Le Data Protection Officer (DPO) de Squadata explique la mise en conformité avec GDPR (interview)
En juin 2017, Eric Phrakhonkham est devenu officiellement le DPO de Squadata. Pendant ces cinq derniers mois, il a lu le RGPD (Règlement Général sur la Protection des Données, ou GDPR, General Data Protection Regulation en anglais) dans son intégralité (véridique !) et commencé à travailler dur sur ce sujet.
Le RGDP est un sujet complexe qui pourrait bouleverser l’industrie digitale et plus précisément celui de l’AdTech, du MarTech et de la publicité online, voici donc ses éléments de réponse pour y voir plus clair. Interview !
Quand faut-il désigner un DPD (Délégué à la Protection des Données) ?
D’après le texte du RGPD, nommer un DPD (ou DPO, Data Protection Officer en anglais) est facultatif dans certains cas mais reste fortement recommandé. Au regard de l’activité de Squadata, en tant qu’éditeur de solutions de data marketing, le DPD est non seulement obligatoire mais sa fonction nous apparaît comme une évidence pour comprendre les exigences officielles, accompagner l’entreprise dans sa mise en conformité et faire le lien avec l’organisme de contrôle.
Selon toi, de quelles compétences doit disposer le DPO idéal ?
Le DPO idéal, c’est un peu moi mais en mieux. C’est comme un mouton à 5 pattes qui se trouve à la frontière entre plusieurs domaines de compétences : technique, métier et juridique, avec une ou plusieurs expertises en bonus.
Le DPO va devoir non seulement abattre un boulot énorme dans les mois à venir pour préparer l’application du règlement, mais aussi veiller à ce que le cap soit toujours maintenu sur le long terme.
Plus que des compétences à proprement parler, le DPO idéal devrait pour moi avoir les qualités suivantes : curiosité, créativité, goût du défi, esprit d’initiative, rigueur, capacité de synthèse et d’écoute, pragmatisme et pédagogie. Ses compétences, le DPO va les acquérir sur le tas.
À mon avis, le DPO doit également faire preuve d’éthique pour penser à l’intérêt de la “personne concernée” dont il est question dans le règlement, qui n’est autre que toi, moi, Ludovic (Mugnier, fondateur de Squadata NDLR*), nos enfants, tout un chacun.
Le DPO idéal, c’est comme un mouton à 5 pattes qui se trouve à la frontière entre plusieurs domaines de compétences, technique, métier et juridique, avec une ou plusieurs expertises en bonus.
As-tu suivi une formation spécifique pour assurer ce rôle efficacement ?
Mon profil est plutôt technique, axé développement logiciel et opérations des infrastructures informatiques. J’ai également une composante organisationnelle de gestion de projet, d’assurance qualité et des notions de sécurité des systèmes informatiques.
J’ai reçu des formations ISO 9001 et ITIL lors de précédentes missions afin d’inscrire mon poste dans la démarche qualité globale du service où je travaillais.
J’ai moi-même tenu le rôle de formateur auprès de clients afin de les accompagner dans leur implémentation de processus qualité à des fins organisationnelles, documentaires, de processus de certifications et labellisation diverses.
Je tire de cette expérience trois principes fondateurs qui me guideront dans mon rôle de DPO :
1/ Même un travail de qualité doit être formalisé.
2/ Le risque est d’ignorer le risque.
3/ La qualité n’est pas un état mais un état d’esprit.
Quelles étapes as-tu définies pour s’assurer que Squadata soit en conformité avec le règlement européen sur la protection des données personnelles (RGPD) ?
La première étape a été de partager avec la direction et les équipes commerciale et technique une synthèse du règlement et d’ébaucher les implications, contraintes et chantiers principaux à lancer.
La première étape a été de partager avec la direction et les équipes commerciale et technique une synthèse du règlement et d’ébaucher les implications, contraintes et chantiers principaux à lancer.
Il faut noter que chez Squadata, les solutions se fondent sur des traitements de données aux typologies très variées en termes de catégories, responsabilités, finalités. Les différentes technologies de stockage des données et le degré de maturité des solutions existantes ou en projet sont encore d’autres dimensions à prendre en compte dans les contraintes et spécifications des traitements.
Ainsi, si logiquement le travail de cartographie est un chantier à lancer prioritairement, il est utile de se pencher rapidement sur les outils et mesures de sécurisation des données personnelles afin d’évaluer leur efficacité et de proposer des recommandations pour les projets en cours. De même, engager assez tôt une discussion avec les clients et partenaires et commencer à formaliser les nouvelles obligations contractuelles permettra de mieux cadrer les processus internes et externes et de commencer à requalifier les données. On en est là aujourd’hui.
L’étape suivante est l’évaluation des risques et l’étude d’impact sur la vie privée qui permettra de définir et prioriser les actions de mise en conformité des traitements.
L’étape suivante est l’évaluation des risques et l’étude d’impact sur la vie privée qui permettra de définir et prioriser les actions de mise en conformité des traitements.
Ces actions de mise en conformité seront d’ordre technique, méthodologique, organisationnel ou contractuel. Elles seront menées en parallèle de la mise au point des processus et de la gestion documentaire.
Ensuite, nous procéderons à des audits internes et externes et à des validations juridiques en particulier pour finaliser notre conformité initiale.
A tout moment, nous prendrons en compte les éventuelles chartes de bonne conduite ou mises à jour des textes.
Au sujet de la cartographie, pourquoi devons-vous maintenir un Registre des traitements internes ?
Outre le caractère obligatoire de ce registre pour SQUADATA en tant que responsable ou sous-traitant du traitement, la cartographie doit faire partie intégrante de la documentation de référence et doit rester à jour pour localiser et qualifier traitements et données à caractère personnel. Nos processus s’appuient sur cette cartographie.
Quelles sont les équipes impliquées dans la mise en conformité chez Squadata ?
A l’initiative du projet, on trouve la direction pour qui la mise en conformité est un enjeu prioritaire.
Côté métier et support client, les commerciaux et responsables du trafic qui connaissent, utilisent et commercialisent les solutions SQUADATA apportent des informations essentielles pour définir les exigences et contraintes du traitement, du transfert et de la collecte des données.
Côté technique, les équipes d’administrateurs système, architectes et développeurs seront plus impliquées dans les actions de cartographie et dans l’implémentation de la conformité.
Les prestataires et sous-traitants doivent aussi être impliqués.
A terme, tous les employés devront être sensibilisés et formés aux problématiques de protection des données afin qu’ensemble, nous puissions rester vigilants et proactifs.
A terme, tous les employés devront être sensibilisés et formés aux problématiques de protection des données afin qu’ensemble, nous puissions rester vigilants et proactifs.
Squadata opère sur plusieurs marchés européens. Y aura-t-il une différence de mise en application par les organismes de contrôle nationaux d’un pays à un autre ?
Dans le texte, chaque état membre prévoit une ou plusieurs autorités publiques indépendantes de contrôle du règlement, en France, c’est la CNIL qui est compétente sur le territoire national. Dans un soucis de cohérence d’application toutes les autorités de contrôle sont représentées au sein du comité européen de la protection des données et les autorités de contrôle sont tenues de coopérer et de communiquer ensemble. L’application sera donc uniforme au sein de l’union.
Pour plus d’informations sur la mise en conformité GDPR de Squadata, contactez-nous.
Quelles sont les premières mesures prises chez Squadata ?
Pour plus d’informations sur la mise en conformité GDPR de Squadata, contactez-nous.
A PROPOS DU DPO DE SQUADATA :
Eric Phrakonkham est le Délégué à Protections des Données (DPD) ou Data Protection Officer (DPO) de Squadata depuis Juin 2017. Il exerce également le poste de Chef de Projet et Assurance Qualité en Ad Vérification chez Squadata depuis 2016.
