Nous remercions Régis Ghozlan d’avoir bien voulu répondre à nos questions sur son métier de DPO au sein de l’UFC-Que Choisir.
– Comment s’organise la mise en conformité du RGPD d’une association de 135 personnes qui fédère aussi 140 associations locales ?
– En quoi la gestion des données personnelles est-elle un enjeu particulièrement fort pour l’UFC-Que Choisir ?
– Comment lutter contre la solitude du DPO et améliorer le lien avec les autorités de contrôle ?
Parce que l’expérience d’un Délégué à la Protection des Données peut en inspirer d’autres, parce que nous croyons que le partage des bonnes pratiques permet aux organisations de gagner du temps et à la conformité de gagner du terrain, chaque mois, nous donnons la parole à l’un d’entre eux.
Pouvez-vous revenir sur votre parcours et sur ce qui vous a amené à être DPO de votre organisation ?
J’ai rejoint l’UFC-Que Choisir en 2005 en tant que DSI. Ma première mission a été de stabiliser l’IT de l’association, notamment en ce qui concerne les plateformes d’hébergement. Je me suis ensuite dirigé vers l’organisation de projets avec pour objectif de professionnaliser un certain nombre de process de l’association. J’ai profité de cette activité pour devenir Correspondant Informatique et Libertés (CIL) en 2014. En effet, je sentais à l’époque que la data et la protection des données personnelles allaient devenir très prégnants et cette position de CIL me permettait ainsi de connaître l’ensemble des projets traitant de données personnelles. En 2018, j’ai donc naturellement été désigné DPO.
En termes d’organisation, comment avez-vous pu identifier et mobiliser des relais en interne ?
L’UFC-Que Choisir est composée de deux grands pôles : une partie publications produit les célèbres magazines quechoisir et le site Quechoisir.org et une partie politique qui répond à la mission de l’association.
L’UFC-Que Choisir a depuis longtemps milité pour la protection des données personnelles, aussi, j’évolue dans un environnement très favorable à cette problématique. Je n’ai donc pas eu besoin de convaincre ni de me battre pour sensibiliser les équipes sur le sujet. D’autre part, venant de la DSI et de l’organisation des projets, j’avais bien en tête la cartographie de l’ensemble des éléments IT. Les gens s’adressaient naturellement à moi pour les questions de données personnelles, que ce soit d’un point de vue purement juridique ou pour des problématiques projets ou IT. Je disposais finalement d’une vision globale sans avoir besoin de relais et j’ai eu la chance de bénéficier du total soutien de Jérôme Franck, le DG de l’UFC-Que Choisir, qui est avocat et sensible à ce sujet.
Concernant les associations locales, nous nous sommes appuyés sur Gestal, une application de type ERP qui permet de gérer l’ensemble des adhésions et des adhérents, pour déployer la partie protection des données personnelles localement. Les relais Gestal sont pour la plupart devenus également référents DPO et c’est sur eux que nous nous sommes appuyés pour harmoniser nos pratiques.
Quels sont les freins que vous avez pu rencontrer et comment les avez-vous surmontés ?
Comme nous sommes une association de défense des consommateurs qui a toujours prôné le droit à la protection des données, j’avais affaire à des équipes qui me disaient avoir « de bonnes intentions ». Or, dans la protection des données, il n’y a pas que les intentions qui comptent ! Il s’agit bien de prendre en considération la pratique de tous les jours et parfois, cette pratique n’était pas conforme au RGPD. J’ai donc dû harmoniser les façons de faire au sein de la fédération, dans les différents départements (diffusion, marketing etc…). Ce n’était pas toujours évident car faire évoluer un certain nombre de pratiques peut coûter de l’argent et des abonnés.
Il a ensuite fallu procéder à ce travail d’harmonisation au sein des associations locales. En effet, l’UFC-Que Choisir est perçue comme une entité unique, mais en réalité elle est composée de 140 associations locales qui sont indépendantes les unes des autres.
« Le RGPD nous a poussés à reprendre la base et nous restructurer d’un point de vue administratif et contractuel. »
Cet aspect a été lourd à gérer mais, au final, il était très utile, et ce bien au-delà du RGPD.
Estimez-vous que vous aviez un enjeu particulier, en tant qu’association de consommateurs, à être exemplaires sur cette question des données personnelles ?
Effectivement, en tant qu’UFC-Que Choisir, il faut que nous soyons, je dirai, « plus blancs que blancs ».
Il faut donc gérer au quotidien cette « schizophrénie » entre les besoins du marketing et la partie politique de l’UFC-Que Choisir.
En ce qui concerne le marketing, j’essaie de les rassurer en leur expliquant que tout n’est pas interdit et en leur montrant ce que l’on peut faire. Nous travaillons ensemble pour déterminer ce dont ils ont besoin.
Pour la partie politique, je les sensibilise au fait qu’il faut faire attention, lorsqu’ils font des déclarations sur les données personnelles, à ne pas être trop extrêmes pour ne pas que ça nous impacte au niveau opérationnel. J’avoue que ce n’est pas toujours facile à gérer. Grâce à mon expérience terrain, j’essaye de garder un regard critique sur l’application du RGDP, et d’en faire part à notre service juridique qui travaille en grande proximité avec le CNIL. Je suis finalement constamment le berger qui ménage la chèvre et le chou.
Pourquoi avez-vous choisi la solution Adequacy ?
Pour faire face à la multiplicité des traitements à gérer et aux analyses d’impacts à réaliser, j’avais besoin d’un outil qui me mâche le travail et qui me soit d’une réelle assistance dans la réalisation du registre. J’ai regardé plusieurs solutions, et j’ai remarqué que nombre d’entre elles voulaient ou prétendaient tout faire. Lorsque le cabinet d’avocats qui nous accompagnait nous a parlé de la solution Adequacy, j’ai demandé une démonstration et j’ai été tout simplement bluffé. Adequacy a très bien compris les problématiques liées au métier de DPO. Pour venir du monde de l’IT, j’apprécie vraiment la qualité de l’interface.
Dès lors que l’on comprend que le paramétrage initial prend du temps, mais permet d’en gagner beaucoup par la suite, l’outil est facile d’utilisation.
Pour le moment, je suis le seul à avoir accès à Adequacy avec mon équipe. A présent que nous sommes alignés d’un point de vue contractuel, la prochaine étape est d’ouvrir l’accès aux référents RGPD des associations locales.
Quelle est votre vision du métier de DPO et les enjeux à venir concernant la conformité des données à caractère personnel ?
Historiquement, il me semble que la mise en application du RGPD ressemble à la mise en place des lois sur les finances et les impôts en France. Cela a donné naissance à des experts comptables, des commissaires aux comptes… Le DPO finalement ressemble à ces métiers-là. Il est incontournable, c’est lui qui assure la responsabilité de l’entreprise en matière de données personnelles.
Toutefois, contrairement à la finance, rien n’est encore normalisé dans ce domaine. Le RGPD est un texte sujet à de nombreuses interprétations et le DPO est confronté aux décisions soudaines des autorités de contrôle, qui, parfois, lui font perdre sa crédibilité. Au final, le DPO est assez seul et, contrairement à ce qui existait du temps des CIL, il n’y a plus de formation, plus de forums ou d’accès à la CNIL.
Pour l’avenir, il est essentiel de recréer un lien plus fort entre les DPO et les autorités de contrôle. Certaines associations comme l’AFCDP essaient de combler ce manque avec la mise en place d’un forum annuel par exemple mais elles n’ont pas de réel pouvoir. Finalement, il faudrait peut-être qu’il y ait des associations de consommateurs au sein de la CNIL…
« Nous sommes dans une phase de débroussaillage, espérons que cette phase ne dure pas trop longtemps. «
Charge à la CNIL de nous tracer la route, et non de nous amener dans des impasses !
A titre personnel, je pense par exemple que l’interprétation actuelle du RGPD par la CNIL, qui fait tout reposer sur le consentement, n’est pas la bonne. Pour moi, ce principe rend possible tout et n’importe quoi dès lors que le consommateur a donné son consentement. Mais en réalité, le consommateur est complètement perdu ! Il aurait été plus simple et efficace à mon avis de créer un code de loi qui aurait défini ce que l’on a concrètement le droit de faire avec ces données personnelles.
En résumé, je trouve que le RGPD a amené une prise de conscience et c’est très bien, je suis plus circonspect sur la façon dont il est mis en application et sur comment tout cela va se stabiliser dans le futur.
Nous remercions Régis Ghozlan pour l’entretien qu’il nous a accordé. Vous pouvez suivre et contacter Régis sur son compte Linkedin.