Danièle Nguyen (Havas) "Nous avons développé un outil-maison, le GDPR Cockpit"
Alors que la Nuit du data protection officer approche, la DPO du groupe Havas nous détaille le plan mis en place à travers le monde pour intégrer l'ensemble des agences au RGPD.
Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
JDN. Quelle a été votre principale mission en tant que DPO ?
Danièle Nguyen. Je suis arrivée en mars 2018 comme DPO au sein du groupe Havas, soit deux mois avant l'entrée en application du nouveau RGPD. J'avais pour mission de m'assurer de la conformité au RGPD de l'ensemble des 550 agences Havas à travers le monde (dont 300 agences en Europe et 20 000 employés dans le monde). Mon challenge fut de pouvoir mobiliser toutes ces entités, dont certaines travaillent de manière indépendante, autour d'un objectif commun de conformité.
Comment avez-vous procédé ?
J'ai mis en place un "dispositif maison", qui m'a permis d'associer toutes ces agences vers cet objectif commun, en prenant en compte les diversités en matière de taille, de ressources et d'expertise (création, média, digital...) mais aussi géographique, culturelle et linguistique. J'ai donc rassemblé toutes les entités d'Havas dans un village virtuel, en suivant la stratégie Together de la maison, qui permet à toutes les équipes de travailler ensemble dans le même espace Havas Village. Puis je leur ai communiqué le programme global, c'est-à-dire notre stratégie de conformité, la vision commune dans laquelle tout le monde allait devoir se diriger. J'ai nommé un DPO-référent par pays (parfois deux selon la taille du pays) qui sont devenus mes "bras armés" puis un DGPR Lead dans chacune des 300 agences européennes. Une fois ce réseau mis en place, il me fallait des outils nouveaux pour animer cette communauté et permettre aux DPO et DPO référents de travailler ensemble. J'ai donc mis en place plusieurs plateformes collaboratives, avec les directives à suivre, des guides pratiques, des supports de formation, des modèles de documents sur la protection des données personnelles, tout cela en français et en anglais.
A quoi servent ces plateformes ?
Elles permettent de s'inscrire en ligne, de choisir des dates de formation avec des créneaux horaires adaptés aux pays, de suivre des formations en visio ou sur site, en français ou en anglais et enfin d'obtenir une attestation de participation. L'outil phare est le tableau de bord global en ligne, le GDPR Cockpit, rempli et mis à jour par chaque agence, qui permet d'établir automatiquement des rapports sur l'état d'avancement du projet. Nous allons désormais démarrer la deuxième phase, en apportant des améliorations selon les demandes.
Comment avez-vous réussi à fédérer tous les DPO ?
Grâce à la formation et à la collaboration. J'ai des conf-call toutes les deux semaines avec les DPO-référents et je fais du coaching individuel sur certaines questions spécifiques. Le tableau de bord GDPR Cockpit permet à tous les DPO de savoir périodiquement où nous en sommes et quelles sont les priorités d'amélioration. Comme par exemple dernièrement, la mise en conformité de tous les sites web de toutes les agences.
En quoi le projet est ambitieux ?
Il fallait embarquer toutes les agences dans des délais très courts, avec des ressources très limitées, et cela en deux langues.
En quoi le projet est innovant ?
Il fallait un outil qui permette de coller au plus près des besoins des différentes agences, de cultures différentes. De plus, le GDPR Cockpit génère automatiquement du reporting.
En quoi le projet est fédérateur ?
Parce qu'il rassemble des personnes qui doivent toutes travailler dans le même sens, avec une orientation commune, en partageant leurs informations.