RGPD : plongée dans le quotidien d'un DPO avec la startup Famoco

 |   |  990  mots
Rémi Raffard, 36 ans, est délégué à la protection des données chez la startup Famoco.
Rémi Raffard, 36 ans, est délégué à la protection des données chez la startup Famoco. (Crédits : DR)
Avec l'entrée en vigueur du RGPD ce vendredi, le fameux Règlement général sur la protection des données, un nouvel acronyme fait son apparition : DPO, pour "data protection officer". Ce nouveau métier consiste à s'occuper de la "gouvernance des données" au sein d'une entreprise ou d'une administration. Exemple avec la startup française Famoco.

Convoité par les entreprises, méconnu du grand public... Le nouveau métier de délégué à la protection des données (DPO, en anglais, pour data protection officer) fait son apparition dans le paysage européen. Il est consacré par le fameux RGPD (Règlement général sur la protection des données), qui entre en vigueur le 25 mai. La mission du DPO : s'occuper de la gouvernance des données au sein d'une entreprise ou d'une administration. Pour tenir ce rôle de chef d'orchestre, il faut avant tout être polyvalent.

"Le RGPD est un sujet technique. Il faut connaître la technologie et la protection des données, tout en étant capable de comprendre et d'interpréter les textes de lois", affirme Rémi Raffard, 36 ans, DPO chez la startup Famoco. "Mais il y a aussi une grande partie gestion de projets. Il faut être organisé afin de lancer des programmes transverses à l'entreprise car le RGPD concerne toutes les équipes."

Selon la Cnil (Commission Nationale de l'Informatique et des Libertés), il n'existe pas de profil type. Le DPO est la prolongation naturelle des anciens CIL (correspondant informatique et liberté). Une étude menée en 2015 par la CNIL montrait que 47% des CIL avait un profil technique, 19% un profil juridique et enfin, 10% un profil administratif.

Lire aussi : RGPD : neuf notions essentielles à retenir

Démystifier le RGPD en interne

Créée en 2010, la startup Famoco fabrique des terminaux - indépendants des smartphones - pour réaliser des transactions numériques (finance, billetterie, contrôles d'accès, contrôles d'identité, mobilité...). Présente commercialement dans 35 pays, l'entreprise emploie 110 personnes.

Famoco s'est penchée sur le RGPD il y a un an. La jeune pousse, qui n'avait pas de CIL auparavant, a fait le choix de nommer officiellement un DPO il y a 6 mois, directement rattaché à la direction. Pour autant, la nomination d'un délégué est une obligation dans deux cas : les structures publiques (hôpitaux, collectivités...) et les entreprises qui traitent des données à grande échelle, ou des données sensibles (biométriques, relatives à la religion, aux opinions politiques, à l'appartenance syndicale...). La mission peut également être externalisée.

"Lors de mon arrivée chez Famoco, j'ai dû me former sur les spécificités du RGPD en suivant une formation certifiante de 5 jours", précise Rémi Raffard, qui a passé 13 ans chez Orange après l'obtention d'un diplôme ingénieur, informatique et gestion en 2004. Première étape de la mise en conformité : sensibiliser en interne.

"Jusqu'à présent, la sécurité des données étaient entre les mains des ingénieurs et des codeurs, souligne Lionel Baraban, Pdg et co-fondateur de Famoco. "Il a fallu une prise de conscience des employés pour que tout le monde se sente concerné : les fonctions supports, les équipes de ventes..."

Une étape nécessaire pour identifier au sein de chaque équipe un référent pour traiter du RGPD. Et se heurter à la première difficulté : "dégager du temps, car il y a toujours des urgences propres à chaque département", précise Rémi Raffard.

Réaliser un audit... et se mettre en conformité

"Après la communication en interne, j'ai lancé la phase d'audit, poursuit Rémi Raffard. Pendant près de 3 mois, j'ai passé en revue avec chaque équipe toutes les opérations techniques impliquant le traitement de données personnelles."  Au total, le DPO a travaillé avec une vingtaine d'interlocuteurs au sein de l'entreprise pour réaliser un bilan complet des flux de données : quelles sont les plateformes utilisées pour faire transiter des données ? Est-ce que les règles de sécurité et de chiffrement ont été mises en place ? Quelles sont les limitations des droits d'accès ? Quels sont les traitements automatiques réalisés sur les données ?

"C'est l'occasion de tout remettre à plat. L'audit nous permet de comparer notre implémentation à la régulation afin d'identifier les choses à améliorer", détaille Rémi Raffard. Encore en cours chez Famoco, cette phase de mise en conformité devrait prendre "deux mois environ", selon le DPO. Une fois de plus, tous les départements de l'entreprise sont impactés : le marketing, la vente, l'informatique pour modifier le site...

"Par exemple, nous avons dû mettre à jour les conditions générales de ventes, les notices de confidentialité, ainsi que tous les documents que nous transmettons aux clients lorsque des données personnelles sont en jeu", liste Rémi Raffard.

Certaines pratiques ont également dû être recadrées : "Nous avons encore un fonctionnement de startup, poursuit le DPO. Auparavant, quand quelqu'un demandait l'accès à un serveur, nous lui donnions. Désormais, cela est réglementé."

Assurer le "service après-vente" du RGPD

La mission du DPO ne s'arrête pas à la date butoir du 25 mai, avec l'entrée en vigueur du RGPD. Au contraire, le délégué va devoir s'assurer que les bonnes pratiques perdurent au sein de l'entreprise. Famoco va ainsi instaurer un "audit régulier de nos droits d'accès, où nous regarderons qui accède à telles données et pourquoi", détaille Rémi Raffard en précisant que les informations seront consignées dans le registre de traitement en cours de création. "Dans la durée, nous ferons des contrôles mensuels ou trimestriels selon les plateformes et le type de données", poursuit le DPO. Sans oublier de suivre au fur et à mesure la jurisprudence naissante.

_____________

Retrouver le dossier RGPD de La Tribune :

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 26/05/2018 à 8:56 :
Ah DPO, quel beau metier. Le gisement d'emplois du futur.... un vrai metier de fonctionnaire du prive, un metier qui ne sert a rien: un rapport annuel avec plein de petits graphiques que personne ne lira jamais, pas de risque de burn-out
Je vais pouvoir le rajouter sur ma carte de visite.
J'etais deja GM, CEO, CFO, CTO, CSO, Q&EO, CM, CO (coffee officer) et j'en oublie.... je suis le seul employe de mon entreprise. Grace au RGPD, j'ai juste un peu plus de boulot ce WE.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :