Profil de DPO : Laure Cartigny – Responsable cartographie des risques et DPO adjointe du Groupe Bolloré

Nous avons eu la chance d’interviewer Laure Cartigny qui nous a fait part de son parcours, de son organisation et de sa vision du métier de DPO au sein du Groupe Bolloré.

– En quoi la double casquette de DPO et de responsable cartographie des risques est-elle un atout au quotidien ?
– Face à des activités variées et donc à des problématiques de données personnelles diversifiées, comment sensibiliser l’ensemble des entités d’un groupe comme Bolloré aux enjeux et impacts du RGPD ?
– Quelle est sa vision de l’avenir du métier de DPO et, plus largement, de l’organisation des entreprises en termes de conformité ?

Parce que l’expérience d’un Délégué à la Protection des Données peut en inspirer d’autres, parce que nous croyons que le partage des bonnes pratiques permet aux organisations de gagner du temps et à la conformité de gagner du terrain, chaque mois, nous donnons la parole à l’un d’entre eux.

Pouvez-vous revenir sur votre parcours et sur ce qui vous a amené à devenir DPO au sein du Groupe Bolloré ?

J’ai rejoint le Groupe Bolloré en 2001. Rattachée tout d’abord à la Direction juridique, ma formation de juriste d’entreprise m’a permis d’appréhender rapidement les enjeux légaux d’un groupe très diversifié comme le nôtre. J’ai été ensuite rattachée au secrétariat général, dont une des missions concernait la mise en place de la stratégie Ethique et RSE du Groupe.

J’ai donc eu la chance de participer à l’élaboration de la politique sociale, environnementale et éthique de l’entreprise. C’est dans ce contexte que nous avons commencé à prendre en compte de manière accrue la protection des données personnelles, avant même l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD).

Je suis ensuite devenue Correspondant Informatique et Libertés de plusieurs entités du Groupe puis responsable de la cartographie des risques rattachée à la Direction financière et DPO de plusieurs entités du Groupe dont Bolloré SE et DPO Groupe adjointe. Cette double casquette « risques / protection des données » m’est très utile au quotidien. Elle me permet, notamment, de faire plus facilement la balance entre les risques pour l’entreprise et les risques pour les personnes physiques.

En termes d’organisation : comment avez-vous identifié vos relais en interne, comment faites-vous pour les mobiliser, les coordonner dans une structure de votre taille ?

Bien évidemment, dans un groupe comme Bolloré, il est impensable de faire reposer la mise en conformité au RGPD sur quelques personnes au sein de la Holding. Il était donc primordial de mobiliser l’ensemble du Groupe afin de définir des relais dans les divisions (transport & logistique, communication et stockage d’électricité).

A ce titre, je suis secondée par une personne, titulaire d’un master 2 cyberveille, cyberdéfense, cybersécurité, ayant les compétences à la fois juridique et technique nécessaires à l’accomplissement des missions de DPO. Nous avons donc commencé par sensibiliser la direction générale sur les enjeux et les impacts potentiels du RGPD. Nous avons ensuite mobilisé les différentes directions au sein des divisions du Groupe.

L’objectif était de porter ce sujet à la connaissance des directions, de leur montrer de façon concrète quels pouvaient être les impacts sur leurs activités. Nous nous sommes donc appuyés sur les directeurs des divisions pour qu’ils nous aident à identifier et qu’ils nomment les personnes susceptibles d’être des DPO (quand ces désignations étaient obligatoires) ou des référents à la protection des données. Nous avons également sollicité les directions transverses traitant à grande échelle la donnée personnelle, qu’elle soit de salariés, de clients ou de fournisseurs, afin de désigner des relais qui puissent échanger avec les DPO et les référents. 117 DPO et référents RGPD ont été nommés à ce jour au sein du Groupe. Ils sont présents principalement en Europe. Cependant, des référents et DPO commencent à être désignés à l’international.

Ces nominations suivent l’émergence des législations étrangères sur ce sujet. Nous avons créé un comité de pilotage dédié à la protection des données, qui rassemble l’ensemble de nos DPO, les référents RGPD des directions RH et Achats, mais également des membres de la DSI et de la direction de la sécurité des SI ainsi que de la direction juridique.

Ce comité se réunit régulièrement et définit les chantiers prioritaires et transversaux, valide des procédures en lien avec ces chantiers et constitue un temps d’échange précieux entre les DPO et les représentants des fonctions transverses.

Il me semble que l’une des qualités essentielles d’un DPO est d’avoir une bonne aisance relationnelle qui permet de fédérer les équipes en charge de la protection des données et facilite les interactions avec le « métier ». En effet, une connaissance approfondie des activités de l’entreprise aide à la bonne compréhension des problématiques liées aux données personnelles.

Cette connaissance globale me semble particulièrement importante dans un groupe comme le nôtre dont les métiers – et donc les questions relatives aux données personnelles – sont très diversifiés. Enfin, en complément des compétences techniques, relatives à la sécurité des systèmes d’information, ou juridiques, une des clés du succès est de savoir qui solliciter pour obtenir les informations dont vous avez besoin.

Quels sont les freins que vous avez pu rencontrer et comment les avez-vous surmontés ?

A l’instar de toute nouvelle législation, le RGPD a été perçu comme une nouvelle strate de contraintes, renforçant les obligations d’une loi déjà existante – en France la loi Informatique et Libertés – et portant son lot de difficultés supplémentaires pour les entreprises.

Pour lever ce frein, comme je l’avais déjà fait lors de l’émergence d’autres législations, il a été important de rappeler le contexte normatif dans lequel ce texte s’inscrit. Pourquoi le RGPD a-t-il été mis en place et quels sont les risques pour l’entreprise si elle ne se met pas en conformité ? Le rappel des sanctions administratives et financières conséquentes (pouvant aller jusqu’à 4% du chiffre d’affaires monde !), sans oublier les risques en termes d’image et de réputation, a souligné les impacts directs du règlement européen (qui sont assez similaires de ce que peut encourir une société au titre de la loi Sapin 2 ou sur le devoir de vigilance) et ainsi d’attirer l’attention de nos interlocuteurs.

« Le montant, la fréquence croissante des amendes et le fait que les autorités de contrôle n’hésitent plus à prononcer des sanctions importantes ont aidé nos interlocuteurs à prendre conscience de l’importance de se mettre en conformité. En effet, les risques encourus sont les mêmes qu’en matière de compliance ou de RSE. »

Un autre frein concernait plus particulièrement les DPO fraichement nommés qui se demandaient s’ils auraient les compétences suffisantes pour déployer cette nouvelle législation européenne et comment faire pour évaluer les risques pour les personnes physiques.

Pour lever ce frein, nous accompagnons chacun de nos DPO via des réunions mensuelles ou hebdomadaires que nous organisons, afin de les aider dans leurs prises de fonctions. Nous les guidons dans cette recherche perpétuelle d’équilibre entre les risques encourus par les personnes physiques et l’intérêt de l’entreprise à mettre en œuvre les traitements de données. Finalement, ce changement de regard n’est pas si compliqué à opérer.

« Les deux notions – risque pour l’individu et pour l’entreprise – ne sont pas antinomiques bien au contraire. Dès lors que l’on réduit les risques pour les personnes physiques, nous les réduisons bien in fine pour l’entreprise. »

Pourquoi avez-vous choisi la solution Adequacy ?

Tout d’abord, il est important de préciser que la direction DPO Groupe n’a pas imposé Adequacy aux membres du comité de pilotage. Nous avons demandé à plusieurs volontaires au sein de ce comité de tester différentes solutions puis de les présenter à l’ensemble de l’équipe.

Adequacy a été plébiscitée. La facilité de prise en main, l’aide constante en ligne et la possibilité de faire appel à l’équipe d’Infhotep à tout moment ont été particulièrement appréciées. Nous avons développé une relation de confiance avec nos interlocuteurs d’Adequacy qui permet de transmettre aux équipes en charge de l’outil nos demandes d’évolution, de perfectionnement.

Ainsi, nous avons été beta-testeurs de la dernière version V5.0 sortie en mai 2021. Les retours des utilisateurs ont été très positifs, à l’égard de cette version simplifiée de l’outil.

Quelle est votre vision du métier de DPO et des enjeux à venir concernant la conformité des organisations ?

Force est de constater que le DPO d’aujourd’hui n’a plus rien à voir avec le CIL d’hier !

Il me semble que la fonction de DPO, tout comme celle de Responsable de la Sécurité des Systèmes d’Information, sera de plus en plus au cœur de l’entreprise et de son management. Que ce soit pour de nouvelles applications ou de nouveaux services, tout, peu ou prou, va tourner autour des systèmes d’information et des nouvelles technologies.

Le rôle du DPO va se renforcer, pour cadrer l’utilisation des données personnelles dès les premières réflexions engagées autour d’un projet ou d’une évolution de service, mais aussi, de plus en plus, pour challenger le RSSI.

« Je pense que la conformité d’une organisation sera de plus en plus évaluée de façon globale. Les entreprises seront donc amenées à évoluer en se dotant par exemple d’un comité de gouvernance qui ne sera pas seulement composé de la direction générale, des directeurs financier, juridique etc…, mais intégrera (si ce n’est pas déjà le cas) le DPO, le directeur RSE, le Compliance Officer, le CIO le RSSI. »

Ensemble, ces acteurs joueront un rôle clé pour accompagner la croissance de l’entreprise et son adaptation face aux évolutions technologiques qui ne manqueront pas de se succéder.

Nous remercions Laure Cartigny pour cette interview et pour sa vision passionnée du métier de DPO au sein du Groupe Bolloré. Vous pouvez suivre et contacter Laure sur son compte Linkedin.