Oodrive : quand le DPO s’appuie sur des Privacy Champions

Par Grégory Coste.
Mis à jour le 2 septembre 2019, publié initialement en avril 2018
Oodrive : quand le DPO s’appuie sur des Privacy Champions

Le DPO est l’institution originale qui constitue l’un des évènements de l’entrée en application du RGPD, ce fameux règlement dont tout le monde parle depuis de nombreux mois, qui réglemente dans toute l’Union Européenne le traitement des données personnelles.

Ce Délégué à la Protection des Données, plus connu sous son acronyme anglais DPO, est le chef d’orchestre du RGPD. En clair, le successeur du Correspondant Informatique et Libertés ou CIL englouti par le RGPD, est le contrôleur de la bonne application du Règlement. Un peu comme un Commissaire Aux Comptes est le contrôleur des comptes de l’entreprise.

SOMMAIRE :

Quand le DPO joue un rôle central

Sa désignation est obligatoire pour les autorités ou organismes publics et pour les organismes de droit privé qui réalisent un suivi régulier et systématique des personnes à grande échelle, notamment par le profilage ou traitent à grande échelle des données sensibles comme les données de santé.

Dans tous les autres cas, le DPO est facultatif mais recommandé. En effet, cette nouvelle institution va informer et conseiller le responsable de traitement et le sous-traitant au titre de l’application de la Loi en matière de données personnelles et de ses évolutions.

Vis-à-vis en particulier des employés, le DPO assume son rôle de conseil, reconnu par le texte communautaire. Ainsi, on lui demande d’être facilement joignable par tous les employés.

Ce rôle central au titre des données personnelles se trouve d’ailleurs à tous les étages de la réglementation, pas seulement vis à vis de l’interne.

Quand il s’agit d’adopter le bon réflexe

Par exemple, quand un responsable de traitement constate une violation de données personnelles, le RGPD lui fait désormais obligation sous peine d’une sanction qui peut s’élever jusqu’à 2% du chiffre d’affaires de l’entreprise, de notifier cette violation à la CNIL, voire même aux personnes concernées par la violation.

Or, dans le cadre de cette communication, le responsable des traitements doit communiquer les coordonnées du DPO à la CNIL et aux personnes concernées par la violation.

L’un des enjeux clairs du RGPD est de transformer les contraintes réglementaires en avantage business.

Cette transformation requiert d’insuffler le réflexe « données personnelles » à toute l’entreprise et d’obtenir l’adhésion de tous les employés.

Pourquoi ne pas alors s’appuyer sur le DPO à cette fin ?

Quand il faut identifier ses Privacy Champions en interne

C’est dans cette idée que Oodrive, groupe de près de 400 Salariés dont l’activité principale est la gestion sécurisée des données sensibles dans le Cloud souverain, en proposant aux professionnels des solutions de partage, de sauvegarde et de signature électronique, a mis en place une pratique originale.

Le DPO nommé en interne par Oodrive, et qui n’est autre que son Directeur de la Cybersécurité (Group CISO), a désigné au sein de l’organisation et parmi les employés, des Privacy Champions.

Dans cette optique, le DPO a demandé aux responsables de chaque département d’identifier des candidats pertinents, pour leur connaissance fine de leurs process métiers respectifs, mais aussi leur capacité à servir de relais et leur légitimité vis-à-vis de leurs collègues.

Ces candidats se sont révélés très motivés, en cohérence avec les missions et valeurs d’Oodrive

Quand les anges gardiens de la protection de la vie privée déploient leurs ailes

Ainsi, c’est sur ces Privacy Champions que le DPO, « chef d’orchestre » de la mise en œuvre du GDPR, va principalement s’appuyer.

Ceux-ci ont reçu une formation de sensibilisation d’une demi-journée par deux Avocats spécialisés, qui s’est terminée par un quizz de 20 questions balayant l’ensemble des thématiques du Règlement et constituant une auto-évaluation.

De retour à leurs postes, ils se coordonnent au travers d’un Privacy Circle périodique, et sont régulièrement tenus informés des évolutions de la démarche de mise en conformité de l’entreprise au RGPD, à laquelle ils contribuent concrètement.

Quand la conformité de l’entreprise décolle, tout en douceur

Dans chaque département, les Privacy Champions sont en effet les premiers interlocuteurs de leurs collègues pour toute question relative au RGPD, en coordination avec le DPO.

En tant que partie prenante de chaque métier, ils renseignent le registre des traitements de données à caractère personnel, et coordonnent si nécessaire les PIA (Privacy Impact Assessment = analyse des risques sur la vie privée).

On le voit bien, le RGPD est aussi clairement l’occasion pour un certain nombre d’entreprises de remettre à plat certaines organisations et de valoriser des talents au bénéfice de l’organisation et de ses clients.

L’initiative originale d’Oodrive rentre clairement dans cet objectif.

Article co-rédigé par :

  • Olivier Iteanu, Cabinet Iteanu Avocats ;
  • François-Xavier Vincent, Group CISO & DPO Oodrive.
La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus
Comment Anonymiser - Pseudonymiser des données en open data ?
Conseil
l’année dernière
Comment Anonymiser - Pseudonymiser des données en open data ?
Conformément au RGPD, le chiffrement est devenu une obligation afin de sécuriser les données. Business Development Manager Sécurité et GDPR Champion chez Oracle France, Jérôme Chagnoux nous apporte son point de vue d'expert sur la question de l'anonymisation des données.
RGPD : comment passer à un marketing qui valorise les données ?
Livre blanc
il y a 2 ans
RGPD : comment passer à un marketing qui valorise les données ?
Mettez votre marketing digital en conformité avec le RGPD : téléchargez le guide pour assurer la protection des données personnelles, un traitement responsable et collecter des adresses emailing récoltées avec consentements en double optin : Olivier Martineau, CEO de Spread vous dit tout !
Conseil backgroundRGPD 2018 : l’essentiel à connaître  pour préparer son entreprise
Conseil
il y a 2 ans
RGPD 2018 : l’essentiel à connaître pour préparer son entreprise
Vous n’avez pas envie de parcourir tout le site de la CNIL pour comprendre le GRPD n’est-ce pas ? appvizer vous donne l’essentiel de l’information à connaître pour mettre votre entreprise en conformité, avec en bonus les meilleurs outils pour fournir les preuves à l’autorité de contrôle en 2018. Respirez !
Comment tenir un registre des traitements conforme au RGPD ?
Conseil
il y a 2 ans
Comment tenir un registre des traitements conforme au RGPD ?
Le registre des traitements de données est l’une des obligation sà respecter pour être conforme au RGPD. Alain Garnier, CEO de Jamepot, vous explique comment le tenir en l’illustrant d’un exemple de registre tenu dans la solution Captain DPO.
Audit RGPD : lier l’utile à l’agréable
Conseil
il y a 2 ans
Audit RGPD : lier l’utile à l’agréable
Que comprend un audit RGPD ? Quel comportement adopter ? Comment se passe cette démarche visant la conformité ? Alexis Quentrec, spécialiste RGPD chez Nuageo, Cabinet de Conseil Cloud Computing, vous apporte ses lumières.
RGPD & B2B par Adeline Lemercier
Conseil
il y a 2 ans
RGPD en B2B : entre mythes et réalités
Adeline Lemercier, responsable marketing chez Plezi nous éclaire sur le RGPD en B2B : une mise au point sur quelques idées reçues, notamment sur le Privacy Shield américain s'impose. Bonus : la checklist pour être conforme en infographie !