Nous avons eu le plaisir d’interviewer Jean-Paul Chavant qui nous a fait part de son parcours, de son organisation et de sa vision du métier de DPO au sein du Groupe Egis.

– DPO et RSSI sont-ils des métiers complémentaires au sein d’un grand Groupe ?

– Comment s’organise la mise en conformité du RGPD dans une entité de 15 000 personnes et de 270 entités juridiques ? 

– Quelles sont les prochaines étapes de la gestion de la conformité au sein d’une organisation mature comme Egis ?

Parce que l’expérience d’un Délégué à la Protection des Données peut en inspirer d’autres, parce que nous croyons que le partage des bonnes pratiques peut permettre aux organisations de gagner du temps et à la conformité de gagner du terrain, chaque mois, nous donnons la parole à l’un d’entre eux.

Q : Pouvez-vous revenir sur votre parcours et sur ce qui vous a amené à devenir DPO au sein du Groupe Egis ?

J’ai suivi une formation en ingénierie système télécom et réseaux informatiques. Après plusieurs années passées dans le domaine du déploiement des systèmes, je me suis orienté vers la cybersécurité. En 2015, j’intègre la DSI du Groupe Egis en tant que RSSI Groupe puis en 2018, quelques mois avant l’entrée en application du RGPD, c’est tout naturellement que j’ai proposé ma candidature pour devenir également DPO du Groupe. 

Je dis « naturellement » car nous n’avons pas attendu le RGPD pour gérer de la donnée à caractère personnel, et, en tant que RSSI, je gérais déjà tous les traitements en œuvre dans la DSI. De plus, le détail du règlement européen montrait beaucoup de similitudes avec le métier de RSSI (par exemple pour la partie analyse de risque, ou encore pour les techniques et les méthodes pour protéger les données personnelles, qui s’approchaient de la norme 27001 sur lequel s’appuie le métier de RSSI).

En endossant le rôle de DPO, j’ai pu apporter mon expertise technique et gouvernance de RSSI à la partie RGPD, tandis que la partie RGPD m’a permis d’améliorer ma connaissance du Groupe et de toutes les fonctions dans l’entreprise, d’en acquérir une connaissance 360, et m’a permis de travailler main dans la main avec les juristes de façon encore plus automatique que nous pouvions le faire précédemment.

Q : En termes d’organisation : comment travaillez-vous avec notamment la direction juridique et les directions métiers ? Qui sont vos relais en interne, comment faites-vous pour les mobiliser, les coordonner dans une structure de votre taille ?

La fonction de DPO est rattachée à la Directrice juridique et Secrétaire générale. Ayant une formation initiale en ingénierie et SSI, j’ai souhaité être épaulé par une juriste pour comprendre et apprendre tous les aspects réglementaires et également les questions relatives aux clauses des contrats.

En matière d’organisation interne, au sein d’une entité comme Egis composée de 15 000 personnes et près de 270 entités juridiques, un seul DPO ne peut pas gérer tout le monde.

“Les conditions de réussite du RGPD dépendent de l’efficacité de l’organisation mise en place”.

Nous avons donc fait le choix, dès le second semestre 2017, de créer un bureau dédié à la protection des données, qui gère toute l’organisation de la conformité RGPD. Ce bureau, qui se réunit mensuellement, est composé du DPO, d’un membre de la DSI, d’un membre de la direction juridique et de la direction de l’audit. On y invite également les métiers en fonction des problématiques qu’ils rencontrent.

Au-delà de nos points mensuels, qui sont programmés, nous organisons bien sûr également des points de pilotage aussi souvent que nécessaire, ou en fonction des problématiques spécifiques qui peuvent émerger.

Le bureau s’appuie en outre sur 17 correspondants RGPD qui ont été nommés au sein de chaque Business Unit (BU) et fonctions support (RH, finances, DSI…). Ces correspondants ont tous été formés en amont et ce sont eux qui font le lien avec leur métier. Le DPO, en sa qualité de pilote, est a minima informé de tous les sujets. Dès qu’une situation échappe au métier ou au correspondant du métier, cela remonte naturellement au bureau qui va pouvoir réagir en tant « qu’expert ».

“Confronter les idées permet de faire bouger les lignes”.

Nous ne décidons pas seuls dans notre tour d’argent. Les métiers sont impliqués dans les discussions pour trouver la meilleure solution possible les concernant. Il s’agit en fait de trouver le juste équilibre entre du « collégial » et du « corporate ». Ainsi, lorsqu’une politique Groupe a été définie sur un sujet donné, après avoir été mûrement réfléchie, justifiée, nous sommes intraitables et refusons les dérogations ; ainsi par exemple, nous avions décidé au niveau du Groupe que nous imposerions des clauses contractuelles types à toute société qui se présenterait avec le Privacy Shield. Nous n’avons pas voulu y déroger, malgré l’insistance de certains métiers ou filiales. La suite nous a donné raison ! 

Il me semble que les conditions de réussite du RGPD ne sont pas liées aux questions réglementaires, juridiques ou techniques mais dépendent de l’efficacité de notre organisation, de notre capacité de discussion et de la fluidité de communication.

Confronter les idées permet de faire bouger les lignes et surtout d’acculturer les personnes à la protection de l’information au sens large. Pour ce faire, nous organisons des sessions de formation à 3 ou 4, très interactives au cours desquelles les participants pouvaient poser leurs questions à tout moment. Ces sessions sont adaptées en fonction de l’activité des participants. Sur des projets particuliers, des négociations de contrats par exemple, nous allons sensibiliser les correspondants RGPD des Business Units, les porteurs de contrats ou encore les porteurs d’activité, en leur expliquant qu’ils ont une responsabilité de par leur fonction, et qu’ils doivent se transformer en évangélistes du RGPD auprès de leurs équipes.

Q : A quel moment avez-vous choisi de mettre en œuvre l’outil Adequacy au sein d’Egis ? Comment travaillez-vous au quotidien avec les intervenants ? Avez-vous pu trouver ensemble des solutions satisfaisantes et adaptées à votre organisation ?

Dans un Groupe aussi conséquent qu’Egis, prendre un outil et tordre l’organisation pour rentrer dans cet outil, ça ne fonctionne pas !

Nous souhaitions au contraire un outil qui s’adapte à l’organisation que nous avions réfléchie et mise en place au préalable. Comme Adequacy est natif RGPD et conforme aux principes de la CNIL française, cela rendait possible la façon dont nous voulions avancer.

Ce qui a été déterminant dans notre choix, c’est la disponibilité et l’écoute des équipes Infhotep, qui se nourrissent des retours des utilisateurs pour orienter le développement de la solution et la faire évoluer, en ajoutant notamment de nouvelles fonctionnalités. Ce n’était pas le cas des autres outils du marché que nous avons rencontrés. De fait, chaque nouvelle version d’Adequacy – et cela a encore été le cas avec la V5 fin mai – va dans le bon sens, et apporte de vrais plus à ses clients.

Q : Quelles sont les qualités essentielles d’un DPO d’après vous ?

La patience et la pédagogie car il faut savoir affronter les freins des personnes qui doivent mettre en conformité leur traitement !

Mon rôle de DPO est d’indiquer si le traitement est conforme mais pas de le mettre moi-même en conformité. Il faut donc travailler les idées reçues, les convictions de chacun pour les embarquer sur le bon chemin. Mon objectif est de faire basculer les responsables internes et les gestionnaires de traitement de leur fonctionnement habituel à une compréhension du rôle qu’ils ont à jouer dans la protection du système tout entier, au-delà de l’entreprise et des individus. 

Il faut les faire passer d’une vision de l’interdit (la réglementation en général est vue comme un empêchement de travailler) à une obligation de faire les choses de la bonne façon. Je ne leur interdis pas d’utiliser les données à caractère personnel, au contraire, je les y autorise, dès lors qu’elles le font d’une façon qui est respectueuse des personnes. 

Depuis 3 ans, j’ai noté un changement de perception, une évolution de la majorité des personnes qui contribuent à la conformité. Reste à en faire de véritables promoteurs du RGPD autour d’eux ! Un important travail de pédagogie est encore nécessaire pour embarquer ceux qui n’ont pas encore compris que ce sujet doit être appréhendé, non plus seulement d’un point de vue technique ou juridique, mais bien dans une logique de culture du risque, domaine pour lequel l’appétence est assez peu développée en France.

Q : Quels sont les enjeux liés à la conformité dans une entreprise comme Egis et quelle est votre vision de l’évolution du métier de DPO?

Au sein d’Egis, nous avons atteint un premier niveau de maturité en matière de conformité. Nous devons désormais atteindre le deuxième niveau, qui consiste à passer du mode « build » au mode « run ». Pour y arriver, nous pensons à la mise en place de DPO opérationnels dans chaque BU. 

L’étape 3, que nous menons en parallèle, concerne l’international. Nous avons mis en place notre organisation et politique en matière de conformité de la même façon partout dans le monde, y compris dans les pays dans lesquels il n’y a pas de réglementation en vigueur. Notre objectif est de continuer à faire comprendre aux équipes dans ces pays, qu’en tant que Groupe européen, nous avons une responsabilité en termes de protection des données. D’importants efforts de pédagogie ont été faits et continuent d’être nécessaires, avec, en tenant compte qui plus est de la barrière de la langue. Au même titre que pour les BU européennes, nous pensons à développer le concept de DPO opérationnels dans les BU à l’international également. 

A terme, je pense que les entreprises se doteront d’une direction « Sécurité » ou « Protection de l’information » au sens large, qui regroupera des profils aux compétences complémentaires : RSSI, juristes, DPO, responsables de la sécurité des personnes… Tous les volets liés à la sécurité seraient ainsi regroupés dans une même direction, pour plus d’efficacité, puisque finalement, tout est lié !

Nous remercions Jean-Paul Chavant pour cette interview et pour sa vision passionnée du métier de DPO au sein du Groupe Egis. Vous pouvez suivre et contacter Jean-Paul sur son compte Linkedin.