Mon premier est DPO chez Foyer, Marie-Claire Pettinger. Mon second est DPO chez KBL epb, Maria-Dolores Perez. Mon troisième est DPO au Fonds européen d’investissement, Paolo Sinibaldi. Mon tout est une table ronde modérée par le rédacteur en chef de Paperjam, . Morceaux choisis.
Qu’est-ce qui vous a amené à ce rôle de DPO?
Marie-Claire Pettinger. – «Dans le cadre de ma carrière chez Foyer, je suis passée par diverses entités, du management et une vision transverse de la société. C’est une chance d’avoir une vue transverse. Le groupe Foyer est riche en traitement de données, que ce soit dans le domaine de la santé ou des données moins sensibles.
Maria-Dolores Perez. – «Je suis passé par la case de CISO, j’aime bien construire, et c’était très important. J’ai aussi une vue transversale, qui me permet d’être à l’aise dans tous les niveaux et dans tous les métiers. Je voudrais aussi signaler les apports de la CNPD. Le point de rencontre entre les deux métiers est d’aller très vite. Si je faisais une «tarte», le couteau se poserait à 75% à l’informatique et 25% au business user. Avec le RGPD vous retournez la tarte, 75% du business et process, et 25% à l’IT et systèmes de sécurité. D’où le besoin de construction et report au conseil d’administration, de notifications, etc.
Paolo Sinibaldi. – «C’était une évolution naturelle en 2016, après une vingtaine d’années d’expérience. Un passage naturel de la compliance au DPO. Au niveau européen, le RGPD n’est pas le premier texte qui règle la protection des données.
Tout le business se fonde sur les ventes par les agences, et les agents veulent continuer à faire du business et ne veulent pas entendre parler du RGPD.
Quel a été votre point d’attention principal?
Marie-Claire Pettinger. – «La spécificité que je relève est au niveau de l’organisation, plusieurs entités, et les données ont des finalités différentes. Et surtout le problème de l’opt-in commercial. Tout le business se fonde sur les ventes par les agences, et les agents veulent continuer à faire du business et ne veulent pas entendre parler du RGPD. Notre réponse a été d’essayer d’obtenir son opt-in, commercial et informatif, et nous leur avons donné des outils pour entrer en contact avec des clients. Un entraînement, des lignes de conduite, et un travail continu pour ce règlement à démystifier.
Maria-Dolores Perez. – «C’était le secret bancaire. En tant que banque, on est une banque sûre. Comment éduquer les employés pour ne pas porter préjudice au client? Un parcours spécifique aux banques.
Paolo Sinibaldi. – «Au niveau européen, la réputation et la confiance du public sont très importantes, nous devons donner l’exemple. C’est le rôle de notre autorité pour les 66 corps et agences européens. Comment nous sécurisons ces données? Comment nous préservons les données de nos partenaires commerciaux? Les attentes sont à un haut niveau.
Comment se sont passées vos relations avec la CNPD?
Marie-Claire Pettinger. – «Les relations avec la CNPD se passent très bien, elle agit plutôt dans son rôle de conseiller. Nous avons été audités par la CNPD, cette enquête thématique de Mme Larsen. Très enrichissante, un partage d’expérience. Nous en avons retiré un benchmark pour voir comment on se situe par rapport à nos voisins en Belgique ou en France.
Maria-Dolores Perez. – «Je n’ai pas spécialement peur de la CNPD. Ce sont des personnes avec qui je n’ai pas de problèmes à discuter. Ça a toujours été très positif. Il ne faut pas croire qu’il faut faire des choses onéreuses et des démarches d’ultra-protection, mais il faut par contre prévoir des discussions entre pairs et avec la CNPD. Les gens, les auditeurs, interprètent alors que ce n’est pas ce qu’on nous demande.
Le consultant n’est pas là pour rentrer dans de la course. Là, il vaut mieux avoir des gens formés.
Au début, vous avez été très sollicités par des prestataires externes?
Marie-Claire Pettinger. – «J’ai été fortement sollicitée au niveau consultance, beaucoup de propositions au départ. On n’a pas eu recours à la consultance externe, mais à des sous-traitants pour nous aider à implémenter le RGPD, pour le mapping des flux de données, par exemple.
Maria-Dolores Perez. – «J’ai demandé de l’aide pour créer la fonction. Une personne serait suffisante, pensait mon entreprise. Créer une équipe avec quelques profils très spécifiques. Le consultant n’est pas là pour rentrer dans de la course. Là, il vaut mieux avoir des gens formés. Les consultants doivent apporter de la valeur pour un saut quantique. Sinon, il faut le faire en interne. Le DPO n’existe qu’à travers ses appuis dans les différentes entités, il faut constituer une équipe.
Paolo Sinibaldi. – «Nous avons eu recours à un peu d’aide, mais on était chanceux d’avoir l’autorité européenne. Le Luxembourg est ‘the place to be’. Il y a une forte concentration de DPO au Luxembourg, c’est donc plus facile de discuter de différentes choses.
Le réseau, c’est important?
Maria-Dolores Perez. – «J’ai fait des benchmarkings. Au comité mensuel, à propos du RGPD, on me demandait: Que font les autres? Je vais les contacter. En trois ou quatre jours, j’ai une étude de la Place. Je banalise et je partage, y compris avec les Big Four.
Marie-Claire Pettinger. – «On a mis en place un groupe de travail à l’ACA, avec les assureurs les plus importants de la Place, un benchmarking. À propos des données de santé, l’assureur privé a été un peu oublié dans le règlement. Il manque la base légale pour le traitement des données de santé. La Sécurité sociale peut les traiter, mais l’assureur privé a été oublié.
La manière dont j’ai été présenté a été décisive, je n’ai pas été présenté comme le bloqueur.
En un an, le DPO a-t-il été soutenu en interne?
Marie-Claire Pettinger. – «Je me sens soutenue par mon comité exécutif, j’ai des relations aisées avec le board. Le groupe Foyer, en prenant ses dispositions assez tôt, a déjà démontré son soutien au DPO. Plutôt positif. Sans soutien de la direction, on ne peut pas avancer.
Maria-Dolores Perez. – «Le DPO est reconnu. On a eu notre premier audit interne. On voit le pouvoir du DPO, dans des réunions de passage de solutions en production. Le DPO doit prendre son pouvoir. Si vous n’êtes pas à l’aise avec une solution, n’ayez pas peur de dire ‘non’! Merci la CNPD. Il faut aller le notifier quand vous avez un risque élevé. D’abord, j’indique en interne que je dois dire stop et présenter un dossier à la CNPD. Ça met une force sur le DPO. Je tiens aussi un registre de tous les avis que je donne. Une entreprise n’aime pas quand l’information sort de son périmètre. Il n’y a pas que le ‘leak’, mais l’altération…
Paolo Sinibaldi. – «La manière dont j’ai été présenté a été décisive, je n’ai pas été présenté comme le bloqueur; au plus tôt ils m’impliquent, au plus tôt ils ont un deal. Je suis impliqué de plus en plus tôt. J’ai un accès direct au board, à toutes les sessions dont j’ai besoin, sans quoi c’est purement virtuel.
Quelles sont les évolutions technologiques qui vous préoccupent?
Maria-Dolores Perez. – «Le cloud et les demandes de solutions dans le cloud, le besoin de certification pour nous aider. On verra avec la blockchain. Pour la directive PSD2, on fait des analyses d’impact.»
Paolo Sinibaldi. – «Nous avons aussi un audit sur les ‘cloud service providers’ en cours.»
Marie-Claire Pettinger. – «Aussi le cloud. Avec l’obligation de secret professionnel, le cloud pose des problèmes de protection des données, mais aussi cet aspect secret professionnel.»