Profession : gardien des données

Le compteur tourne ! Les établissements financiers n’ont plus que six mois pour être en conformité avec le nouveau règlement général sur la protection des données (RGPD). Comme le rappelle Michael Bittan, associé cybersécurité chez Deloitte : « Même si les banques et les sociétés d’assurances n’ont pas attendu le RGPD pour s’emparer de la question, ce texte va ébranler fortement les processus déjà en place ». Les entreprises auront en effet pour obligation de cartographier l’ensemble des données personnelles de leurs clients et de leurs collaborateurs, « une démarche qui se révèle très lourde sur le plan opérationnel car elle suppose de scanner les bases de données, mais aussi les documents Word, Excel ou PDF qui peuvent contenir des données personnelles », souligne Olivier Henry, associé chez EY en charge du département IT & Risque Assurance. « Les établissements financiers devront également appliquer de nouvelles dispositions comme l’auto-contrôle permanent afin d’être en mesure de ‘démontrer’ leur conformité, le consentement obligatoire, l’anonymisation des données, le droit à la portabilité et à l’oubli, ou le ‘privacy by design’ qui implique d’intégrer la protection des données personnelles dès la conception d’un nouveau processus », complète Yann Padova, partner en charge de la pratique « données personnelles » au cabinet d’avocats d’affaires Baker McKenzie à Paris.

Le RGPD aura aussi des incidences en matière d’organisation et de gouvernance. D’abord parce qu’il impose une nouvelle fonction au sein des organigrammes : celle de data protection officer (DPO). La Société Générale vient d’ailleurs de nommer le sien. Antoine Pichot, plus de vingt ans d’ancienneté dans la banque au logo rouge et noir, jusque-là codirecteur de la stratégie, du digital et de la relation client de la banque de détail en France, est désormais le gardien de ses « data ». « Le rôle du délégué à la protection des données s’apparente à celui d’un chef d’orchestre, explique Yann Padova. Il devra d’abord rapporter au plus haut niveau de l’entreprise, tout en bénéficiant d’une totale indépendance pour agir. Il aura également pour mission de piloter la politique en matière de protection des données personnelles, de s’assurer de sa conformité, et de servir de point de contact avec l’autorité de contrôle. »

Recrutements à venir

Dans les entreprises qui disposent déjà de correspondants informatique et libertés (CIL), ces derniers ont vocation à revêtir le costume de DPO. Cela devrait être le cas de Philippe Salaün, 56 ans, CIL de CNP Assurances depuis 2008 : « Pour remplir cette mission, il faut bien connaître la réglementation sur les données personnelles, le métier de l’assurance, les risques qui y sont associés et les systèmes d’information. Mon parcours me place à la croisée de tout cela », estime ce titulaire d’une maîtrise de gestion qui a travaillé dix ans comme consultant IT pour le secteur bancaire, avant de rejoindre en 1996 CNP Assurances, où il a été successivement responsable organisation, responsable maîtrise d’ouvrage SI et responsable des risques opérationnels.

Bientôt, le RGPD déclenchera des recrutements, prévoit Paul-Olivier Gibert, président de l’Association française des correspondants aux données personnelles (AFCDP), qui fédère une communauté de 2.200 adhérents experts en données personnelles : « Il est de bon usage, lorsque le risque lié à une catégorie augmente, de voir mécaniquement les ressources augmenter. Cela devrait donc être le cas pour la protection des données personnelles car le DPO ne pourra pas tout faire tout seul. » L’offre de formation est ainsi en train se renforcer significativement pour accompagner la montée en compétences des entreprises sur le sujet. L’école d’ingénieurs du numérique, l’Isep, propose depuis quelques années un mastère spécialisé « Management et protection des données personnelles ». Et en 2016 et 2017, les universités Paris-Descartes et Panthéon-Assas ont inauguré des DU « Protection des données à caractère personnel » et « Délégué à la protection des données ». La croissance des offres d’emploi s’observe également sur le jobboard de l’AFCDP. « Nous recevons depuis mai une trentaine de nouvelles offres chaque mois, et il s’agit en majorité de CDI, alors qu’auparavant, il s’agissait plutôt de stages, confie Paul-Olivier Gibert. Et lorsqu’on observe les intitulés, ‘chef de projets données personnelles’, ‘DPO adjoint’, ou ‘chargé de mission auprès du DPO’, on constate qu’un début d’écosystème se met en place autour du futur DPO. » Chez CNP Assurances, aucune embauche n’est programmée pour l’heure. Avec une personne à temps plein au sein de son équipe, Philippe Salaün s’appuie sur une dizaine de collaborateurs sensibilisés à la protection des données. « Nous sommes d’ailleurs en train d’étoffer ce réseau car le RGPD impose d’instaurer des relais dans chaque direction métier, rappelle-t-il. Concernant les recrutements, nous évaluerons les moyens humains à mettre en œuvre lorsque la politique et les processus à déployer auront été définis. »

Boom dans le conseil

Du côté des prestataires, les effets du RGPD se font davantage sentir. « Nous avons accru nos ressources dans les trois grands départements qui travaillent sur le sujet, confirme Olivier Henry chez EY. Dans la partie juridique, trois avocats ont été recrutés spécifiquement pour le RGPD. L’équipe cybersécurité et data est, elle, passée de 25 à 30 professionnels, et mon département IT a embauché 10 nouveaux experts. Ces 15 arrivants ne sont pas dédiés au RGPD mais ont aussi vocation à intervenir sur ces missions. » En septembre, Nicolas Ochoa, 36 ans, a été recruté par Deloitte comme consultant senior en droit des données personnelles. « Après mon diplôme de Sciences Po Toulouse, j’ai consacré huit ans à une thèse sur le droit de la protection des données personnelles », explique ce spécialiste plongé, ces dernières années, dans une intense activité scientifique. Il a rédigé des articles et enseigné dans des universités et écoles de commerce et d’ingénieurs. « J’ai été recruté fin 2016 par un cabinet de conseil spécialisé en protection des données personnelles et, six mois plus tard, un chasseur de têtes m’a proposé le poste que j’occupe aujourd’hui chez Deloitte. » Le RGPD le mobilise à plein temps. « Mon rôle consiste à organiser et faciliter l’avancement de projets très complexes qui nécessitent parfois de déployer des outils additionnels dans les SI, confie-t-il. Mon travail implique aussi de sensibiliser les entreprises qui ne perçoivent pas toujours clairement les enjeux induits par le RGPD. »

En tant que CIL, Philippe Salaün consacre quant à lui 80 % de son temps à ce règlement. « Au rythme de quatre réunions par jour, j’anime tous les chantiers et sous-chantiers qui vont déboucher sur la définition d’une nouvelle politique en matière de protection des données personnelles, dit-il. Je dois aussi m’assurer que tout ce qui est fait est cohérent, et en phase avec la feuille de route qui doit nous conduire à être conforme d’ici à la date butoir, tout en veillant à ce que nos sous-traitants appliquent cette politique. » Pour animer ce chantier titanesque, mieux vaut être organisé et rigoureux. « Le RGPD implique de traiter de nombreux points, raconte Nicolas Ochoa. Il faut prioriser les actions et faire preuve de beaucoup de pédagogie car on a face à soi des experts du marketing, des RH, du service client à qui il faut traduire le plus simplement le règlement et ses exigences. » L’ampleur de la tâche est telle que la plupart des établissements financiers ne devraient pas être totalement prêts le « jour J ». « Les clients ont identifié les impacts, les processus à modifier et les outils technologiques qui vont leur permettre d’opérer cette bascule, mais les actions de remédiation sont lourdes à mettre en œuvre, avertit Olivier Henry. A l’entrée en vigueur du RGPD, la majorité des banques et des sociétés d’assurances montreront avant tout qu’elles ont initié une démarche et défini la stratégie qui leur permettra d’atteindre la conformité dans des délais raisonnables. » Rendez-vous donc le 25 mai prochain.

{"title":"Le r\u00f4le du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es s\u2019apparente \u00e0 celui d\u2019un chef d\u2019orchestre ","name":"YANN PADOVA, Baker McKenzie»,"body":"","image":0,"legend":"","credit":""}