Sommaire du dossier :
- RGPD un an après : tout savoir sur le métier de DPO
- Données personnelles : Malakoff Médéric Humanis se montre prévoyant
- RH : "Le RGPD a donné lieu à de grosses surprises"
- DPO en collectivité territoriale : communiquer et se rendre indispendable
- Petit précis du RGPD : texte, formations et outils pour DPO
En tant que groupe de protection sociale, Malakoff Médéric Humanis est amené à gérer des données personnelles. Si l’on n’a pas attendu le règlement général sur la protection des données pour en prendre soin, cette démarche est devenue un projet à part entière et très mobilisateur. Avec Johanna Carvais-Palut aux commandes.
Données personnelles des clients et des salariés, des fournisseurs ou des partenaires, etc. : « Nous avons à appréhender de multiples données personnelles », déclare Johanna Carvais-Palut, data protection officer (DPO) du groupe Malakoff Médéric Humanis. Des données qui sont souvent particulièrement sensibles, concernant pour beaucoup la santé des personnes. Depuis toujours, le groupe leur accorde une attention extrême et veille à leur sécurité.
Avec la perspective de l’application du règlement général sur la protection des données (RGPD), le 25 mai 2018, la démarche prend une nouvelle ampleur. Fin 2017, Johanna Carvais-Palut lance le projet RGPD. Il comporte cinq chantiers.
1 - Chantier gouvernance
Autant prendre les choses de haut. Le chantier gouvernance définit une stratégie pour mettre le groupe en conformité avec le RGPD et instaure tout une organisation. La politique de protection des données personnelles est définie. Elle doit être déployée dans les différentes entités par le biais d’actions de sensibilisation. Initialement responsable de la protection des données à caractère personnel, Johanna Carvais-Palut devient DPO.
Partie de deux personnes, son équipe va s’étoffer jusqu’à cinq membres. Elle peut aussi compter sur des contributeurs au sein des directions (direction médicale, direction de l’expérience client, direction des achats…). Des relais DPO sont recrutés. Soit, c’est le responsable de service qui désigne telle personne pour remplir ce rôle, étant déjà impliquée dans la protection des données personnelles. Soit, à la demande des managers, une communication de sensibilisation est délivrée, de quoi encourager le volontariat.
Une cinquantaine de relais DPO
Être relai DPO est formalisé dans une lettre de mission. Pour le salarié, cela peut se traduire par la définition d’objectifs spécifiques et représenter jusqu’à 10 % de son temps de travail. Aujourd’hui, une cinquantaine de relais DPO sont en place. Le chiffre peut paraître élevé, mais est fonction du nombre de clients de Malakoff Médéric Humanis et de la sensibilité de leurs données. « C’est à la hauteur de nos ambitions », estime la DPO. Tous les relais DPO ont été formés : deux jours de formation délivrés par un organisme labellisé par la Commission nationale de l’informatique et des libertés (Cnil). À eux de propager la politique de protection des données personnelles et de relayer les alertes.
Par ailleurs, des comités relais sont tenus avec eux. Les réunions ont lieu tous les trois mois. En première partie, l’actualité du RGPD en France et à l’international est passée en revue : point sur la réglementation, faits marquants, informations du G29 (le groupe des Cnil européennes), jusqu’à des échanges sur le Brexit pour voir quels prestataires du groupe sont concernés.
La seconde partie propose généralement des ateliers de travail, par groupe de trois ou quatre personnes. Les sujets sont très divers : définition d’action de sensibilisation au sein du Groupe en amont du 25 mai 2018, réflexion autour du RGPD avec la direction de l’expérience client, travail sur l’utilisation du référentiel sur les durées de conservation des données personnelles.
Distribution de « cache caméra »
Chaque atelier se termine par une restitution. Johanna Carvais-Palut formalise les décisions et les actions à entreprendre. C’est ainsi, par exemple, que l’ergonomie de l’espace client va être réaménagée. Ou que seront distribués des « cache caméra » (caches pour webcam) pour le premier anniversaire du RGPD ; ce sera l’occasion, une nouvelle fois, d’aller à la rencontre des personnes. Peu à peu, les actions de sensibilisation portent leurs fruits. La DPO évalue le nombre de collaborateurs acculturés à 82 % de l’ensemble des effectifs.
Enfin, Johanna Carvais-Palut opère une veille sur la question, qu’elle formalise en un mail envoyé tous les mois. Un travail global qu’elle identifie comme « une animation de communauté ».
2 - Chantier information et droits des personnes
Les données BtoC que traite Malakoff Médéric Humanis comprennent avec le RGPD des consentements et la gestion de droit (droit d’accès, notamment). Via les paramétrages de rigueur, les clients vont pouvoir définir finement à quoi ils consentent, jusqu’à par exemple choisir entre un SMS ou un email pour recevoir une notification. En outre, l’adresse « dpo@malakoffmederic-humanis.com » a été créée à l’attention du public. Le groupe est donc contraint à une gestion particulière de ces consentements et de ces droits. Un chantier s’est imposé sur ce sujet.
« C’est un chantier technique », reconnaît la DPO, « touchant le front-office comme le back-office ». Et il demande une interconnexion entre outils. Une application est en particulier dédiée à l’archivage de la preuve des consentements. Mené avec la direction du système d’information pour la maîtrise d’ouvrage, ce chantier est en cours sur l’année 2019.
3 - Chantier contrats
Le chantier contrats traite de la mise à jour des clauses contractuelles liant le groupe tant à ses fournisseurs qu’à des partenaires (assureurs, courtiers, etc.). Quelles clauses pour quels cas ? Quelles sont les responsabilités des uns et des autres ? Autant de points à réviser sous l’angle du RGPD. Des centaines de contrats sont concernés ! Ce chantier est entré en phase de signature des clauses révisées. Il fait appel à des compétences purement juridiques. Le département juridique y est totalement impliqué et intervient en pilotage. Comme pour chaque chantier, des livrables et un reporting régulier sont prévus.
4 - Chantier accountability
Il s’agit ici d’installer des mécanismes et des procédures internes permettant de démontrer le respect du RGPD (principe d’accountability). Cela se concrétise notamment par un outil dynamique de gestion du registre du traitement des données. Cet outil, baptisé en interne « myRGPD », a pour tâche de gérer les traitements, les droits. Il comporte des fonctionnalités de workflow et peut, par exemple, envoyer un email aux collaborateurs de demande de mise en conformité et en garder la trace. Il est par ailleurs possible d’extraire les traitements à titre de reporting.
<>création d’un « Passeport sécurité et privacy »
De plus, dans une logique de conformité « by design », la sécurité des systèmes d’information, en collaboration avec la DPO, a créé un « Passeport sécurité et privacy ». Il est à remplir au lancement de tout nouveau projet de Malakoff Médéric Humanis. Sorte d’analyse de risque préalable, il garantit que la question des données personnelles est intégrée dès le départ. Il en va de même pour la référence à des durées de conservation.
5 - Chantier violation de données
Grâce à un processus particulier et à un outil de détection, toute violation de données personnelles remonte à la DPO. Johanna Carvais-Palut exige d’être mise au courant dans les 24 heures, pour évaluer le problème et décider de la suite à donner.
En pratique, tout type d’incident peut survenir, incident humain ou technique, violation interne ou externe. Récemment, un collaborateur a perdu son ordinateur portable. L’information est immédiatement remontée à la DPO. Incident sans gravité : l’ordinateur était chiffré, de quoi éviter tout risque de fuite de données.
Johanna Carvais-Palut
Juriste de formation, Johanna Carvais-Palut a d’abord exercé dans un cabinet d’avocats avant d’intégrer la Commission nationale de l’informatique et des libertés (Cnil). Elle y travaille au sein du service juridique, puis comme responsable du pôle labels. En août 2016, elle rejoint Malakoff Médéric (Malakoff Médéric Humanis depuis le 1er janvier 2019) comme responsable de la protection des données à caractère personnel du groupe. En mai 2018, elle devient group data protection officer. Elle est basée au siège, à Paris.
<fin encadré>
Malakoff Médéric Humanis en bref
« Depuis le 1er janvier 2019, Malakoff Médéric et Humanis se sont unis pour devenir Malakoff Médéric Humanis, un seul et même acteur paritaire et mutualiste de la protection sociale », annonce le site du groupe. Le groupe exerce deux métiers : l’assurance de personne (santé, prévoyance, épargne retraite) et la gestion de la retraite complémentaire. Principaux chiffres :
• chiffres d’affaires 2018 : 6 240 milliards d’euros
• 12 000 collaborateurs
• 426 000 entreprises clientes en assurance
• 10 millions d’assurés (collectif et individuel)
• 600 000 entreprises clientes en retraite
• 8,3 millions de cotisants
• 7,1 millions d’allocataires
• 36,5 milliards d’euros d’allocations versées
• budget action sociale : 153 millions d’euros.