RGPD : quel rôle pour les directeurs juridiques ?
Mardi, la 7e édition des Débats du Cercle - organisée par Option Droit & Affaires et le Cercle Montesquieu - a réservé une matinée de débats aux directeurs juridiques. L’occasion d’échanger entre pairs sur les bonnes pratiques de mise en conformité avec le RGPD (règlement européen sur la protection des données personnelles) et de trouver des sources d’inspiration pour l’avenir.
« Nous avons mis en place cinq chantiers, organisés par thématique : gouvernance, B to C, relations avec les partenaires, accountability et notification des violations de données. Tout dépend du niveau de maturité de l’entreprise en matière de protection des données personnelles. Si je devais prioriser, je commencerais par l’accountability. C'est la seule réelle nouveauté apportée par le règlement », témoigne Johanna Carvais-Palut, DPO (data protection officer) du groupe Malakoff Mederic.
Pour chaque chantier, des outils et des process ont été créés. « En interne ou par des prestataires externes », précise celle-ci. Par exemple, concernant l’obligation de tenir un registre des traitements de données, la directrice juridique a acheté un « outil de workflow, de suivi et de pilotage » lui permettant de joindre des documents, des analyses d’impact, pour chaque traitement de données. « Je l’ai fait évoluer en fonction de mes besoins. Je voulais notamment un registre de traitement exhaustif par rapport à l'existant ».
Dans les filiales du groupe Malakoff Mederic, plusieurs relais DPO ont été mis en place. Johanna Carvais-Palut est rattachée à la direction des risques. « Je dispose de deux relais au sein de la direction juridique », explique la DPO. Ces derniers la sollicitent notamment pour la révision des contrats en cours, sur des points très spécifiques, comme le transfert des données sensibles.
L’autre pan important de la mise en conformité, selon Johanna Carvais-Palut, concerne la sensibilisation et la formation des collaborateurs. Elle anime notamment des sessions de sensibilisation de 30 minutes auprès du Codir. Si elle n'avait qu'un seul conseil à prodiguer, « soyez dans l’accompagnement plutôt que dans le no-go ».
« J’évite de parler des sanctions, sinon plus personne ne m’écoute ».
Lorsqu’elle est sollicitée sur certains sujets, la juriste essaye de trouver des solutions, coûte que coûte. « J’accompagne le travail d’arbitrage, j’identifie les risques, mais je ne prends pas la décision finale », rappelle la juriste.
« L’essentiel est de remporter l’adhésion des collaborateurs », confirme Florence Graveline, chef du service des études juridiques et DPO à la SACEM. « Un des vecteurs de réussite » est de montrer la nouvelle réglementation comme une opportunité, et non pas comme une contrainte. La responsable juridique a animé de nombreux colloques pour présenter le nouveau texte. L’idée est de faire comprendre à chaque collaborateur qu’il a pour mission, à son niveau, d’assurer la protection des données. « Pour être associé à tous les projets dès le début, il faut veiller à présenter les choses de façon positive et à proposer des solutions », recommande la juriste.
« N’ayez pas de complexe sur votre niveau de maturité », tente enfin de rassurer Anne-Laure Villedieu, avocate au sein du cabinet CMS Francis Lefebvre Avocats. « Nous faisons actuellement face à une explosion des demandes de la part d'entreprises, qui viennent nous voir pour leur mise en conformité globale. Certaines n’ont même pas leur cartographie des traitements de données ». Pour ultime recommandation, l’avocate conseille « d’éviter les prestataires qui vendent des outils de conformité sans assistance technique ». Un transfert de compétences doit nécessairement être inclus dans la prestation, de façon à ce que l’entreprise soit parfaitement autonome dans la gestion de ses outils ».