Quelques mois après son entrée en vigueur, le RGPD reste encore une problématique majeure pour les entreprises et leurs départements juridiques. Pour ces derniers, il a également posé des questions d’organisation et de management : qui pour le mettre en place et gérer le suivi des mesures internes, et ainsi occuper le poste de DPO ?

Certains directeurs juridiques, comme William Baldari, directeur juridique chez Salvia Développement, Groupe Akanea Développement et Groupe I’Car Systems, ont hérité de cette nouvelle casquette. Il a accepté de nous en dire plus sur les impacts , au quotidien, de cette double fonction.

Pouvez-vous dans un premier temps nous résumer les particularités du poste de DPO que vous occupez, en plus de votre fonction de directeur juridique ?

William Baldari : Aujourd’hui, je suis directeur juridique mutualisé entre trois groupes de sociétés distinctes totalement autonomes (Groupe Salvia développement, Groupe Akanea Développement, Groupe I’Car Systems) mais opérant dans un même secteur d’activité, à savoir la vente de logiciels informatiques de gestion à une cible de clients qui leur est propre. Cette mutualisation s’inscrit dans une logique de coût et permet à chacune des structures juridiques de bénéficier de services de juristes informatiques partagés avec les autres groupes de sociétés, dont le besoin métier – une spécialisation en droit informatique - est sensiblement le même.

Dans le cadre de mes fonctions, je suis également DPO de la société Salvia développement dont je suis salarié, et pilote de la mise en conformité RGPD des Groupes Akanea Développement et I’Car Systems qui ont fait le choix, pour l’une, de ne pas avoir de DPO et pour l’autre, d’en différer le recrutement.

Comment vous êtes-vous organisé pour le cumul de ces deux fonctions ? Directeur juridique et DPO, est-ce une association naturelle ?

Le débat concernant le bon profil d’un DPO est un sujet passionnant qui a fait couler beaucoup d’encre… Doit-il être un technicien ou un juriste ?

Pour ma part, je ne peux envisager la bonne compréhension d’un contrat informatique par un juriste n’ayant aucune connaissance du RGPD. De la même façon, je pense qu’un juriste spécialisé dans l’informatique se doit d’avoir des connaissances solides concernant l’organisation technique des systèmes d’information - ce qui me semble une caractéristique fondamentale d’un bon DPO pour une bonne application du RGPD. Aussi, pour ces raisons, l’association de la fonction d’un directeur juridique opérant dans l’informatique et la fonction de DPO me semble totalement naturelle.
Si le pilotage de la mise en conformité a nécessité un temps de disponibilité spécifique dans la période précédant et concomitante à l’entrée en vigueur du RGPD, toute réponse à une question relative aux données à caractère personnel s’inscrit aujourd’hui dans le quotidien des attributions du service.

Cela a-t-il eu des conséquences sur votre équipe juridique ?

Je travaille avec un collaborateur, et cela a nécessité de comprendre sa motivation à accompagner cette démarche, au regard de la charge de travail complémentaire que cette mise en conformité suppose. Cela a tout d’abord impliqué la mise en place d’objectifs annuels clairs et partagés dans le cadre des entretiens annuels, et un suivi régulier des rétroplannings existants. Nous avons également décidé de recruter une stagiaire qui a effectué des recherches, rédigé des notes, et qui nous a ainsi aidés à clarifier les rouages du RGPD. Elle a rejoint notre équipe pour une durée de 4 mois. La mobilisation du service a été totale et reconnue par l’ensemble des autres services des sociétés pour lesquelles nous travaillons.

Plus globalement, comment s’est déroulé la mise en place du RGPD au sein de votre groupe ?

De manière générale, la compréhension de l’impact de cette réglementation dans le quotidien de nos activités a nécessité une mobilisation du quotidien de la part du service juridique et des équipes managériales des autres services.

Après avoir sensibilisé les différents comités de direction sur la nécessité de la mise en conformité au RGPD au regard des potentiels impacts « business » existants, je suis devenu pilote de la mise en conformité dans le cadre d’un projet transverse qui a nécessité la mobilisation de tous les services de chaque société (marketing produit et opérationnel, R&D, DAF, RH etc..). Une affectation des tâches a été réalisée et des ateliers ont été menés avec chacun des services de la société, un interlocuteur restant leader au sein de chacun d’eux. Par exemple, avec le marketing opérationnel, nous avons travaillez le CRM et la cartographie des traitements ; avec le marketing produit, les évolutions à intégrer aux logiciels commercialisés par nos sociétés ; avec le service des ressources humaines, nous avons mis en place une charte de confidentialité et former nos collaborateurs aux données personnelles. Toutes les communications ont également été faites auprès des collaborateurs via les supports usuels de communication interne, par des newsletters hebdomadaires ou mensuelles, en fonction des groupes de sociétés concernés.

Par ailleurs, il a été décidé de mettre en place un comité RGPD régulier regroupant tous les services concernés (R&D, Marketing produit) pour bien s’assurer de la bonne application du règlement dans le temps : n’oublions pas que la conformité au règlement ne s’apprécie pas uniquement à sa date d’entrée en vigueur !

Les données personnelles vous ont-elles permis d’appuyer encore plus votre rôle et votre positionnement auprès des opérationnels ?

D’une manière générale, si avant, la loi informatique et liberté de 1978 relevait d’un périmètre de juriste spécialiste, parfois très mal appréhendé par les non-initiés, le RGPD a remis les données personnelles au centre de la stratégie de toute entreprise. Cela a un impact direct sur la formation des directeurs juridiques, qui ne peuvent plus se permettre de cantonner au second rang de leurs préoccupations la matière relative aux données personnelles. Tout comme la technique contractuelle ou le corporate, elle devient de facto une compétence essentielle de cette fonction, pour une bonne gestion des risques de l’entreprise ou de l’organisme pour lequel il opère. Par la même occasion, le directeur juridique, qu’il soit DPO ou non, est remis au centre de l’entreprise en raison de son rôle actif dans la bonne appréhension de cet enjeu stratégique désormais incontournable.

Quels vont maintenant être vos prochains défis concernant vos missions et la fonction de DPO ?

Le challenge à relever concerne la mise en place de processus innovants permettant une amélioration continue de la mise en conformité par rapport au RGPD. En effet, avec l’ « accountability » comme principe phare du RGPD, le responsable de traitement et le sous-traitant ont toute la latitude pour décider de mettre en place les procédures, ressources ou outils qui leur permettront de justifier de leur mise en conformité en cas d’audit de la CNIL. Cela ouvre donc un champ infini de possibilités à l’imagination d’un DPO souhaitant inventer des processus ou outils novateurs.
A titre plus personnel, l’étape de l’obtention d’une « certification DPO tamponnée CNIL » me semble une étape fondamentale. La CNIL a en effet adopté en octobre un agrément permettant aux organismes qui souhaitent être habilités par elle à certifier les compétences du DPO sur la base du référentiel de certification qu’elle a élaboré. La crédibilité de la mission d’un DPO passe sans aucun doute par le contenu de sa mission mais également par son niveau de compétence en la matière.

Propos recueillis par Clarisse Andry et initialement publiés dans le Journal du Management juridique

Comentaires:

• 
  Merci , Sarah OUIS , 12 décembre 2018

  Bonjour William

  Merci pour ce partage d’expérience qui me semble nécessaire et utile.

  Le fait que vous ayez impliqué différents membres de chaque département permet effectivement de repartir les missions et responsabilités.

  Les opérationnels ont généralement cette idée préconçue selon laquelle le RGPD concerne uniquement la direction juridique et informatique. L’ironie du sort comme je le rappelle souvent aux équipes est que le legal n’opère quasiment aucun traitement à caractère personnel dans le cadre de ses activités. C’est une responsabilité globale qui doit être appréhendée à l’échelle organisationnelle.

  Merci encore
  Sarah OUIS