@DPO_News @cyberisques : Portrait Hélene Legras DPO AREVA « Le DPO est plus un profil du savoir être que du savoir faire »

septembre 2016

Cyberisques NEWS Portrait:   Hélene Legras DPO AREVA

 

 

« Le DPO est plus un profil du savoir être que du savoir faire » 

 

 

Rencontrer Hélène Legras c'est trouver l'alchimie étrange entre le triptyque connaissances, tempérament et intelligence. A quoi sert l'intelligence si elle n’est pas portée par un tempérament s'interrogeait Voltaire ? Pas de soucis de ce côté là avec la DPO de New AREVA Holding à 8 mois de la mise en application du RGPD (GPDR).

Fin septembre 2017, tour Areva Ouest parisien La Défense. Un étage élevé et...la découverte d'une petite boule d'énergie et d'un sourire radieux. Hélène Legras, DPO depuis mai 2017 de New Areva Holding m’accueille. New Areva Holding : 20 000 collaborateurs, OIV stratégique. Accompagnée d'un jeune stagiaire futur avocat, la juriste d'AREVA pour la protection des données à caractère personnel est aussi l'ex-CIL de sa compagnie. Elle ouvre le jeu : « Savez-vous que les DPO contrairement au CIL ne sont pas tenus de tenir eux mêmes le registre demandé par le RGPD ? ». Je lui réponds que dans les textes du RGPD c'est exact, dans les mœurs c'est sans doute eux les mieux placés. Elle en convient.

Pas de carte de visite lorsque je donne la mienne, juste un carton de l'ADPO nouvelle association des successeurs aux CIl. Pas de café, la rigueur d'Areva dans une salle de réunion banale. Peu importe. L'intérêt voire la curiosité de cette femme pour son métier m'intéresse. Elle est aussi Vice Présidente de l'ADPO (Association Data Protection Officers créée en 2016 avec e Alain Bensoussan) « Un homme très bien qui sait de quoi il parle » m'assure-t-elle. Pourquoi l'ADPO alors que l'AFCDP et plus récemment l'UDPO existent ?

La fibre politique qui existe chez tout bon juriste interprète immédiatement ma question dans ce sens. « J'ai été administrateur de l'AFCDP par ailleurs co fondée par Alain Bensoussan m'explique t-elle et j'ai démissionné de mon poste avant de rejoindre l'ADPO plus orientée sur les problématiques de grandes entreprises présentes dans le monde entier comme New AREVA Holding ».

DPO as a service ?

Le marché DPO s'organise à 8 mois de la mise en application du RGPD (GPDR). Il attire des convoitises notamment sur les aspects « services de DPO externalisés ».

« C'est normal notamment pour les petites collectivités et organisations que ces services de DPO externes existent » Qui préconisent-elle entre cabinets d'avocats, commissaires aux comptes, cabinets d'audit... ?

Prudente, Hélène Legras suggère que des anciens DPO ou plus exactement CIL proposent leurs propres expertises « externalisées » en tant qu'experts. Pour le profil de DPO interne ? « incontestablement, les départements juridiques sont les mieux placés. Je rappelle que sur les 18 000 CIL en activité, un tiers sont des juristes. En outre, les DPO comme les CIL ne sont pas directement responsables des traitements d'un point de vue pénal ». Je lui fais remarquer qu'en Allemagne, le texte d'interprétation du RGPD (règlement européen) au cadre juridique national allemand préconise une responsabilité pénale des DPO allemands. Une forme d’interprétation « extrême » de ce que recommande le règlement européen. « C 'est vrai mais ce ne sera pas le cas en France » m'affirme t-elle. Et la loi française  d'interprétation des renvois et mentions aux textes nationaux du RGPD, ou en est le chantier ?

« Nous ne l'aurons pas avant janvier prochain répond la DPO de New AREVA Holding. Mais ce texte vous avez raison a son importance notamment pour préciser certains points du RGPD : définition de la désignation et du rôle de l'autorité de contrôle par exemple (CNIL en France) points de la loi informatique et libertés qui seront abrogés... ».

 

header areva logo color

 

En fait, pour beaucoup de juristes et d'experts en réglementation européenne, le RGPD existe depuis ...2012 et ne fait qu'enrichir l'esprit de la Loi Informatique et Libertés en imposant la fin du régime déclaratif et des sanctions financières « stratégiques ». En tant que règlement européen (et non directive) il s'applique de fait et « efface » les règlements nationaux. Reste que ce qui ne sera pas couvert par le RGPD reviendra éventuellement à ce qu'encadrent les réglementations nationales. D’où la nécessité d'un texte de « clarification ».

Hélène Legras insiste également sur un autre point : « Le RGPD (GDPR) est entré en vigueur en mai 2016 mais sa mise en application sera effective en mai 2018 « d’où l'importance de nommer les DPO le plus vite possible en tenant compte du fait qu'un DPO ne peut en aucun cas être responsable de traitement. Il ne peut en tant que veilleur de la mise en place de la conformitéêtre juge et partie ». C'est dit. Et c'est exact. Il faut éviter les conflits d'intérêts. Pour la DPO de New AREVA Holding, le « DPO est plus un profil du savoir être que du savoir faire ». Une phrase importante pour comprendre où situer le DPO au sein d'une organisation impactée par les trois axes du RGPD : organisationnel, juridique et technique. Pour New AREVA Holding, il faut un DPO groupe qui gère des DPO « locaux » ex correspondants du réseau du CIL groupe par exemple. « le tout dépendant du service juridique » rappelle la Vice Présidente de l'ADPO.

Premières mesures d'un DPO Groupe chez New AREVA Holding

Hélène Legras calque sa stratégie de mise en conformité du groupe sur le RGPD en s'alignant sur les recommandations en 6 étapes de la CNIL.

Pour elle, il faut dans un premier temps nommer un DPO, cartographier les traitements et leur finalité (génération de données DCP suite à l'exécution d'un traitement), identifier sur les traitements existants les traitements à risques et déterminer le niveau de risque. Prudente, la DPO de New AREVA Holding préconise « d'utiliser l'outil proposé par la CNIL en open source pour réaliser des études d'impacts offre de nombreux avantages si l'on renseigne correctement le référentiel à la base de son fonctionnement. »

La gestion de la « compliance » chez les sous-traitants constitue également un contrôle impératif afin de vérifier la conformité de toute la chaîne applicative. « Ce que nous pouvons redouter chez New AREVA Holding comme n’importe quelle marque c’est la contre publicité faite sur le site de la CNIL suite à une sanction de l'autorité de contrôle ». Sourire radieux à nouveau de la DPO de NewAREVA Holding. Fin de l'entretien. 

 

@jpbichard

@DPO_NEWS

 

 

BONUS :

 

https://www.data-protection-officer-association.eu/ladpo-publie-un-livre-sur-le-data-protection-officer/

 

 

@DPO_NEWS #GDPR #RGPD: Guide pratique: comment documenter la conformité ?

Guide pratique du DPO par @DPO_NEWS

 

@DPO_NEWS   #GDPR #RGPD

 

Guide pratique DPO fiche 1:

Comment documenter la conformité GDPR* ?

 

Tous les services, même non européens, qui visent des personnes se trouvant dans l’Union, devront appliquer le RGPD à partir du 25 mai 2018. Toutes les organisations et entreprises seront elles prêtes ? Aucune certitude à moins de 9 mois de la mise en application du RGPD (cf section BONUS en fin d'article).

Pour aider l'ensemble des organisations et leurs DPO a préparer la mise en place de leur projet RGPD / GDPR, @DPO-NEWS va publier à partir d'aout 2017 en plus d'artricles réguliers (http://bit.ly/2v50ai0) des fiches pratiques pour DPO.

 

 

 Guide pratique DPO fiche 1:  Comment documenter la conformité* ?

 

Votre dossier devra notamment comporter les éléments suivants :

LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES

  • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) (Article 30)
  • Les analyses d’impact relatives à la protection des données pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes
  • L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications) (Article 35+36)
  • Le registre qui documente toutes les violations de données. Celui-ci renseigne les effets de la violation de données et les mesures prises pour y remédier. (Articles 33+34)

C5amMvcWQAAp7jG GF GF GF

 

 

L'INFORMATION DES PERSONNES (Articles 13+14)

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées
  • Les procédures mises en place pour l'exercice des droits

LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

  • Les contrats avec les sous-traitants (Article 28)
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base juridique.

Attention : cette liste n’est pas exhaustive et les besoins de documentation peuvent varier d’un organisme à l’autre en fonction des "adpattaions" des textes nationaux. 

 

* Guide proposé par la CNPD

 

BONUS: 

Conseils de la CNIL: 

https://www.cnil.fr/fr/documenter-la-conformite

https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

 

Collectivités: Selon une enquête réalisée par la Gazette des communes, seulement  10% des collectivités en France pensent qu’elles seront prêtes pour mai 2018.

Afin de sensibiliser les collectivités à leur nécessaire préparation, la CNIL va adresser prochainement des courriers à plusieurs têtes de réseaux en soulignant la nouvelle logique d’accountability et la désignation obligatoire d’un délégué à la protection des données.

 

  • AMF Association des Maires de France et des présidents d’intercommunalité
  • ADCF Assemblée des Communautés de France
  • ADF Assemblée des Départements de France
  • ARF Régions de France
  • APVF Association des Petites Villes de France
  • AMRF Association des Maires Ruraux de France
  • FRANCE URBAINE
  • VILLES DE FRANCE
  • Association des Maires Ville et Banlieue de France
  • SNDGCT Syndicat national des Directeurs Généraux des Collectivités Territoriales
  • ADGCF Association des Directeurs généraux des Communautés de France
  • FNCDG Fédération Nationale des Centres de Gestion de la Fonction Publique Territoriale
  • FNCCR Fédération nationale des collectivités concédantes et régies (FNCCR)
  • Association DECLIC (fédère les structures départementales d’accompagnement et de mutualisation informatique des collectivités : asso, syndicats mixtes, CDG, agences techniques départementales)
  • Fédération des Entreprises Publiques Locales

Quotidiennement, DPO-NEWS et Cyberisques.NEWS vous informent sur :

@cyberisques

@jpbichard

@DPO_NEWS

https://www.linkedin.com/in/jpbichard/

 

 

@DPO_News @cyberisques @jpbichard #GDPR #DPO : RGPD, 67% des sondés en sont encore au stade de la veille technologique (rapport Umanis juin 2017)

Source : Media'Tech d'Umanis  

 

Entreprises françaises face au GDPR:  

70% n'ont pas nommé de DPO et seules 7% considèrent que la désignation d'un pilote GDPR est une priorité


 

 

 

 

Umanis, spécialiste de la data et de la mise en conformité au GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données), dévoile une enquête qui confirme le retard pris par les entreprises dans ce chantier majeur et à haut risque.

 

 

Le nouveau règlement européen modifie en effet le cadre juridique relatif à la protection des données personnelles au sein de l'Union Européenne et impose à toutes les entreprises de plus de 250 collaborateurs leur mise en conformité à horizon mai 2018, sous peine de sanctions pouvant atteindre jusqu'à 4% du chiffre d'affaires annuel mondial.

Les chantiers induits sont considérables et entraînent de forts impacts organisationnels et technologiques car toutes les fonctions étant amenées à collecter, traiter, manipuler, transformer, exploiter et stocker les données à caractère personnel sont concernées (marketing, vente, RH, applications et systèmes IT, sous-traitants, etc.).

Au-delà des aspects juridiques et technologiques, les entreprises prennent conscience tardivement que les données personnelles représentent un actif stratégique précieux, mais aussi vulnérable. La donnée et son exploitation sont en effet au cœur de la transformation digitale des entreprises mais les cyberattaques sont aussi l'un des plus grands risques auxquels elles sont confrontées.

 

 

Rien de surprenant dans les réponses de cette enquête au regard des pérécdentes :

 

 http://cyberisques.com/fr/mots-cles-15/668-compuware-rgpd-gdpr-dpo-news-cyberisques-compuware-rgpd-gdpr-dpo-news-cyberisques-l-europe-est-en-retard-sur-les-etats-unis-dans-la-mise-en-place-de-plans-detailles-de-conformite-au-rgpd-les-entreprises-britanniques-sont-les-moins-bien-preparees-seules-38

 

et 

 

http://cyberisques.com/fr/mots-cles-15/670-dpo-news-cyberisques-jpbichard-gdpr-dpo-38-des-entreprises-francaises-sont-deja-conformes-avec-le-gdpr

 

 

Basée sur les réponses de 78 répondants, décideurs en entreprises (RSSI, DSI, Relation client, Marketing, RH...), cette enquête est présentée à travers une infographie qui fait ressortir des données révélatrices de la situation actuelle :

 

  • La moitié des entreprises ignore les problématiques induites par la mise en conformité

 

  • 67% des sondés en sont encore au stade de la veille technologique

 

  • 36% des entreprises pensent que l'impact IT va être considérable car elles sont loin de pouvoir répondre aux exigences à venir

 

  • 70% n'ont pas nommé de DPO et seules 7% considèrent que la désignation d'un pilote GDPR est une priorité

 

  • 46% ne savent pas du tout si elles seront conformes à temps et 23% pensent que ce sera impossible de l'être

 

  • 77% des répondants perçoivent le GDPR comme une formidable opportunité pour créer de la valeur à partir de leurs données

 

 

Top 5 des chantiers prioritaires :

 

1/ Sécurisation des données et des traitements

2/ Mise en place du « Privacy by design » et gestion du droit à l'oubli

3/ Priorisation des actions à mener pour être en conformité

4/ Maîtrise des risques (cyberattaques, vol de données, etc.)

5/ Cartographie des traitements de données personnelles

 

 

 

Les investissements IT représentent 2/3 du budget de mise en conformité au GDPR pour les entreprises. Depuis la promulgation de ce nouveau règlement, Umanis propose son expertise historique dans les chantiers data à mener : cartographie des données, inventaire des traitements et analyse des risques, sécurisation des données (datamasking, pseudonymisation et chiffrement), garantie de leur confidentialité, de leur l'intégrité ainsi que leur traçabilité (référentiel et gouvernance des données, data lineage). 

Abonnemnt-2017

 

 

 

BONUS: 

 

 

Infographie GDPR Umanis 1

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires