RGPD : plongée dans le quotidien d'un DPO avec la startup Famoco

Remi raffard dpo famoco
DR
PROPOSÉ PAR
i-Lab & Nous - Actualités et analyses

Remi raffard dpo famoco
DR
Convoité par les entreprises, méconnu du grand public... Le nouveau métier de délégué à la protection des données (DPO, en anglais, pour data protection officer) fait son apparition dans le paysage européen. Il est consacré par le fameux RGPD (Règlement général sur la protection des données), qui entre en vigueur le 25 mai. La mission du DPO : s'occuper de la gouvernance des données au sein d'une entreprise ou d'une administration. Pour tenir ce rôle de chef d'orchestre, il faut avant tout être polyvalent.
Selon la Cnil (Commission Nationale de l'Informatique et des Libertés), il n'existe pas de profil type. Le DPO est la prolongation naturelle des anciens CIL (correspondant informatique et liberté). Une étude menée en 2015 par la CNIL montrait que 47% des CIL avait un profil technique, 19% un profil juridique et enfin, 10% un profil administratif.
Créée en 2010, la startup Famoco fabrique des terminaux - indépendants des smartphones - pour réaliser des transactions numériques (finance, billetterie, contrôles d'accès, contrôles d'identité, mobilité...). Présente commercialement dans 35 pays, l'entreprise emploie 110 personnes.
Famoco s'est penchée sur le RGPD il y a un an. La jeune pousse, qui n'avait pas de CIL auparavant, a fait le choix de nommer officiellement un DPO il y a 6 mois, directement rattaché à la direction. Pour autant, la nomination d'un délégué est une obligation dans deux cas : les structures publiques (hôpitaux, collectivités...) et les entreprises qui traitent des données à grande échelle, ou des données sensibles (biométriques, relatives à la religion, aux opinions politiques, à l'appartenance syndicale...). La mission peut également être externalisée.
"Lors de mon arrivée chez Famoco, j'ai dû me former sur les spécificités du RGPD en suivant une formation certifiante de 5 jours", précise Rémi Raffard, qui a passé 13 ans chez Orange après l'obtention d'un diplôme ingénieur, informatique et gestion en 2004. Première étape de la mise en conformité : sensibiliser en interne.
Chaque jour à 13h, l’essentiel de l’actualité tech.

Une étape nécessaire pour identifier au sein de chaque équipe un référent pour traiter du RGPD. Et se heurter à la première difficulté : "dégager du temps, car il y a toujours des urgences propres à chaque département", précise Rémi Raffard.
"Après la communication en interne, j'ai lancé la phase d'audit, poursuit Rémi Raffard. Pendant près de 3 mois, j'ai passé en revue avec chaque équipe toutes les opérations techniques impliquant le traitement de données personnelles." Au total, le DPO a travaillé avec une vingtaine d'interlocuteurs au sein de l'entreprise pour réaliser un bilan complet des flux de données : quelles sont les plateformes utilisées pour faire transiter des données ? Est-ce que les règles de sécurité et de chiffrement ont été mises en place ? Quelles sont les limitations des droits d'accès ? Quels sont les traitements automatiques réalisés sur les données ?
"C'est l'occasion de tout remettre à plat. L'audit nous permet de comparer notre implémentation à la régulation afin d'identifier les choses à améliorer", détaille Rémi Raffard. Encore en cours chez Famoco, cette phase de mise en conformité devrait prendre "deux mois environ", selon le DPO. Une fois de plus, tous les départements de l'entreprise sont impactés : le marketing, la vente, l'informatique pour modifier le site...
Certaines pratiques ont également dû être recadrées : "Nous avons encore un fonctionnement de startup, poursuit le DPO. Auparavant, quand quelqu'un demandait l'accès à un serveur, nous lui donnions. Désormais, cela est réglementé."
La mission du DPO ne s'arrête pas à la date butoir du 25 mai, avec l'entrée en vigueur du RGPD. Au contraire, le délégué va devoir s'assurer que les bonnes pratiques perdurent au sein de l'entreprise. Famoco va ainsi instaurer un "audit régulier de nos droits d'accès, où nous regarderons qui accède à telles données et pourquoi", détaille Rémi Raffard en précisant que les informations seront consignées dans le registre de traitement en cours de création. "Dans la durée, nous ferons des contrôles mensuels ou trimestriels selon les plateformes et le type de données", poursuit le DPO. Sans oublier de suivre au fur et à mesure la jurisprudence naissante.
_____________
Retrouver le dossier RGPD de La Tribune :
À lire également