Laurianne Thiebaut, DSI d’Essilor France, revient sur les dispositions prises pour accompagner les équipes de développeurs pour apprivoiser le RGPD. Ce étant perçu comme une opportunité de marque pour le leader mondial du verre correcteur.

Alliancy. Quelles responsabilités ont échu à la DSI d’Essilor France dans le cadre de l’entrée en application du RGPD ?

Laurianne Thiebaut. La DSI de la filiale France d’Essilor est une DSI de proximité, résolument axée métier, notamment à travers le développement d’applicatifs innovants. C’est la DSI Groupe qui s’occupe des infrastructures au niveau monde, et par extension des enjeux de sécurité. Or, le grand changement entraîné par le RGPD est qu’il amène à prendre bien différemment en compte la sécurité, avec un focus nouveau sur les données et les applicatifs. Les DSI des filiales, comme nous, doivent donc également monter au créneau.

Comment vous êtes-vous coordonnés ?

Laurianne Thiebaut. Le groupe a recruté début 2017 un data protection officer, au sein du département juridique, pour se concentrer à plein temps sur les problématiques transversales impliquées par le RGPD. C’est donc lui qui est devenu notre premier point de contact et qui a orchestré la diffusion des informations de manière cohérente. Depuis un an, il ne passe pas une semaine sans que nous échangions directement, dans un objectif de coordination et de co-création.

C’est-à-dire ?

Laurianne Thiebaut. Nous avons vu le RGPD comme une opportunité, notamment pour asseoir la réputation de sérieux d’Essilor vis-à-vis du marché et de nos clients. En tant que leader mondial du verre correcteur, il est apparu comme une évidence que nous devions nous organiser de façon à apporter un vrai sens métier et technique à une telle contrainte réglementaire. Pour y arriver, le marketing a été intégré très tôt dans les discussions. En la matière, cela a été un vrai avantage d’avoir un DPO qui ne soit pas un acteur technique. Sans cette casquette, il a pu faire passer des messages clés et dès le départ, nous avons ainsi pu éviter de tomber dans le piège du « sujet data qui ne concerne que les informaticiens ». Cela a permis d’intégrer beaucoup plus intuitivement cette attention portée à la donnée directement au sein des processus métiers.

Qu’en est-il de la dimension purement technique pour la DSI ?

Laurianne Thiebaut. Le plus grand défi est, en fait, de mettre en œuvre techniquement une dimension légale, même une fois que l’on est d’accord sur les processus. Au-delà de la question du registre des traitements de données, la difficulté réside dans la partie concernant la cybersécurité et la traduction concrète et opérationnelle du concept de « privacy by design ». Nous avons un plan d’action pour faire évoluer progressivement notre legacy… mais sur quels piliers devons-nous nous appuyer pour les nouveaux développements qui sont au cœur de l’activité de la DSI France ? Certains standards de sécurité historiques ont été démocratisés par le RGPD, mais il nous manque vraiment des détails – sur les API authentifiés, sur les procédures et périmètres de chiffrement/déchiffrement… – pour remplir la « boîte à outils » dans laquelle tous nos développeurs vont devoir piocher.

Comment ces derniers perçoivent-ils le changement ?

Laurianne Thiebaut. Nous travaillons avec beaucoup d’équipes externes et de freelances. Contrairement à ce que l’on pourrait croire, ils ont une vraie appétence aux questions de sécurité, qui est vue comme partie intégrante de ce qu’ils doivent livrer à un client. Mais le RGPD va un cran plus loin… voire, quand on commence à se poser des questions, beaucoup plus loin. Nous avions déjà des habitudes et des règles que nous transmettions aux développeurs. Mais pour que tous les réflexes attendus par le RGPD se diffusent chez tous les développeurs, de façon cohérente et harmonieuse sur tous nos projets, il va falloir être encore plus méticuleux. Cela est passé par une formation des chefs de projet fin 2017, suivie d’une formation pour toutes les équipes IT au début de l’année, puis une nouvelle fois en avril. Nous avons ensuite mené un brainstorming avec eux pour mettre le doigt sur les manques, les interrogations et les besoins concernant le « package de base » auquel devait accéder tout développeur. Avec un prestataire externe, nous avons également travaillé sur les méthodes qui nous permettraient de nous auditer nous-mêmes et de surveiller nos progrès en la matière.

Avez-vous un exemple de projet impacté par la mise en œuvre de votre réflexion ?

Laurianne Thiebaut. Le cas le plus évident est celui des évolutions menées sur nos sites web. La partie visible de l’iceberg était de revoir notre gestion de l’opt-in et du consentement pour nos clients, et par extension de la suppression des données, au besoin. La partie immergée à laquelle nous avons maintenant envie de nous attaquer est d’aller jusqu’à revoir notre modèle d’architecture. Notamment autour des données plus sensibles pour en garantir la protection tout au long de leur cycle de vie, grâce à des services d’encodage et de décodage et de déchiffrement… Le RGPD nous a fait porter un regard complètement nouveau sur ces aspects, même si cela implique de fondamentalement changer notre philosophie en matière d’infrastructure IT.

Vos collaborateurs se sentent-ils eux-mêmes directement concernés par les dispositions du règlement ?

Laurianne Thiebaut.. Quand on évoque la donnée personnelle, ils pensent avant tout aux impacts business ! En ce sens le RGPD n’est pas perçu comme un sujet RH. Pourtant, il y a effectivement des points d’attention à avoir en la matière. Nos forces de vente utilisent par exemple des tablettes fournies en France par la DSI, mais de facto rien n’est bridé sur ce matériel et les usages personnels sont tolérés. Nous allons devoir clarifier les règles de façon constructive, car il est très important que chaque collaborateur s’approprie le sujet. Le champ couvert par le règlement est très large : si une entreprise ne veut pas se retrouver à courir en permanence derrière la problématique des données personnelles, il faut éviter de se dire que c’est l’informatique qui va toujours déterminer ou interdire les usages dans le détail. Chacun va devoir se prendre en main, que ce soit dans son rapport avec les clients, ou quand il échange un document en interne avec des collègues.

> Cette interview est extraite du guide à télécharger  » Le RGPD et vos collaborateurs ». Découvrez-le !