La 13e Université des DPO (data protection officer), organisée par l’AFCDP le 16 janvier, s’est tenue à « guichet fermé » à la Maison de la Chimie à Paris. Durant la matinée, plusieurs témoins sont revenus sur la mise en application du RGPD au sein de leur société depuis mai 2018. Sensibilisation, fiches pratiques, boîtes à outils et réponses aux questions des internautes ont rythmé ces derniers mois.
L’année 2018 a été celle de « l’appropriation [du RGPD] et de [s]a mise en route », résume Albine Vincent, responsable du service des DPO de la Commission nationale de l’informatique et des libertés (CNIL). Alors comment les entreprises s’y sont-elles prises ? En mettant l’accent sur la sensibilisation des salariés des 58 entités se trouvant désormais dans son périmètre, indique Yohann Brossard, DPO de Grand Poitiers communauté urbaine, de la ville de Poitiers et de son CCAS (centre communal d’action sociale). Il leur a concocté des fiches pratiques et mis à disposition une boîte à outils contenant notamment des clausiers sur le RGPD à intégrer directement dans leurs procédures de passation de marchés publics.
Chez Ubisoft, les démarches ont été focalisées sur l’obtention du label gouvernance informatique et libertés, proposé par la CNIL. C’était la « feuille de route » que le spécialiste du jeu vidéo s’était fixée en 2018, commente Judicaël Phan, associate general counsel de la société. L’équipe projet RGPD d’Ubisoft - sa « privacy family » - a également axé ses efforts sur l’information des personnes quant à leurs droits sur leurs données personnelles. Et depuis mai 2018, « de plus en plus de joueurs », mais aussi de salariés du groupe, « font valoir leur droit d’accès ».
Un « travail d’Hercule » est toujours en cours de réalisation au sein du ministère de l’éducation nationale : celui de cartographier les traitements opérés dans l’administration, lance Gilles Braun, l’un des DPO du ministère. Il est en relation avec près de 8 000 responsables de traitements - les chefs d’établissements du second degré d’enseignement sans compter ceux des écoles privées qu’il n’a pas dans son giron -. Ses travaux ont aussi consisté à répondre aux questions des familles sur l’utilisation des données personnelles de leurs enfants. Environ 2 000 personnes ont ainsi questionné le ministère sur le traitement des résultats obtenus lors des dernières évaluations proposées dans les écoles primaires et au collège.
Du côté de la Française des jeux (FDJ), on a cherché à être « customer centric » : à écouter davantage les clients sur leur compréhension des mentions légales à la sauce RGPD. Marine Ahuat Woodge, la DPO de la FDJ résume la démarche :
« Une entreprise orientée client est une entreprise qui considère, informe, comprend, personnalise, donne du sens, a de l’empathie, de la reconnaissance pour ses clients, avec des réponses simples, rapides et facilement compréhensibles ».
Le leader du jeu en France a donc écouté « la voix du client » en conduisant une démarche « marketing » déployée par les juristes internes. Ils ont notamment cherché à collecter l’avis des joueurs sur leur privacy policy. Puis, une adaptation des mentions juridiques a été opérée. Les juristes ont ensuite fait du « call back » : ils ont rappelé les utilisateurs pour déterminer leur satisfaction à la solution trouvée. Et ainsi de suite.
C’est donc une démarche de « co-construction » qui a animé plus d’une cinquante de collaborateurs de la direction juridique ayant rencontré plus de 300 clients. Le service poursuit son travail dans cette direction. Un module sur le recueil du consentement de l’utilisateur aux méthodes de profilage, déployées par la FDJ, a été mis en ligne le 15 mai 2018. Mais plusieurs internautes ont émis des retours négatifs sur celui-ci et son « wording » a donc été modifié fin mai, explique Marine Ahuat Woodge. A l’avenir, cette façon de procéder continuera de primer.
L’une des rencontres phare entre les juristes et le public a été organisée au siège de la FDJ en grandes pompes. Visites des locaux, coulisses du tirage du loto, petits-fours et champagne ont été proposés avant de passer au vif du sujet : celui de la protection des données personnelles.