Selon une enquête réalisée par la start-up du droit Data Legal Drive entre le 16 avril et le 22 mai, 40 % des data protection officers (DPO) et juristes interrogés ont mis à profit le confinement pour consacrer du temps à la mise en conformité RGPD de leur entreprise et, en particulier, pour près de la moitié des répondants, à la mise à jour du registre des traitements. Un résultat illustré par un directeur juridique, celui de HeidelbergCement France (Ciments Calcia, GSM, Unibeton, Tratel), Charles Clavreul, qui porte aussi la casquette de compliance officer et DPO, interrogé aux côtés de Sylvain Staub, avocat associé de DS Avocats et président-fondateur de Data Legal Drive.
Entreprise : il y a un pilier RH, un pilier finance et un pilier données !
Décideurs Juridiques. Votre direction juridique a-t-elle mis à profit le temps du confinement pour travailler sur la protection des données personnelles ?
Charles Clavreul. Tout à fait, et cela à deux titres. Tout d’abord, nous avons répondu aux demandes des équipes opérationnelles qui s’inquiétaient des mesures exceptionnelles à adopter sur nos sites comme la prise de température ou la mise en place de caméras. Nous avons été satisfaits de recevoir ces sollicitations qui ont prouvé que notre campagne de sensibilisation au RGPD engagée fin 2019 portait ses fruits. Ensuite, nous avions programmé dans notre plan d’action 2020 de nous assurer de la formalisation de notre politique de confidentialité des documents et du respect du secret des affaires, ainsi que de notre politique d’archivage. On le voit, la formalisation de nos procédures avec le prisme du RGPD est très structurante et permet d’avoir une approche transversale de la conformité des process, en conformité avec la politique de notre groupe.
De quelle manière avez-vous intégré les outils de conformité au RGPD dans votre direction ?
C. C. HeidelbergCement est un groupe allemand implanté dans près de 60 pays dans le monde, et la compliance est l’une des valeurs cardinales du groupe. Pour la data protection, nous avons un process harmonisé au niveau du groupe avec des procédures et un outil commun (registre) à l’ensemble des filiales. Pour la France, je me suis également adossé à Data Legal Drive qui offre des services au-delà d’un simple registre puisqu’il nous sert d’aide à la décision grâce à son fonds documentaire et à sa base de données experte sur le sujet.
Est-ce que cela veut dire que Data Legal Drive s’adapte à une fonction compliance déjà en place ?
Sylvain Staub. Oui, parfaitement. Il n’y a aucun problème d’intégration de Data Legal Drive dans une organisation mondiale.
Les particularités françaises de l’application du RGPD sont-elles importantes ?
S. S. Ce qui est symptomatique, c’est que même si le RGPD s’applique à toutes les entreprises de l’Union européenne, il oblige chaque organisation, localement, à s’adapter et à collaborer pour parvenir par exemple à établir une cartographie ou à un mécanisme d’alertes : quelles sont les personnes concernées, où se trouvent les failles de sécurité…. Donc, même si le texte est transnational, la logique d’organisation interne impose d’identifier les particularités. Data Legal Drive permet à la fois de répondre aux besoins spécifiques locaux et à une organisation mondiale.
De quelles particularités s’agit-il ?
C. C. Il s’agit de la relation avec nos sous-traitants par exemple.
S. S. Ensuite, si l’outil doit être dupliqué à l’ensemble d’un groupe mondial, cela est réalisable puisque Data Legal Drive est disponible en neuf langes. L’article 30 du RGPD relatif au registre des activités de traitements des données personnelles ne nécessite que quelques ajustements pour chacun des pays.
Depuis la reprise d’activité de votre groupe, en quoi consiste votre mission de compliance officer ?
C. C. Le respect de la conformité est un process continu. La mise en place du télétravail nous a beaucoup occupé. Nous continuons à expliquer, à rédiger des procédures, en vidéo notamment, afin de mettre au service des directions fonctionnelles et opérationnelles des aides pour utiliser ces outils en télétravail de manière compliant et sécurisée. Nous avons d’autre part revu notre charte informatique avec quelques principes forts : nous avons banni les clés USB et les disques durs externes. Mais alors que nous pouvons contrôler le respect de ces règles lorsque tous les salariés sont regroupés dans les mêmes locaux, cela est plus complexe à distance. Notre devoir de sensibilisation s’accroît encore.
"Notre devoir de sensibilisation s’est accru avec la distance"
S. S. Data Legal Drive permet l’archivage et le télétravail d’un point de vue de la gouvernance RGPD mais ce n’est pas un outil de travail ! Or, le RGPD impose à l’entreprise une multitude de politiques internes qu’il faut rendre cohérentes. Il est donc important d’être doté d’un seul et même logiciel pour déterminer de manière unifiée les règles de traitement des données personnelles : quelles données doivent être supprimées immédiatement, quelle est la durée de conservation pour tel ou tel type de données, quelle politique d’archivage… Aujourd’hui, les entreprises doivent comprendre qu’en matière de gouvernance, il y a un pilier RH, un pilier finance et un pilier données !
Data Legal Drive est partenaire du cabinet DS Avocats depuis que le Cabinet Staub & Associésl’a rejoint en octobre 2019. Cela a-t-il compté dans le choix de la solution de conformité au RPGD que vous avez fait pour votre direction juridique ?
C. C. Ce qui m’intéresse dans cette solution est que cette plateforme est une passerelle entre l’avocat et son client. Nous pouvons dès lors solliciter de manière efficace nos conseils puisqu’il y a une vraie complémentarité de service entre Data Legal Drive et DS Avocats. Mon rôle est de fournir en interne la meilleure expertise juridique en me forgeant ma propre opinion, et cela est possible si je peux bénéficier à la fois de la puissance d’un outil et de l’analyse personnalisée de mes conseils qui ont, par la connaissance de l’entreprise et via cet outil, une vision transversale des questions et peuvent mieux répondre à nos préoccupations, anticiper en m’alertant sur des sujets nouveaux, ou élargir le cas échéant à d’autres domaines de conformité, puisque la compliance touche tous les domaines de l’entreprise.
Concrètement, quel est ce service que vous délivrez à vos clients en matière de RGPD ?
S. S. La mise en conformité d’un groupe suppose d’interviewer chaque responsable de chaque direction susceptible de traiter des données personnelles, puis de constituer une cartographie des éléments récoltés, tenir un registre détaillé, rédiger ou adapter des politiques de confidentialité ou de sécurité, mettre en place une véritable gouvernance de la data. Réalisés de manière classique, ces entretiens sont retranscrits dans des notes ou des tableaux qui n’ont aucun caractère opérationnel, collaboratif et pérenne. Avec le logiciel Data Legal Drive, les interventions des avocats sont réalisées ou intégrées directement dans la plateforme, ce qui permet d’assurer immédiatement la mise en œuvre, le partage, le suivi et la pérennité de la conformité dynamique de l’entreprise. En plus d’être efficace et rapide, cela dote l’entreprise d’une base d’éléments pouvant être communiquée à l’autorité de contrôle, la Cnil, en exécution de l’obligation d’accountability.
C. C. C’est en effet un outil confortable pour un directeur juridique qui lui permet de disposer d’une base solide de mise en conformité.
Propos recueillis par Pascale D’Amore
