page title icon ÉPISODE 27 – Paul Ouvrard Arnaud, Data Protection Officer chez Dentsu

Épisode 27 – Découvrez le métier de DPO (Data Protection Officer) par Paul Ouvrard Arnaud de chez Dentsu.

Bonjour et bienvenue sur le podcast du Gagne-Pain !

Dans cet épisode, nous avons le plaisir de recevoir Paul Ouvrard Arnaud, DPO chez Dentsu.

Paul nous dévoile tous les aspects de son quotidien afin de découvrir son métier.

Merci à Paul pour sa participation et nous espérons que l’écoute vous plaira !

Si vous aimez l’épisode, mettez-nous 5 petites ⭐️⭐️⭐️⭐️⭐️ pour nous encourager.

Vous travaillez dans le digital et vous souhaitez faire connaître votre métier, partagez votre expérience ? 
N’hésitez pas à nous contacter pour nous proposer votre profil. 

Notes du podcast et liens utiles :

Notre invité : Paul Ouvrard Arnaud – Profil LinkedIn

Interview faite par : Majdeline Souhnoun

La retranscription de l’épisode 27 : Data Protection Officer par Paul Ouvrard Arnaud de chez Dentsu

Majdeline

Bonjour Paul

Paul

Bonjour Majdeline

Majdeline

Merci d’avoir accepté cette invitation du Gagne-Pain. Paul tu es Data Protection Officer chez Dentsu.

Paul

Oui, alors en français, on dit aussi Délégué à la Protection des Données. Mais c’est moins sexy parce que Data Protection Officer, on peut dire DPO au final, ça claque.

Majdeline

On traduit en français Délégué à la Protection des Données ?

Paul

Tout à fait.

Majdeline

Donc, on va avoir l’occasion quand même de revenir sur le métier, sur ton entreprise. Mais avant tout, est ce que tu peux te décrire en quelques mots ?

Paul

Je suis un Parisien de 30 ans. J’ai grandi à Paris. Puis ensuite, après le bac, j’ai commencé mes études au sein de l’Université Paris de Panthéon-Assas. Donc des études de droit principalement. J’ai fait tout mon parcours là bas, 2 master 2, un master 2 en droit de la communication, précisément. Et puis un autre Master 2 en droit du multimédia et de l’informatique. Aujourd’hui, les noms de ces Masters ont un peu changé. Je crois que ça s’appelle le Droit du numérique et Droit de l’audiovisuel. Mais c’est principalement ça. Et après ça, j’ai intégré la société dans laquelle je suis actuellement. Donc une agence de publicité qui est le groupe Dentsu et j’ai progressé au sein de Dentsu jusqu’à devenir DPO en 2020. Voilà tout pour l’ensemble du scope français.

Majdeline

OK, merci Paul. Est ce que tu peux nous nous présenter ton parcours professionnel, juste après tes études ?

Paul

Juste après mes études, il se trouve que je suis tombé sur une offre de stage au sein de ce qui était à l’époque Dentsu Aegis Network France. Au sein du service juridique que j’ai intégré, j’ai fait mon stage de 6 mois. Et puis, au cours du stage, j’ai commencé à travailler avec la personne qui allait être nommée Data Protection Officer à ce moment là, mon prédécesseur. Puis le courant est très bien passé. On a très bien collaboré ensemble, ce qui fait que l’issue de mon stage, j’ai intégré ses équipes en 2017 2018, donc juste avant l’arrivée du RGPD. Donc, il y avait une nécessité de se staffer par rapport à la protection des données. Surtout vu l’espèce d’angoisse qu’il y avait un peu partout à ce moment là. C’était assez rigolo. Donc on avait une nécessité de staffer. Moi, j’avais l’habitude de travailler sur ce sujet là déjà depuis quelques temps, avec mon prédécesseur et donc j’ai intégré ses équipes en tant que juriste protection des données. En décembre 2019, mon prédécesseur a quitté la société et on m’a proposé de le remplacer, de prendre sa place en tant que DPO pour l’ensemble du périmètre France.

Majdeline

Et que fait Dentsu ?

Paul

Dentsu, c’est une agence de publicité qui est spécialisée dans le média, dans la création et dans le CXM. Alors, ça fait un peu des mots très sectoriel, je sais. Mais en gros, le média, c’est qu’on est un intermédiaire d’achat d’espace pour le compte de nos clients. Des clients qui veulent diffuser de la publicité, et nous, on va se charger de leur proposer un plan de diffusion. On va dire, c’est intéressant de diffuser sur telle ou telle régie, tel ou tel support etc… Créa, on va créer des publicités pour le compte de nos clients et CXM, c’est tout ce qui a trait à l’expérience utilisateur, donc à la gestion de programmes de CRM, de programme de fidélité client ou de programmes de contacts clients etc… Enfin, ça peut aller très loin CXM…

Majdeline

Et c’est une abréviation CXM ?

Paul

Oui, c’est Consumer Expérience Management.

Majdeline

Paul, quel est ton activité et des missions quotidiennes en tant que DPO ?

Paul

Mon activité principale, c’est quand même de m’assurer que l’entreprise soit conforme en matière de protection des données à caractère personnel. Pour ça, en fait, il y a deux champs. Il y a un premier champ, c’est déjà le contrôle de tout ce qui fait partie des activités usuelles de l’entreprise. C’est à dire ? On va utiliser des données à caractère personnel, par exemple pour gérer nos employés. Pour faire en sorte qu’ils soient correctement payés… On va utiliser leurs données dont on a besoin pour traiter ces éléments là. Ça, c’est pour ce qui est de nos activités internes. Mais ca, toutes les entreprises l’ont. Ensuite pour le compte de nos clients, on va avoir des utilisations de données à caractère personnel. Parce que dans le milieu de la publicité, et notamment de la publicité numérique, on ne peut pas diffuser de publicité sans utiliser des identifiants qui ne soient pas directement référents à une personne physique, on s’entend bien, mais qui peuvent permettre de manière indirecte de potentiellement retrouver une personne physique ou un terminal. Donc ces identifiants là, on va les qualifier tout simplement de données à caractère personnel. Ce qui explique que ce scope là, on doit vérifier qu’on respecte bien la réglementation. Ça va passer par du conseil aux équipes qui sont chargées des clients et parfois du conseil aux clients et ensuite de la vérification des fournisseurs avec lesquels on peut travailler des échanges avec les régies en particulier pour essayer d’avoir une idée de comment est ce qu’ils traitent leurs données à caractère personnel…

Majdeline

Est-ce que tu as un travail de contrôle aussi derrière ?

Paul

Oui, forcément, parce que cette vérification là, c’est justement une première étape de contrôle. Alors, ça a l’air simple de le dire comme ça. Mais en fait, pour avoir une vérification qui se fait de manière correcte, il faut non seulement mettre en place le contrôle, mais il faut mettre en place en plus un système de gouvernance, c’est à dire que tout seul, je ne peux pas m’occuper de l’ensemble des activités de la société. Donc, j’ai tout un réseau de relais au sein de l’entreprise qui me remontent des points importants par rapport à leur activité du moment, etc. Ou qui mettent en relation avec les fournisseurs ou avec les clients pour justement opérer ces vérifications là.

Majdeline

D’accord, c’est clair. Tu nous a parlé tout à l’heure de la RGPD. Est ce que tu peux expliquer concrètement ce que c’est ?

Paul

C’est quand même la chose qui me fait vivre. Le RGPD, c’est le Règlement Général de Protection des Données Européen. C’est un texte qui a été voté en 2016, qui est entré en application en mai 2018. Et c’est un texte qui a créé tout un ensemble d’obligations pour les entreprises à respecter vis à vis de la protection des données Bien sûr, ces obligations, les entreprises les suivraient pas ou en tout cas, pas de manière aussi scrupuleuse qu’aujourd’hui. S’il n’y avait pas des sanctions derrière, et les sanctions, elles sont de plusieurs types. Déjà, il y a la sanction de publicité, voir son nom affiché dans la presse grand public comme ayant traité des données d’une mauvaise façon, ça fait jamais plaisir. Ça peut quand même représenter une atteinte à la réputation pour tout un tas de marques. Donc la plupart veulent s’en défendre. Et au delà de ça, il y a des sanctions financières et les sanctions financières qui peuvent être très élevées puisqu’on parle de sanctions jusqu’à 20 millions d’euros. Ou 4% du chiffre d’affaires annuel de l’entreprise, 4% du chiffre d’affaires annuel global. Ce n’est pas le chiffre d’affaires annuel en France, donc c’est  très violent. C’est ça fait penser un peu au modèle de sanctions européennes, par exemple, en droit de la concurrence. On retrouve cette notion de sanction sur un pourcentage annuel du chiffre d’affaires de l’entreprise. En droit de la concurrence, on est sur des montants qui sont encore plus élevés à 8%, mais déjà, 4% c’est quelque chose qui est très élevé, ca explique que certaines entreprises, des GAFA, qui se prennent des amendes de 60, 150, 200 millions. Donc, c’est quelque chose auquel il faut faire très attention. Non seulement d’un point de vue réputationnel, mais aussi d’un point de vue, tout simplement de maîtrise de ses coûts. Aujourd’hui, on ne peut pas faire l’économie de ça. Et donc, pour faire attention, ce texte là, il a créé au sein de chaque type d’organisation parce que ce n’est pas seulement le secteur privé qui est concerné, c’est aussi le secteur public et aussi les associations. Un rôle très particulier qui est le mien. Donc, le rôle de Data Protection Officer (DPO) ou de Délégué à la Protection des Données en français qui est chargé au sein de l’entreprise, d’être le relais de la CNIL. Donc, par exemple, c’est un rôle très particulier parce que notre statut est garanti par la loi. Par exemple, mon indépendance est garantie par la loi. L’absence de conflit d’intérêts aussi est garanti par la loi. Donc, je ne suis pas directement preneur de décisions au sein de ma société. Mon rôle, c’est de donner des conseils à la société pour faire en sorte qu’elle respecte RGPD. Charge à elle ensuite de mettre en œuvre les conseils que je lui donne.

Majdeline

Paul Selon toi, quels sont les trois principales compétences requises pour ce job ?

Paul

Alors déjà, je pense qu’il faut être rigoureux. Premier point il faut être rigoureux, mais ça ne suffit pas. Ça ne suffit pas parce que en tant que DPO on travaille pas dans son coin. Donc, il faut être aussi en capacité d’amener la discussion et de porter cette discussion avec d’autres personnes. Donc, il va falloir souvent, en matière de protection des données, surtout dans le numérique, faire le choix de sortir de sa zone de confort et d’acquérir de nouvelles compétences, notamment de nouvelles compétences techniques ou de nouvelles compétences juridiques. Ça dépend du profil de DPO, on va en parler plus tard. Il y a plusieurs profils de DPO, mais surtout d’aller un peu plus loin. Et je dirais la troisième compétence essentielle, c’est vraiment d’être à l’écoute. C’est Bien sûr en tant que DPO, même en tant que juriste de manière générale, on est souvent sollicité, comme entre guillemets, sachant, et donc censé apporter le savoir. Oui, mais ça doit pas se faire en ignorant ton interlocuteur. Et en matière de protection des données, ce qui est assez génial, c’est qu’on a des grosses obligations, mais qu’on a tout un tas de moyens de respecter la réglementation et donc d’arriver à un niveau de conformité satisfaisant. En faisant un choix et en faisant un choix qui a des conséquences business. Et c’est là où vraiment l’intérêt se trouve, en tout cas de mon point de vue. Et c’est là où vraiment on peut apporter une plus value en tant que DPO au business et aux équipes.

Majdeline

Attention, la question Gagne-Pain combien ça gagne un DPO ?

Paul

Alors, un DPO, je suis allé regarder sur cette question, en effet, tu me l’a demandé un peu avant, mais un DPO dans le secteur suivant les années d’expérience, ça peut gagner entre 40K€ et 70K€. C’est à peu près la fourchette qu’on a. Sur l’ensemble du métier, parce qu’on est quand même sur un métier où les profils sont très différents, avec des années d’expérience qui sont quand même très hétérogènes, Bien sûr plus on a d’expériences, plus la rémunération va monter. Pour en tout cas de ce que j’ai vu de 0 à 5 ans d’expérience, on est entre 40 et 55K€.

Majdeline

Paul, quel est le plus grand défi que tu as à relever en arrivant dans ce métier ?

Paul

Juste prendre mes marques, en fait, le définir, m’installer simplement. Oui, parce que le métier de DPO est nouveau. Alors, même si on est bien guidé par les recommandations de la CNIL ou directement par le texte du RGPD, c’est quand même un métier encore qu’il faut définir. Et il doit correspondre à un déjà un objectif. L’objectif c’est certe d’être conforme et d’accompagner les équipes et d’être une plus value encore une fois pour ma société. Donc, ça suppose, d’aborder la fonction d’une manière particulière et déjà s’interroger sur comment l’aborder tout simplement.

Majdeline

En parlant de définition de métier, tu nous a dit qu’il y avait différents types de DPO. Est ce que tu peux les définir concrètement ?

Paul

En terme de parcours oui. Les DPO, en général, sont issus de deux à trois parcours qu’on peut identifier. Le premier parcours qu’on les DPO, la grande majorité, en tout cas d’après la plupart des études, ce sont des juristes. Des gens qui ont fait du droit. Donc ce sont des gens qui sont très calés sur la partie juridique, mais qui doivent quand même et j’insiste dessus, qui doivent ensuite aller plus loin sur la partie technique. Parce qu’on ne peut pas faire l’économie de la technique. Le deuxième parcour des DPO, qu’on rencontre assez souvent sont les DPOs qui sont qui viennent justement de la technique. Qui peuvent être informaticiens, ingénieurs, développeurs, etc. Mais qui sont sensibilisés déjà et qui ont déjà acquis ces compétences là. Et là, le travail, ça va être d’acquérir les compétences légales. Ils peuvent les avoir déjà acquises. Il y a tout un tas de certifications, par exemple, qu’on peut passer pour devenir DPO. Mais l’essentiel va se trouver de ce côté là. Ensuite, il y a un troisième type de profil. Qui a un profil plus managérial / commercial, donc plus de conseil général en IT. Donc là, c’est pas nécessairement des profils qui sont très techniques ou ni des profils qui sont très juridiques, mais qui vont eux aussi pouvoir s’investir en tant que DPO. De par leurs compétences particulières, en tant que manager ou en tant que commercial. Parce qu’il faut quand même mobiliser les équipes sur un sujet qui n’est pas nécessairement porteur ou en tout cas, qui ne rapporte pas tout de suite de business. Là encore, c’est des qualités qui sont requises et certaines organisations font appel à ce type de profils.

Majdeline

Quelle est la journée type d’un DPO ?

Paul

Ça va être d’avoir d’abord quelques réunions. Parmi ces réunions là, j’aurais sûrement une réunion avec le service juridique de la société dans laquelle je travaille parce que, même si comme je disais, je suis indépendant et ca par la loi, on ne peut pas faire l’économie d’une collaboration étroite et régulière avec le service juridique. C’est quand même le premier interlocuteur. Ensuite, ca va être des réunions avec des équipes clients ou des équipes techniques sur des problèmes particuliers par rapport à certaines campagnes, etc. Déjà, le traitement ensuite de tous les documents supplémentaires parce que ce n’est pas une réunion qui va nous permettre de déclarer que telle activité est conforme ou tel fournisseur est conforme. Il faut derrière s’assurer que les contrats correspondent bien à ce qu’on a. Que toutes les documentations en matière de sécurité ou en matière de protection des données correspondent bien aux attentes que l’on peut avoir aux attentes que nos clients peuvent avoir. Donc là, il va y avoir pas mal d’analyses aussi et ça prendra un peu de temps. Et si on a le temps ensuite, c’est de la veille technologique et de la veille juridique. Mais déjà, je pense que ça fait une journée bien remplie.

Majdeline

Une journée bien remplie, c’est clair. Paul, quelle est la tâche qui te plaît le plus et celle qui te plaît le moins ?

Paul

Alors, la tâche qui me plaît le plus, c’est surtout d’être au contact de mes collègues, des collaborateurs de l’entreprise, de pouvoir répondre à leurs questions, à leurs problématiques et de pouvoir faire en sorte qu’on délivre un service qui soit impeccable à nos clients. Et de pouvoir faire en sorte, tout simplement, de faire progresser l’entreprise. Ce qui me plaît le moins, c’est plus sur la partie contrôle. C’est un peu de deux, entre guillemets, de fliquer. Et c’est quelque chose qui est nécessaire. Par exemple, si on veut faire en sorte d’avoir quand même un niveau de protection des données normal, encore une fois le DPO ne peut pas travailler seul. Donc c’est nécessaire de faire en sorte de former l’ensemble des collaborateurs. Mais lorsqu’on a des formations qui doivent être faites à distance et que quelques collaborateurs ne les ont pas encore faites. Je dois dire que courir après les collaborateurs récalcitrants pour qu’ils le fassent, c’est vraiment parce que je préfère…

Majdeline

Est ce que tu as eu une grande surprise en arrivant dans ce métier ? Qu’est ce qui a le plus marqué ?

Paul

Ce qui m’a le plus marqué, c’est vraiment, l’évolution du métier. C’est déjà l’aspect un peu de panique, encore une fois qu’il y avait en 2018, j’ai du mal encore aujourd’hui à m’en remettre ou à y croire, parce qu’on avait tout un marketing de la peur qui s’est développé auprès des marques et des sociétés.

Majdeline

Si je peux me permettre, on l’a aussi ressenti dans nos boîtes email…

Paul

Alors forcément, il y avait ceux qui se réveillait un peu tard le 25 mai, qui ont tout envoyé le 25 mai 2018 en disant s’il vous plait, donnez nous votre consentement pour qu’on garde vos données… Mais dans les mois qui précèdent, on n’a reçu que ça dans nos boîtes mail. Et je dois dire que c’est quelque chose qui m’a surpris parce que ce n’était pas un texte qui était inconnu. Mais quand même, tout le monde a réussi un peu à être en retard au final, ce que je trouve un peu rigolo. Et le deuxième truc qui m’a surpris, c’est que même si tout le monde a réussi à être en retard, il y a quand même eu, une grande rapidité pour gérer une prise de conscience et une mise en application de ces règles et du coût de la conformité. Alors là, je parle sur son secteur, mais la plupart des secteurs sur les règles applicables en matière de protection des données et notamment sur les règles applicables en matière de cookies.

Paul

Et toi, tu aurais des conseils pour ceux qui nous écoutent et qui sont vraiment convaincus par ton discours et qui souhaiteraient faire ce métier de DPO ?

Paul

Déjà, mon premier conseil ce serait de ne pas désespérez. Parce que on est sur un métier avec des gens qui viennent quand même d’univers différents. Donc, ça peut paraître un peu compliqué de mettre le pied dans la porte et de pouvoir rentrer si on a pas tout à fait le profil. Mon premier conseil c’est de ne pas désespérez, de toute façon, il y a des formations qui proposent spécifiquement des parcours pour les DPO. Au delà de ça, déjà, c’est aussi de rester informé. Que ce soit au point de vue juridique, là, ça peut être un peu plus compliqué. Faut pas hésiter à aller dans des bases de données dans lesquelles on n’a pas l’habitude d’aller. Dalloz est votre ami ?

Majdeline

Il faut être curieux ?

Paul

Exactement. Ou au point de vue technique, et là encore, faire l’économie complète de la technique, c’est pas tout à fait recommandé, en tout cas. Donc, pas hésité à rester informé, en tout cas de ce point de vue là. Pour être sûr de pouvoir mettre le pied à l’étrier si jamais l’opportunité se présente.

Majdeline

Paul, est ce que tu pourrais conseiller à nos auditeurs des films, séries, livres ou podcasts en rapport avec ton métier ?

Paul

Oui, il y en a plein, il y en a plein. On pourrait commencer déjà alors très, très classiquement et très historiquement par tous les films qui sont liés à l’affaire Snowden. Pourquoi, par rapport à l’affaire Snowden ? Parce que c’est quand même cette affaire. La révélation de cette affaire qui a mené à l’adoption en suite en réaction du RGPP en Europe. Donc, commencez par la base, commencez justement par un récapitulatif sur ce programme de surveillance de la NSA qui a été révélé par cet analyste de la NSA, Edward Snowden. C’est déjà pas mal. Donc, là dessus, je crois qu’il y avait un film d’Oliver Stone en 2016. On peut commencer par ça. Ensuite, pour aller plus loin dans le côté, un peu plus, Utilisation abusive des données à caractère personnel. Alors là, ça a été énormément traité dans la fiction, donc il y a tout un tas de films. 1984, tout le monde en parle, Minority Report ou un algorithme prédit les gens qui peuvent commettre des meurtres. On peut avoir aussi La vie des autres. En termes de série Myste Robot est particulièrement intéressant. Alors moi, j’aime bien la saison 1, je n’ai pas regardé la saison 2 mais c’est particulièrement intéressant. En terme de livres, bon, je parlais de 1984, mais le Meilleur des Mondes d’Aldous Huxley est vraiment bien. Et puis, au delà de ça, on peut regarder aussi du côté des documentaires, que ce soit des films documentaires ou des livres documentaires. Donc là, il n’y a pas longtemps, il y avait un film documentaire sur Arte qui était pas mal du tout, qui s’appelait « Tous surveiller, 7 milliards de suspects ». Bon, comme souvent, il y a des petits raccourcis, mais franchement, c’est l’un des moins caricatural que j’ai pu voir ces dernières années. Alors je ne sais pas s’il est encore disponible, peut être sur Arte TV ou ou sur YouTube ou en VOD payante… Et sinon, en livre, il y a un livre, Moi, que j’aime particulièrement, qui est sorti il y a pas longtemps de la journaliste Judith Duportail qui s’appelle « L’amour sous algorithme ». En fait, c’est un livre où elle fait un truc très simple. Elle demande à Tinder, de lui fournir les données personnelles la concernant, a la suite à son utilisation de l’application. C’est à la fois assez rigolo, et assez édifiant malheureusement, mais c’est assez intéressant.

Majdeline

Pour conclure, est ce que tu souhaiterais ajouter quelque chose pour ceux qui nous écoutent ?

Paul

Déjà que c’est un beau métier, le métier de DPO. C’est un métier qui est excitant quand même. J’espère avoir fait passer cette idée là. Parce que même si on est en effet sur quelque chose qui est juridique, il ne faut pas se le cacher. On n’est pas tout à fait non plus dans une fonction qui est que ça. Qui représente que ça. Il y a plein d’aspects, en fait au métier de DPO, il y a l’aspect formation, il y a un aspect contrôle, organisation, gouvernance et aspect conseil. C’est quelque chose qui peut être très intéressant et très enrichissant. Donc, moi, je peux que vous encourager à aller dans cette voie là.

Majdeline

Merci beaucoup Paul,

Paul

merci à bientôt.

Majdeline

Merci beaucoup d’avoir écouté ce nouvel épisode, du Gagne-Pain. Si vous aimez le Gagne-Pain, laissez nous cinq petites étoiles sur Apple Podcasts ou sur votre application de podcasts de streaming préférée. N’oubliez pas de vous abonner au Gagne-Pain. Vous pouvez nous écrire et nous envoyer vos suggestions ou vos commentaires sur LeGagnePain.fr  Retrouvez nous également sur les réseaux sociaux pour suivre notre actualité. A bientôt pour un nouvel épisode du Gagne-Pain.

Laisser un commentaire