L’équipe Millionroads renforce son expertise en accueillant une DPO

Publié le : 10 Fév, 2021

Transformer la data en pouvoir de décision est notre promesse. Cette promesse nous souhaitons la tenir tout en respectant le traitement des données personnelles qui nous sont confiées.
Arrivée en janvier, Emilie Pesce renforce notre équipe en acceptant la casquette de DPO (déléguée à la protection des données). Juriste de formation, avec derrière elle, les plan RGPD de l’ONISEP et de la Sorbonne Université, , elle rejoint également notre équipe dédiée aux partenariats institutionnels. Découvrez dans cette interview ses projets pour Millionroads :

Quels sont les impacts du RGPD dans le secteur de l’Edtech ? Dans le secteur de la formation et de l’enseignement ?

Le RGPD a eu un impact sur toutes les institutions et entreprises qui traitent des données à caractère personnel. Le secteur de la formation et de l’enseignement est évidemment très concerné par la mise en place du RGPD.
En effet, pour les acteurs et actrices de la formation et de l’enseignement, les données à caractère personnel sont indispensables pour fournir un service optimal et personnalisé aux élèves, aux étudiant.e.s ou aux salarié.e.s en formation. Par exemple, ces données sont essentielles pour gérer l’inscription d’un.e étudiant.e, le suivi de sa scolarité et la délivrance de son diplôme.
Toutefois, comme pour chaque traitement de données personnelles, celui-ci est désormais encadré par les dispositions du RGPD. Le secteur de la formation et de l’enseignement a donc dû repenser ses méthodes pour se conformer à la réglementation européenne de protection des données.
Pour le secteur spécifique de l’Edtech, le RGPD a eu un impact fort. Ces entreprises ont souvent l’expertise pour mettre en lumière des données personnelles au regard de procédés technologiques. Si ces traitements sont possibles, ils sont là encore encadrés par le RGPD.

Comment les établissements de formation s’intéressent à la protection des données ?

Les établissements de formation engrangent un grand nombre de données personnelles pour des finalités diverses : la gestion de la scolarité de leurs étudiant.e.s, la gestion de leurs réseaux alumni, la gestion de leurs propres personnels. Des traitements peuvent également être développés pour la mise en place de projets de recherche ou bien dans le cadre d’achats de solutions innovantes, comme celles de Millionroads.

Une grande partie du travail pour les établissements de formation est donc de recenser, dans l’ensemble de leurs services ou directions, tous les traitements de données personnelles effectués. Ensuite, il faut vérifier que chaque traitement soit conforme aux dispositions du RGPD en se référant aux principes de minimisation des données, d’exactitude des données, et des mesures de sécurité techniques et organisationnelles. Enfin, l’un des enjeux de pour les établissements de formation est de mettre en place une « culture RGPD » en formant leurs personnels et leurs étudiant.e.s aux enjeux de la protection des données.

Pourquoi avez-vous choisi d’intégrer Millionroads en tant que DPO ?

La data est le cœur de métier de Millionroads, la fonction de DPO est donc très importante. Il faut savoir pondérer la protection des données personnelles des personnes dont je suis la garante et la mise en place de solutions innovantes qui est l’objectif de l’entreprise.
Être déléguée à la protection des données dans le secteur de l’Edtech représente une très belle opportunité de mêler les enjeux d’innovations techniques à ceux de la protection juridique. Une jeune entreprise comme Millionroads me permet également de travailler dans un cadre agile et dynamique.

Quelles sont vos missions en tant que DPO au sein de Millionroads ?

Mes missions en tant que déléguée à la protection des données personnelles sont définies par la réglementation et par la CNIL.
Ma première mission est de recenser l’ensemble de nos traitements de données à caractère personnel et de nos activités de sous-traitance. Je dois ensuite vérifier la conformité de ces traitements à la réglementation informatique et libertés.
Il faut savoir prioriser les actions à mettre en place : voir ce qui est primordial pour assurer la protection des données personnelles, quelles sont les mesures de sécurité essentielles, intégrer la protection des données personnelles dès la conception de nos solutions. La priorisation des actions doit être réalisée en lien avec une gestion des risques. Cette dernière est réalisée lors du recensement des traitements de données personnelles ou bien lors de la rédaction d’analyse d’impact.

Je dois également documenter la conformité de Millionroads au RGPD, développer une culture RGPD au sein de l’entreprise, former mes collègues sur les grands principes de la réglementation.
Enfin, j’interviens auprès des partenaires et des clients et clientes de Millionroads pour les accompagner dans la mise en place de nos solutions conformément au RGPD.
En bref, mes missions sont nombreuses et transversales. La réussite de mes missions est liée à une communication quotidienne avec mes collègues, les client.e.s et les partenaires de Millionroads.

Depuis le début de la crise sanitaire, nous avons tous et toutes renforcé notre utilisation des plateformes numériques (télétravail, cours à distance…).
Comment la crise a renforcé le besoin d’avoir un.e DPO au sein d’une entreprise ?

La crise sanitaire a effectivement amplifié nos usages numériques : l’essentiel de nos activités se fait désormais en distanciel. Qui dit usages numériques, dit très souvent traitements de données personnelles.
L’utilisation d’outils de visioconférence ou de cours à distance, les attestations fournies par les employeurs, les éventuels fichiers contenant des données de santé, sont tous des traitements de données qui sont apparus ou qui se sont développés avec la crise sanitaire.

Les DPO ont dû documenter l’ensemble de ces opérations et s’assurer de leurs mises en place conformes dans les entreprises et les institutions. Une attention particulière a dû être portée aux traitements de données de santé qui constituent des données sensibles au sens du RGPD.
Si le poste de DPO était déjà indispensable, on peut facilement affirmer que son importance s’est renforcée avec la crise sanitaire.

En tant que DPO, quelle est votre relation avec les clients ? Comment se fait leur accompagnement ?

En tant que déléguée à la protection des données, je réponds aux éventuelles questions des client.e.s et de nos partenaires sur notre politique de protection des données personnelles.
Je les accompagne également dans leur mise en conformité RGPD lorsqu’ils utilisent nos solutions. Nous mettons en place des kits de conformité RGPD qui se construisent sur le long cours grâce aux retours des clients et des partenaires. L’objectif est de répondre au mieux à leurs attentes sur toutes les questions informatiques et libertés.
Un maître mot dans nos relations avec les client.e.s et les partenaires : la communication !

Courte biographie de notre super DPO, Émilie Pesce :

Émilie Pesce, juriste de formation, est spécialisée dans le droit des technologies numériques et société de l’information et plus particulièrement en droit de l’informatique et des libertés. Elle a participé à la mise en place du RGPD au sein de l’ONISEP et de Sorbonne Université. Elle connaît donc bien les enjeux des opérateurs, notamment de l’éducation nationale et de l’enseignement supérieur, sur la gestion des données à caractère personnel.

Bienvenue Lucile !

Bienvenue Lucile !

Avec un parcours unique à l'international, de l'humanitaire à l'éducation, Lucile nous rejoint cet été avec la très jolie casquette de directrice commerciale. Comment sa route l'a menée jusqu'à nous ? Dans cet entretien, elle nous raconte...

lire plus