Interview avec Stéphane Omnès, DPO Groupe chez ADEO SERVICES

Publié le

« J’ai suivi la genèse du projet de règlement européen dès 2012 »

Vous avez été nommé DPO trois ans avant l’entrée en vigueur du règlement. Qu’est ce qui a conduit à votre nomination ?

En effet, je suis DPO depuis 2015 à l’échelle du groupe. Cette nomination s’inscrit dans le cadre de notre politique de gestion globale des risques. Cela s’est traduit par la création d’une Direction « Risques, Compliance & Assurances » avec un très fort volet « Compliance » (conformité). L’objectif principal concernant ma mission est de mettre en place un programme « Data Compliance » pour la protection des données « client / habitant », aligné sur les enjeux métiers à venir (Entreprise omni-canal, développement digital, Data Mining), respectueux des valeurs fondamentales du Groupe (Honnêteté, Transparence, Respect de l’autre) et en conformité avec le cadre règlementaire européen qui se durcit. ADEO est un groupe composé d’une fédération d’entreprises autonomes, qui ne sont pas toutes européennes. Et nous avions identifié qu’il fallait un « chef d’orchestre » pour animer toutes les entreprises, secondé par un réseau de correspondants locaux. Aujourd’hui, je réponds au directeur des risques, lui-même rattaché au secrétaire général.

Quelles sont vos tâches prioritaires ?

Il y a trois parties principales dans ma mission :

  • Construire et valider la gouvernance ainsi que les règles de protection des données, avec les directions métiers concernées (Marketing & Ressources Humaines) ;
  • Sensibiliser / former tous les collaborateurs concernés sur ces sujets
  • Définir des règles de contrôle de la conformité et commencer à faire du reporting auprès des dirigeants.

En pratique, je travaille par exemple avec l’audit interne sur le « Privacy by design ». Nous souhaitons développer l’auto-contrôle, mais il est nécessaire de fournir les bons outils aux équipes. Je suis également en contact étroit avec l’IT (et notamment mon remplaçant au poste de RSSI Groupe). Nous avons ainsi intégré la dimension Données Personnelles dans les gros dossiers de Cloud Computing. Je collabore enfin avec le département juridique sur la conformité des contrats de sous-traitance avec nos règles de protection des données.

Comment un ancien RSSI comme vous devient DPO ?

Le RSSI est censé être déjà sensible au sujet de la « Conformité règlementaire », qui le concerne dans son quotidien opérationnel. Il doit en effet tenir compte d’un grand nombre de contraintes légales pour définir et faire appliquer une PSSI d’Entreprise. Propriété intellectuelle, droit des marques, HADOPI, Informatique & Libertés, « Paquet Télécoms », « LCEN », règlementation sur les moyens de paiement, règlementation sur l’usage de la cryptographie sont autant de sujets que le RSSI doit à minima connaitre, sinon maîtriser. Il est par exemple difficile de mettre en place une Charte de bon usage des SI opposable, sans tenir compte de toutes ces contraintes.
Pour ma part, je pratique le cadre règlementaire & légal dans mon métier d’ingénieur sécurité depuis 1999. Je me suis depuis, tenu au courant des évolutions majeures sur le sujet en lisant beaucoup dans le cadre de ma veille personnelle. J’ai notamment suivi la genèse du projet de règlement européen dès 2012. Et lorsque nous avons commencé à construire les contours de la mission DPO chez ADEO, j’ai construit avec la direction juridique groupe un programme sur mesure de formation en droit, composé de 3 jours de formation à l’ISEP pour les « basiques » de la loi Informatique & Libertés. Et de 10 jours de formation spécifique avec Diane Mullenex et son équipe (formation labellisée CNIL pour la partie Informatique & Libertés), afin d’acquérir les compétences sur le cadre européen à venir, mais également sur les lois en vigueur dans les pays hors Union européenne où le groupe ADEO est présent.

Dernière publication

L'IA empêche les crypto-criminels de siphonner les ressoucres d'ordinateurs zombies. Découvrez-en plus dans la tribune de Grégory CARDIET, Directeur SE EMEA, Vectra. 

Lire