Lille / Paris / Nice

La naissance du cabinet Mon DPO externe

OVH – Les prémices

Mars 2017OVH est à la recherche de son Data Protection Officer. 7 entretiens plus tard, je suis l’heureux élu et me prépare à quitter la région parisienne pour rejoindre le siège de la licorne française basé à Roubaix. Je suis ultra motivé et particulièrement fier de pouvoir rejoindre une boîte dont je suis client depuis une dizaine d’années et qui a toute mon estime. Car OVH n’est pas une boîte comme les autres. OVH, c’est avant tout un « mindset », une certaine manière de faire du business dans un environnement tech passionnant.

Octobre 2017. Je pose mes valises dans le Nord et fais mes premiers pas au sein de la « Roubaix Valley ». On est encore loin des campus des grosses boîtes tech américaines, mais l’esprit s’en rapproche : gymnase et coach sportif, crèche, cantine illimitée, salles de pauses avec playstation et babyfoot, …le tout dans un univers très industriel.

Après un parcours d’intégration d’une semaine complète (dont pas mal de boîtes devraient certainement s’inspirer !), je rejoins mes équipes avec la franche volonté d’accompagner le groupe dans sa gestion des risques de conformité et la protection des données de ses millions de clients. Dans mon scope, la conformité de l’ensemble des entités du groupe, à l’exception des États-Unis.

Je prends mes premiers dossiers en main et participe notamment aux travaux de l’association CISPE (Cloud Infrastructure Service Providers in Europe), réunissant des concurrents du monde de l’IaaS (AWS, OVH, Aruba.it, Outscale, …) autour d’un projet commun : créer un code de conduite (article 40 du RGPD) destiné à contribuer à la bonne application du RGPD pour les fournisseurs d’infrastructures. Car ne l’oublions pas, le métier d’OVH c’est avant tout d’être « une usine du web » et de fournir de la capacité de stockage et de calcul à ses clients, afin qu’ils puissent faire à peu près ce qu’ils veulent dans le « cloud ».

Modèle de Data Center d’un fournisseur d’IaaS

Cette activité a l’avantage, outre de présenter une très forte croissance au niveau mondial, d’être extrêmement stratégique. Sur les serveurs d’un fournisseur d’IaaS peuvent se trouver vos photos de famille, des données bancaires, les données de santé d’un hôpital ou encore le système informatique permettant de faire tourner des TPME ou des boîtes du CAC40. Lorsque des données sont traitées par une entreprise, elles sont forcément stockées quelque part. Et la tendance des entreprises est d’avoir de plus en plus recours à des sociétés tierces pour héberger leurs données (on passe de stratégies CapEx à OpEx). La place d’OVH et des fournisseurs de cloud, au même titre que celle des fournisseurs d’infrastructures réseaux (fibres optiques, …), est donc de plus en plus centrale pour l’ensemble des citoyens. Et lorsque l’on s’intéresse à la protection de la vie privée et à la protection des données personnelles des citoyens, on saisit immédiatement l’importance d’un acteur comme OVH.

La responsabilité du poste de DPO était donc d’autant plus importante qu’elle n’impactait pas seulement OVH et sa conformité, mais la vie privée de millions de personnes. Cela en devient une réelle question d’éthique d’entreprise et de conscience de ses salariés. Et l’univers d’OVH est extrêmement favorable à la protection de la vie privée : d’une part car c’est une réelle volonté de l’entreprise et d’autre part, car on compte de nombreux geeks sensibles à ces enjeux parmi les rangs de la firme française.

Mai 2018. L’entrée en application du RGPD : un moment dont se souviendront de nombreux professionnels de la protection des données personnelles ! Une période à la fois palpitante et extrêmement exigeante. Je trouve mon job toujours aussi passionnant. Et pourtant …

Octobre 2018. Le temps des adieux. Après avoir énormément donné, mais également appris au sein d’OVH, au fruit d’un déséquilibre vie perso/vie pro assez criant, j’ai l’intime conviction d’avoir largement contribué à la bonne conformité du groupe et sa recherche d’un modèle européen protecteur des droits et libertés des individus. Les besoins en matière de conformité sont nombreux en France et en Europe : il est temps de me lancer dans une nouvelle aventure !

Mon DPO externe : cabinet d’externalisation de la fonction de Data Protection Officer

C’est fort de cette expérience et de ce constat qu’est né « Mon DPO externe ».

L’objectif est simple : accompagner les organismes publics et privés français et européens dans leur mise en conformité aux règlementations en matière de protection des données personnelles.

Le Data Protection Officer (DPO) est une fonction instaurée par le Règlement Général sur la Protection des Données (RGPD) depuis le 25 mai 2018. Il devient obligatoire pour l’ensemble des organismes publics et de nombreuses entreprises.

Au-delà d’un simple cabinet de conseil, l’ADN de Mon DPO externe est basé sur une expertise poussée et exclusive en droit des données personnelles, la mise en balance par les risques des règlementations et des intérêts économiques des entités accompagnées, ainsi que l’utilisation des nouvelles technologies.

Alors …. Legal Tech ? Start-up ? Entreprise classique ? Plus que la dénomination, l’important réside dans une volonté absolue de fournir un réel accompagnement aux entités dans leur bon respect des règlementations. Cela ne pourrait se faire sans un certain sens du pragmatisme et une connaissance évidente des contraintes organisationnelles internes des entités. Des impératifs qui semblent souvent avoir été oubliés par certains prestataires, spécialement à l’heure de l’avènement du RGPD.

Depuis la fin de mes missions au sein d’OVH, je travaille encore plus, week-end compris. Mais là n’est pas l’essentiel car c’est une toute autre forme d’activité, celle que l’on réalise pour son propre compte. Les facteurs de motivation sont différents, la gestion de son temps l’est également. Depuis ces premiers mois d’activité, j’accompagne mes premiers clients dans leur mise en conformité et ai eu l’occasion de peaufiner les offres d’accompagnement ainsi que les outils mis à disposition des clients de Mon DPO externe. Fournir des services de DPO externalisé nécessite une organisation bien rodée, devant être pensée pour générer le moins de contraintes possibles côté client.

Et du coup, concrètement, c’est quoi le job ? Il s’agit principalement de 4 solutions d’accompagnement :

  • De l’audit de conformité. Que ce soit des audits à blanc CNIL ou des audits initiaux de mise en conformité, l’idée est ici d’identifier les écarts entre les pratiques d’une entité et les règlementations en matière de traitement de données personnelles (respect des principes de la règlementation, mise en place de mesures de sécurité proportionnées, etc.) ;
  • De l’accompagnement à la mise en conformité (rédaction de mentions informatives, négociation contractuelle avec des sous-traitants, création du registre des activités, réalisation de PIA, etc.) ;
  • Des formations : en présentiel ou en e-learning ;
  • La réalisation des missions de DPO externalisé, impliquant notamment la désignation auprès de l’autorité de contrôle, les liens avec celle-ci, etc.

Le démarrage de l’activité fut immédiat et extrêmement positif. Il m’a permis de me concentrer sur le cœur de mon métier, la structuration de la société et sa scalabilité (une notion essentielle largement enseignée au sein d’OVH). Ne pas avoir la nécessité d’effectuer de démarchage commercial en début d’activité est une chance dont je mesure l’importance.

Il est désormais temps de rendre plus globalement visible ce projet afin de passer dans une phase de croissance plus soutenue. Je ferai tout mon possible pour rédiger, le plus régulièrement possible, des articles liés au développement de cette jeune pousse. Si vous souhaitez suivre cette croissance, n’hésitez pas à demander votre adhésion à notre newsletter.

La suite reste désormais à être écrite !