construire pour nos enfants un monde qui protège les données et droits fondamentaux de chacun. C’est d’ailleurs pour cela qu’en parallèle de mon activité, et pour compléter ma casquette de DPO, je suis une formation certifiante de déléguée à l’éthique numérique (DEO).

 

Nous remercions Céline Petit pour son intervention sur son métier de DPO externalisé et sur le sujet de la conformité RGDP. Nous vous invitons à continuer la discussion avec Céline Petit sur Linkedin ou via son site internet.

DPO et RSSI : Quelle complémentarité dans leurs missions ?

DPO et RSSI : Quelle complémentarité dans leurs missions ?

Dans un article précédent, nous avions présenté l’évolution des missions du RSSI, clarifié son rôle, et souligné l’importance de son implication dans la démarche de conformité.  Intéressons-nous à présent au « Data protection Officer » (DPO), étape...