Peux-tu te présenter ?
Bonjour, je m’appelle Françoise Ruet, j’ai 52 ans, mariée et 3 grands enfants. Je suis chez Meteors depuis bientôt 4 ans en tant qu’Office Manager. Je gère beaucoup de sujets différents : comptabilité, suivi de l’activité et tableaux de bord mensuel, facturation, gestion RH (contrats, avenants, mutuelle et prévoyance, congé, paie), trésorerie avec les paiements et les encaissements, suivi de nos partenaires, suivi des contrats et des factures. Depuis l’année dernière, j’ai également la casquette DPO. A la croisée des différents flux de l’entreprise, je suis assez « couteau suisse ! ». Mon rôle, c’est aussi d’assister au quotidien Olivier (CEO et fondateur de Meteors) bien sûr et tous les collaborateurs. J’ai la chance de travailler sur différents sujets, avec toute l’équipe.
Peux-tu nous en dire plus sur ton rôle spécifique de DPO ?
Le projet est né il y a plus de 2 ans, quand on a vraiment pris en main le dossier RGPD (règlement général sur la protection des données). On s’est dit qu’on avait beaucoup de choses à faire, à écrire dans ce domaine-là. On s’est lancé dans un long process, avec l’envie de se faire certifier. Nous avons choisi la norme AFNOR Vie privée. Toute l’équipe Meteors a été mise à contribution, pas seulement les équipes informatiques. En effet, chaque collaborateur à un moment ou un autre peut être amené à travailler sur des données personnelles. La formation est essentielle. On a également travaillé avec des auditeurs externes pour avoir un regard extérieur. On a passé l’audit Afnor l’année dernière.
En tant que Office Manager, à la croisée entre la technique et le commerce, les clients et les partenaires, Olivier m’avait demandé alors d’être « chef d’orchestre » pour organiser cette certification d’une part, mais aussi plus largement le suivi des différents points du RGPD qui nous impactent en tant qu’entreprise et responsable des traitements de données de nos collaborateurs, et en tant que sous-traitant pour nos clients. Il fallait désigner un DPO, et c’est donc naturellement qu’Olivier m’a proposé cette casquette.
C’est une mission assez compliquée car elle réunit des compétences très différentes. Soit tu es quelqu’un de hyper technique, les architectures, les réseaux, les flux n’ont pas de secrets pour toi, mais tu n’as pas forcément la partie juridique, soit comme moi, tu connais bien comment la boîte fonctionne, tu connais les clients, les partenaires, tu as bien l’aspect juridique en tête pour avoir suivi quelques formations et recherché des infos, mais tu n’as pas les compétences techniques et informatiques. C’est donc nécessairement, dans notre taille d’entreprise, une mission pour laquelle il est primordial d’échanger avec tout le reste de l’équipe, d’être dans la boucle de tous les échanges, les développements envisagés, …
En quoi consiste la certification AFNOR ?
On l’a passé l’année dernière, c’est un engagement sur une durée de 3 ans. Il y a un premier audit pour obtenir la certification, qui se déroule sur 3 jours. Puis, il y a des visites annuelles de contrôle pour maintenir la certification, audits qui sont à chaque fois plus fins et exigeants. Un petit point sensible repéré, pas forcément très grave, s’il n’est pas traité, deviendra un point bloquant à l’audit suivant. Donc nous l’avons passé en février 2021.
Mais cette année, avec le départ vers d’autres belles aventures de notre CTO (Chief Technical Officer), on a pris un peu de retard. C’est lui qui gérait toute la partie technique. Suite à son départ, les missions ont été redispatchées et c’est Naïa (Data Analyst), sous la houlette de Louis-Antoine (CTO), qui a repris le dossier. Elle est en train de revoir ce qui a été fait et toutes les préconisations et commentaires qu’on a reçus à la suite du premier audit. Il y avait des choses à simplifier, des choses à compléter, des choses à adapter.
En ce moment on est en train de préparer la prochaine visite de contrôle qu’on a dû décaler. Parce qu’il y a eu le covid, parce que les personnes clés ont été très peu disponibles, on a pris du retard dans nos objectifs. Mais là depuis que Naïa a repris, ça avance bien. Être RGPD compliant, bien au-delà de la certification, c’est être engagé dans un processus permanent de mise à jour, de suivi. Ce n’est pas une fois par an qu’on vérifie que tout va bien, c’est tous les jours. On voit des process à améliorer, à expliquer, à documenter, qu’on corrige et qu’on adapte. On audite nos partenaires, on vérifie qu’ils respectent ce qu’ils ont annoncé, qu’ils sont bien toujours RGPD, si leur politique de sécurité a évolué, si on est satisfait…
Si on décide de changer de partenaire, ou d’en avoir de nouveaux, si on signe des nouveaux clients, s’il y a des nouveaux traitements, il faut mettre à jour nos process, nos documents, notre registre des traitements, faire évoluer notre politique de sécurité également si nécessaire.
Quelles sont tes responsabilités en tant que DPO ?
Mon rôle de DPO, c’est de conseiller et d’accompagner Meteors dans sa conformité au RGPD. Au quotidien, c’est d’abord de sensibiliser les équipes sur le RGPD : c’est quoi un traitement, qu’ai-je le droit de faire, de ne pas faire, comment échanger des informations avec les clients et les partenaires, quelles sont les règles essentielles.
On peut tous être amené à traiter une donnée personnelle, le simple fait de lire une donnée c’est déjà un traitement en soi, un petit fichier Excel récap peut en être un aussi. Donc voilà, il faut rappeler ce que c’est, et puis surtout donner les méthodes et les outils pour gérer ses mots de passe, les accès sécurisés, pour avoir les bons réflexes, ouvrir des accès SFTP sécurisé pour les échanges de fichiers, être attentif aux risques sur sa messagerie, adopter les bons réflexes si on s’aperçoit qu’il y a un problème détecté, sur par exemple un partage de fichier. ll faut aussi expliquer l’importance des process aux équipes et puis répondre aux questions, accompagner les personnes quand elles ont des interrogations sur un traitement particulier…
Une partie de mon travail consiste aussi à gérer les relations avec les partenaires et les clients. Checker les contrats est essentiel : décrivent-ils bien les traitements envisagés ? les données traitées ? La question de l’hébergement, des sous-traitants ultérieurs éventuels ? Toutes les annexes sont-elles bien présentes ? Pour résumer, il faut pouvoir prouver à tout moment qu’on a mis en place tout ce qu’il fallait pour garantir la sécurité des données personnelles, dès la conception de tout nouveau traitement, programme, développement…. Il faut tout écrire, tout tracer, tout prouver. En tant que DPO, je suis le point de contact pour toutes les questions relatives aux données personnelles.
As-tu eu besoin de passer une formation particulière ou une certification pour devenir DPO ?
Je pense que, quelle que soit la formation que l‘on a, oui il est de toute façon nécessaire de se former car forcément on ne peut pas avoir toutes les connaissances et techniques et juridiques. J’ai suivi des formations en ligne, des MOOC avec la CNIL pour être bien au courant du contenu et des exigences du RGPD, de savoir exactement sur quoi on devait s’améliorer, écrire la feuille de route, puis aussi pour préparer la certification, voir sur quoi on allait être audité pour la norme AFNOR, aider à la mise en place des outils, comme les registres de traitement, les analyses d’impact.
Nous sommes également inscrits à l’AFCDP, qui regroupe des DPO français. Echanger avec les autres DPO est enrichissant, les sujets évoqués et les discussions sont concrets et d’actualité. Evidemment il existe beaucoup de formations possibles pour les DPO, certaines certifiantes, d’autres non. Ce sont des formations assez longues et lourdes, alors tout dépend aussi de la taille de l’entreprise. Alors oui à l’avenir pourquoi pas ?
D’une manière générale, quelles sont les compétences pour être un bon DPO ?
C’est compliqué comme question, parce qu’il faut être pluridisciplinaire, avoir une culture juridique importante évidemment mais aussi très bien connaître tous les flux dans l’entreprise, être compétent en technique, en architecture. En fait, c’est le « mouton à 5 pattes » ! Alors il faut être très curieux et persévérant, aller chercher l’information sur ce qu’on ne connaît pas et se reposer sur ceux qui ont les compétences pour bien sûr t’aider mais aussi te former. On ne peut pas tout savoir, tout connaître, l’idée c’est quand même d’anticiper un maximum tout ce qui peut arriver et le principe fondamental c’est de se remettre en question. Rien n’est acquis en matière de sécurité.
Le déroulement d’une journée type chez Meteors ?
Il n’y en a pas. Mon poste est très rythmé par le calendrier « comptable » avec le début et la fin de mois, les clôtures mensuelles, la facturation, les éditions de tableau de bord, la paie. La partie DPO est transversale, en fonction de l’actualité, des nouvelles personnes à former, des contrats à écrire et valider, des développements techniques, de l’arrivée de nouveaux traitements, partenaires ou clients.
Dernière question, quels conseils pourrais-tu donner à de futurs DPO ?
Surtout d’être à l’écoute de tout ce qui se passe dans l’entreprise, et aussi de tout ce qui se passe à l’extérieur, de faire partie d’une association ou groupe de travail pour se nourrir de l’expérience des autres DPOs.