@DPO_News @cyberisques : Portrait Hélene Legras DPO AREVA « Le DPO est plus un profil du savoir être que du savoir faire »

septembre 2016

Cyberisques NEWS Portrait:   Hélene Legras DPO AREVA

 

 

« Le DPO est plus un profil du savoir être que du savoir faire » 

 

 

Rencontrer Hélène Legras c'est trouver l'alchimie étrange entre le triptyque connaissances, tempérament et intelligence. A quoi sert l'intelligence si elle n’est pas portée par un tempérament s'interrogeait Voltaire ? Pas de soucis de ce côté là avec la DPO de New AREVA Holding à 8 mois de la mise en application du RGPD (GPDR).

Fin septembre 2017, tour Areva Ouest parisien La Défense. Un étage élevé et...la découverte d'une petite boule d'énergie et d'un sourire radieux. Hélène Legras, DPO depuis mai 2017 de New Areva Holding m’accueille. New Areva Holding : 20 000 collaborateurs, OIV stratégique. Accompagnée d'un jeune stagiaire futur avocat, la juriste d'AREVA pour la protection des données à caractère personnel est aussi l'ex-CIL de sa compagnie. Elle ouvre le jeu : « Savez-vous que les DPO contrairement au CIL ne sont pas tenus de tenir eux mêmes le registre demandé par le RGPD ? ». Je lui réponds que dans les textes du RGPD c'est exact, dans les mœurs c'est sans doute eux les mieux placés. Elle en convient.

Pas de carte de visite lorsque je donne la mienne, juste un carton de l'ADPO nouvelle association des successeurs aux CIl. Pas de café, la rigueur d'Areva dans une salle de réunion banale. Peu importe. L'intérêt voire la curiosité de cette femme pour son métier m'intéresse. Elle est aussi Vice Présidente de l'ADPO (Association Data Protection Officers créée en 2016 avec e Alain Bensoussan) « Un homme très bien qui sait de quoi il parle » m'assure-t-elle. Pourquoi l'ADPO alors que l'AFCDP et plus récemment l'UDPO existent ?

La fibre politique qui existe chez tout bon juriste interprète immédiatement ma question dans ce sens. « J'ai été administrateur de l'AFCDP par ailleurs co fondée par Alain Bensoussan m'explique t-elle et j'ai démissionné de mon poste avant de rejoindre l'ADPO plus orientée sur les problématiques de grandes entreprises présentes dans le monde entier comme New AREVA Holding ».

DPO as a service ?

Le marché DPO s'organise à 8 mois de la mise en application du RGPD (GPDR). Il attire des convoitises notamment sur les aspects « services de DPO externalisés ».

« C'est normal notamment pour les petites collectivités et organisations que ces services de DPO externes existent » Qui préconisent-elle entre cabinets d'avocats, commissaires aux comptes, cabinets d'audit... ?

Prudente, Hélène Legras suggère que des anciens DPO ou plus exactement CIL proposent leurs propres expertises « externalisées » en tant qu'experts. Pour le profil de DPO interne ? « incontestablement, les départements juridiques sont les mieux placés. Je rappelle que sur les 18 000 CIL en activité, un tiers sont des juristes. En outre, les DPO comme les CIL ne sont pas directement responsables des traitements d'un point de vue pénal ». Je lui fais remarquer qu'en Allemagne, le texte d'interprétation du RGPD (règlement européen) au cadre juridique national allemand préconise une responsabilité pénale des DPO allemands. Une forme d’interprétation « extrême » de ce que recommande le règlement européen. « C 'est vrai mais ce ne sera pas le cas en France » m'affirme t-elle. Et la loi française  d'interprétation des renvois et mentions aux textes nationaux du RGPD, ou en est le chantier ?

« Nous ne l'aurons pas avant janvier prochain répond la DPO de New AREVA Holding. Mais ce texte vous avez raison a son importance notamment pour préciser certains points du RGPD : définition de la désignation et du rôle de l'autorité de contrôle par exemple (CNIL en France) points de la loi informatique et libertés qui seront abrogés... ».

 

header areva logo color

 

En fait, pour beaucoup de juristes et d'experts en réglementation européenne, le RGPD existe depuis ...2012 et ne fait qu'enrichir l'esprit de la Loi Informatique et Libertés en imposant la fin du régime déclaratif et des sanctions financières « stratégiques ». En tant que règlement européen (et non directive) il s'applique de fait et « efface » les règlements nationaux. Reste que ce qui ne sera pas couvert par le RGPD reviendra éventuellement à ce qu'encadrent les réglementations nationales. D’où la nécessité d'un texte de « clarification ».

Hélène Legras insiste également sur un autre point : « Le RGPD (GDPR) est entré en vigueur en mai 2016 mais sa mise en application sera effective en mai 2018 « d’où l'importance de nommer les DPO le plus vite possible en tenant compte du fait qu'un DPO ne peut en aucun cas être responsable de traitement. Il ne peut en tant que veilleur de la mise en place de la conformitéêtre juge et partie ». C'est dit. Et c'est exact. Il faut éviter les conflits d'intérêts. Pour la DPO de New AREVA Holding, le « DPO est plus un profil du savoir être que du savoir faire ». Une phrase importante pour comprendre où situer le DPO au sein d'une organisation impactée par les trois axes du RGPD : organisationnel, juridique et technique. Pour New AREVA Holding, il faut un DPO groupe qui gère des DPO « locaux » ex correspondants du réseau du CIL groupe par exemple. « le tout dépendant du service juridique » rappelle la Vice Présidente de l'ADPO.

Premières mesures d'un DPO Groupe chez New AREVA Holding

Hélène Legras calque sa stratégie de mise en conformité du groupe sur le RGPD en s'alignant sur les recommandations en 6 étapes de la CNIL.

Pour elle, il faut dans un premier temps nommer un DPO, cartographier les traitements et leur finalité (génération de données DCP suite à l'exécution d'un traitement), identifier sur les traitements existants les traitements à risques et déterminer le niveau de risque. Prudente, la DPO de New AREVA Holding préconise « d'utiliser l'outil proposé par la CNIL en open source pour réaliser des études d'impacts offre de nombreux avantages si l'on renseigne correctement le référentiel à la base de son fonctionnement. »

La gestion de la « compliance » chez les sous-traitants constitue également un contrôle impératif afin de vérifier la conformité de toute la chaîne applicative. « Ce que nous pouvons redouter chez New AREVA Holding comme n’importe quelle marque c’est la contre publicité faite sur le site de la CNIL suite à une sanction de l'autorité de contrôle ». Sourire radieux à nouveau de la DPO de NewAREVA Holding. Fin de l'entretien. 

 

@jpbichard

@DPO_NEWS

 

 

BONUS :

 

https://www.data-protection-officer-association.eu/ladpo-publie-un-livre-sur-le-data-protection-officer/

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires