Interview d’Olivier Clément, DPO chez iQera

« Toujours penser à 5 ans ». Pour réfléchir à ce que l’on veut, comment le mettre en œuvre, le réaliser et faire preuve de patience.

Olivier Clément, DPO, Data Protection Officer

Racontez-nous votre parcours et pour quelles raisons avez-vous choisi votre métier ?

Dans le cadre de ma formation en Ecole de Commerce, je me suis spécialisé dans le Management de l’Innovation et des Systèmes d’Information, car mes premiers jobs m’ont montré l’importance de ces deux points dans la gestion des entreprises. J’en ai eu la pleine confirmation lorsque, pendant 13 ans, je travaillais sur la transformation des organisations et des systèmes d’informations. J’ai vu dans le quotidien d’une entreprise la difficulté de transformation et d’adoption des outils par les Clients et Collaborateurs, les impacts sur leur manière de travailler, voire la perception même de leur mission.

 

Durant ces années, j’ai également appréhendé l’importance du facteur réglementaire sur un marché et l’organisation des entreprises, notamment par le caractère disruptif de la Directive sur les Services de Paiement instaurant le SEPA (Single Euro Payment Area) et de l’instauration du 3D-Secure. J’ai également touché du doigt les logiques d’influence et de communication des entreprises dans le cadre de l’émergence des produits et services de paiement. J’ai donc fait un Master en Intelligence Economique pour bien appréhender ces démarches et risques pour les entreprises.

 

Puis, fin 2013, j’ai basculé dans le monde de la Conformité pour comprendre le fonctionnement des Régulateurs, et être au plus proche des transformations liées à la réglementation. J’ai alors découvert la loi informatique et liberté, le RGPD commençait à être évoqué.

 

Ce parcours permet de disposer des compétences attendues d’un DPO : gestion de projet, transformation d’entreprises, sécurité informatique et physique, conformité, contrôle interne.

 

J’ai retrouvé dans la Protection des Données Personnelles et de la Vie Privée mes deux principaux moteurs de motivation. D’une part une activité associant transformation des organisations, communication, innovation (Gestion des Registres, des cookies, pseudonymisation …). D’autre part, le sentiment de participer au développement de l’économie et des valeurs de l’Union Européenne.

 

Depuis quand travaillez-vous avec iQera ?

Je travaille chez iQera depuis décembre 2019, en tant que DPO Groupe.

Avez-vous quelques chiffres clés à nous communiquer ?

  • Un Pôle DPO composé de 2,5 ETP ;
  • 16 Référents RGPD dans le Groupe ;
  • Une vingtaine de projets accompagnés par an ;
  • 8 modules de formations dispensés régulièrement dans le groupe ;
  • Environ 100 demandes d’exercice de droits (accès, rectification, opposition …) par an.

 

Concernant ces exercices de droit, jusqu’en 2019 nous recevions une dizaine par an. Selon une étude de la CNIL, 80% des exercices de droits sont réalisés par des hommes diplômés et cadres. La nature de notre activité induit que les profils des personnes nous sollicitant sont beaucoup plus variés. Le RGPD est davantage connu, mais j’espère que nos actions contribuent à diffuser cette connaissance.

Comment se déroule la journée-type d’un DPO ?

Il n’y a pas vraiment de journée-type car le RGPD induit d’intervenir dans de nombreux processus de l’entreprise, tant des fonctions Support que Métier, et car il s’agit d’une fonction de gestion de risques, et donc soumis aux aléas de l’activité.

 

Au cours d’une même journée, je peux traiter des sujets très différents :

 

  • Côté Clientèle, cela peut être :
    • répondre à des appels d’offres,
    • prendre part à la négociation de contrat client,
    • gérer des audits, contrôles ou questions,
    • autoriser l’activation de prestation,

 

  • Côté Fournisseur,
    • intervenir en tant que Donneur d’Ordres (appel d’offre, contrat, audit …),
    • Préparer des travaux pour un projet,
    • Analyser des exercices de droits avec le pôle médiateur,
    • Réaliser de la veille,
    • Conseiller les collaborateurs (comment envoyer des documents, dans quelle mesure ils peuvent être transmis, comment adapter une activité …),
    • Gérer des risques ou des contrôles permanents (les construire, les dérouler…),
    • Construire et animer des formations …

Etes-vous confronté à des difficultés particulières ? Et comment réussissez-vous à y faire face ?

Par expérience propre et échange avec mes pairs, quatre difficultés m’apparaissent communes aux DPO et entreprises.

 

Tout d’abord, par nature, l’éthique est la première difficulté. Le DPO défend l’intérêt des Personnes Concernées, en regard des intérêts de l’Entreprise mais à laquelle il doit rester loyal.

 

Ensuite, la richesse des textes et l’interaction avec tous les domaines du droit est un vrai défi. D’un côté il faut identifier les lois, décisions de justice, recommandations et bonnes pratiques qui traitent de la vie privée, au niveau national, européen et au délà … D’un autre côté, ce corpus est à confronter à la réglementation propre au domaine métier concerné (réglementation du secteur d’activité, Code des Poste et Télécommunication, Code du Travail, Code de la Consommation …) pour en tirer une mise en œuvre légale et réaliste.

 

Puis, la prise de conscience du Management de la profondeur des effets de cette Réglementation dans la gestion du quotidien et dans le fonctionnement global d’une entreprise. Il s’agit d’une réglementation très opérationnelle et les ajustements ont parfois pu être lourds. Pour cela, il faut emporter l’adhésion : par un bon éclairage des décisions, une vision partagée et la gestion du bon niveau de risque. Cette prise de conscience doit être partagée pour susciter la proactivité de chacun.

 

Enfin, le quotidien d’un DPO exige un arbitrage permanent entre les demandes urgentes et importantes, les actions rapides et les dossiers requérant une réflexion profonde. Les décisions et propositions d’un DPO peuvent avoir des impacts majeurs, sur l’entreprise et les Personnes Concernées. C’est un job très stimulant.

D’ailleurs, l’European Data Privacy Board a inscrit l’audit de la fonction de DPO au programme des contrôles des Régulateurs Nationaux (CNIL, GPDP, ADP …) en 2023.

Que pensez-vous de la montée en puissance du contrôle de la CNIL concernant l’utilisation de l’IA par les entreprises ?

C’est un sujet auquel il faut être très attentif car ces technologies vont être intégrées dans le fonctionnement des entreprises, soit directement dans leur SI, soit indirectement par la sous-traitance.

 

Or si ces technologies sont porteuses de forte valeur-ajoutée, elles peuvent s’avérer très complexes à maîtriser et porteuses de biais algorithmiques. Un biais algorithmique est le non-respect de droits et libertés fondamentaux occasionné par le fonctionnement de l’IA.Par exemple, l’algorithme Google pendant plusieurs années à exclut de certains postes les femmes ou que les biais de la reconnaissance faciale, étaient plus efficaces sur les hommes blancs. Il aura fallu au moins un an pour qu’ils se rendent compte des biais puis encore un certain temps pour ajuster leurs outils.

 

Le RGPD oblige d’ores et déjà à expliquer les « sous-jacents » d’un traitement, c’est-à-dire l’algorithme, et de réduire le risque de biais algorithmique grâce au Privacy By Design. Pour ce faire, la CNIL a publié un protocole de conformité de l’IA, destiné aux solutions d’IA pures (algorithme implicite et machine learning).
Le Projet doit notamment traquer les causes de biais liées à la conception de l’IA (caractéristiques de l’algorithme) ou à son entrainement (choix des données de test en regard de la population ciblée par le traitement). Puis, à la suite de la mise en production, la DSI et le Métier doivent opérer du backtesting pour vérifier qu’il n’y ait pas d’aberration.

 

Très prochainement le futur règlement européen sur l’IA élargira le périmètre des technologies qualifiées d’IA et soumises à ce processus (outils mathématiques de statistique, programmation inductive…). Les algorithmes présentant les risques élevés seront soumis à déclaration auprès de la CNIL pour disposer de la notation de conformité « CE » (certains requerront une autorisation). Par exemple : le recrutement, l’évaluation de la solvabilité ou l’élaboration de notes de crédit. Les solutions atteignant le niveau de risque « Inacceptable » seront interdites d’usage par les entreprises. Par exemple, l’analyse automatique des émotions et de l’intention lors d’appels téléphoniques.

 

Au premier trimestre 2022, la CNIL a publié des bonnes pratiques sur la gestion des impayés et la prospection. Quels impacts voyez-vous sur l’activité de recouvrement amiable et judiciaire ou encore la gestion des encours sains ?

Tout d’abord, le Groupe est peu exposé concernant la prospection. D’une part, nous ne traitons que de la Clientèle B2B, soumise à opt-out, mais nous sommes attentifs à la gestion des newsletters et l’application des droits par nos Prospects et Clients. D’autre part, nous intervenons sur des ventes conclues par nos Clients Donneurs d’Ordres.

 

En revanche, nos Clients Donneurs d’Ordres distribuant des produits et services en B2C ont trois enjeux forts : la licéité des données collectées pour la prospection (contact, ciblage), la facilité d’initier le processus de prospection par SMS, e-mails ou automate d’appel, et la licéité du processus de relance sur impayés.

 

Concernant la prospection, l’objectif des Régulateurs est d’avoir un monde numérique rééquilibré, libre et non intrusif. Cela signifie réguler la principale source de financement du Net, à savoir : la monétisation des données. Cela requiert de cadrer la captation de données, en vue de la prospection et de la promotion publicitaire. C’est d’ailleurs ce qui explique la pression sur le marché des Adtechs.

 

Ainsi, si une entreprise prospecte par courrier postal ou appels « manuels », elle n’a pas besoin de consentement pour la prospection et la transmission des données par un brooker de data ayant collecté les données. En revanche, dès lors que la société utilise des systèmes d’automatisation des contacts (SMS, VMS, notification, e-mails, automate d’appel), elle doit s’assurer de disposer de consentement des Prospects sur l’action de prospection et la transmission des données par le Brooker.

 

Enfin, concernant la Recommandation sur la gestion des impayés, le lien avec la Prospection est l’information.

Au même titre qu’un futur Prospect doit connaître l’usage des données qu’il met à disposition du Brooker, un Client occasionnant un impayé doit notamment être informé des voies de recours, de son inscription dans la base des impayés en l’absence de régularisation et des délais de destruction de ses données.

 

En l’absence d’information, le traitement n’est pas transparent, peut être considéré comme déloyal, et la finalité non-explicitée. La légitimité peut donc être sujette à caution. Lors du recouvrement, nos Clients Donneurs d’Ordres nous mettraient en situation d’opérer un traitement de données illégitime.

Vous mettez en exergue l’information des personnes. Pourquoi est-elle si importante ?

La loi part du principe que les personnes doivent être informées pour agir et décider sciemment d’engager ou non leurs droits et libertés fondamentaux. Le sujet est donc lourd de conséquences. De fait, la loi est très exigeante sur la clarté et l’exactitude des termes, la facilité d’accès à l’information. Ce point est fondamental. Cela explique les centaines de millions d’euros de sanction infligés aux GAFAM par les Régulateurs Européens.

 

Le Groupe iQera a donc déployé un dispositif d’information, s’appuyant sur les mentions légales dans les courriers, les Notices d’Informations, les messages vocaux, les pages web retraçant notre Politique de Protection des Données ou encore la Politique de Gestion des Cookies.

Les cookies. Depuis le début de l’année, la presse parle régulièrement de transfert de données aux USA, notamment à cause de Google Analytics, solution de gestion des Cookies. Mais est-ce vraiment un sujet puisque la très grande majorité de l’industrie de la Tech est aux USA, que les infrastructures du Web sont pour ainsi dire américaines et qu’ils sont très présents sur le marché européen par leurs filiales ?

Oui, c’est aussi un sujet fondamental. Car à l’instar du développement de l’Ethique et de la RSE, les entreprises sont directement concernées par la stratégie de souveraineté numérique de l’Union Européenne.

 

Par cette stratégie, l’Union Européenne entend faire valoir ses idéaux, ses droits et développer, voire protéger, ses actifs numériques tels que :

 

  • Les secteurs de la sécurité et des solutions informatiques,
  • Les infrastructures, telles que le stockage des données (OVH, Orange …),
  • La fabrication des puces,
  • La gestion des réseaux de fibres (continentaux, intercontinentaux),
  • Le développement des standards de marché (tels que la connectique des prises USB) etc.

 

Le succès du RGPD sert de modèle pour créer ou actualiser des lois qui soutiennent cette stratégie. Ainsi, dès 2022 des textes ont été promulgués en ce sens (Data Services Act, Data Marketing Act, Data Governance Act …), d’autres sont en préparation (Internet of Object Act, Artificial Intelligence Act, Data Act …).

 

Donc, le transfert des données hors de l’UE est un bras de fer avec les pays dont l’industrie du numérique est très puissante, innovante et dirigée suivant des conceptions éthiques très différentes des nôtres. Tout transfert de données hors de l’UE est ainsi strictement encadré d’un point de vue légal, technique et opérationnel.

 

Le Groupe iQera a ainsi décidé de basculer sur les solutions Dastra et Matomo pour gérer ses sites internet, et se montre très vigilant sur ce sujet.

Ce sujet met en relief la gestion de projet, de la sous-traitance, la modération des sites internet et des réseaux sociaux. Des sujets très vastes. Aussi, comment être toujours dans une démarche de conformité à la réglementation sur la protection des données personnelles et de la vie privée, notamment le RGPD ?

Une gouvernance efficiente doit être active et évolutive. Il faut commencer par un cadre normatif (Politiques, Processus, Procédures …), puis s’assurer des moyens opérants (des collaborateurs relais proches du terrain, un outillage efficient), une sensibilisation permanente des collaborateurs (formation, information) pour leur donner le sens de ces activités et expliquer comment agir.

Chacun agit comme il l’a compris et si cela lui paraît pertinent. C’est ici que le Contrôle Permanent et la Gestion des Risques sont un puissant relai. La collaboration de chacun permet de pointer les dysfonctionnements, comprendre les causes et agir ensemble pour stabiliser nos processus et services.

 

Rappelons-le, le RGPD est une réglementation très opérationnelle. Il requiert d’adapter les processus de gestion des réclamations, des projets, de gestion des incidents, des sous-traitants et de la commercialisation. Il génère des formations dédiées, une veille régulière et un dispositif complet de contrôles et de gestion des risques : sur les processus RGPD eux-mêmes, mais aussi sur les processus métier, tout en s’appuyant sur les autres dispositifs de contrôle (Opérationnel, SSI, Audit).

Et bien entendu, il faut intégrer les réglementations clefs des pays d’implantation.

Quelles sont, selon vous, les erreurs à ne pas commettre ?

Ces erreurs sont en lien direct avec les difficultés dont nous avons parlé.

 

La première serait de rester figé sur des principes. La difficulté du RGPD réside dans le respect des principes de base, sans être dogmatique. Ces principes de base ne s’implémentent pas toujours de la même manière. Il faut savoir les intégrer dans le fonctionnement de l’entreprise.

 

La deuxième serait de ne pas réussir à garder une neutralité. Le DPO est là pour défendre l’intérêt de la personne. Il faut trouver avec les partenaires le juste équilibre et les bonnes mesures, sans être ni dogmatique, ni libertaire.

 

La troisième, serait de ne pas chercher l’adhésion des personnes. La plus-value et l’intérêt ne sont pas toujours directement perceptibles par les collaborateurs. Nous vivons dans une société libre, le risque de privation de ces libertés paraît incertain, voire impossible, ou il n’est pas perçu. Les causes de ces risques sont également méconnues et mésestimées. Enfin, nous avons encore en tête les années 1990 et 2000, avec un Internet libre et une faible exploitation des données, et un contexte géopolitique stable entre les 3 grands blocs. Il faut expliquer, démontrer, et accepter d’y aller étape par étape. Toutefois, le contexte général des quatre dernières années met en relief ces risques.

Quel est le meilleur conseil que l'on vous ait donné ?

« Toujours penser à 5 ans ». Cela amène à réfléchir à ce que l’on veut, comment le mettre en œuvre, le réaliser … avec patience.

Fill 1 Created with Sketch.

Ce site n'est pas optimisé pour Internet Explorer 11

Afin de naviguer de façon optimale et de profiter de toutes les fonctionnalités du site, nous vous invitons à passer sur un autre navigateur

Je continue sur ie11

Enim ad minima veniam, quis nostrum exercitationem eius modi tempora incidunt ut labore et dolore magnam aliquam quaerat voluptatem.

Le Blog iQera

Découvrez nos bonnes pratiques, décryptages et faits marquants.

Toutes les parutions