Hugo Salard

Contexte : structuration et industrialisation de la gestion de conformité RGPD à l'échelle d'un groupe mutualiste manipulant des données de santé (article 9 RGPD).

• Pilotage de l'appel d'offres outil de gestion RGPD : rédaction du cahier des charges, définition de la grille d'évaluation, audition des éditeurs, négociation contractuelle, sélection finale de DASTRA

• Conception du projet de déploiement à l'échelle de l'entreprise : comitologie (COPIL, COPROJ), périmètre projet, roadmap pluriannuelle, identification et embarquement des acteurs clés (DPO, DSI, métiers, juridique)

• Mise en place et déploiement du SSO en lien avec la DSI : architecture des accès, gouvernance des rôles et habilitations, conformité aux exigences de sécurité du groupe

• Pilotage et suivi de l'implémentation des trois modules cœur (Registre des traitements, Demandes de droits, Violations de données) : paramétrage, recette, formation des utilisateurs, accompagnement du changement

Résultats :

• Bascule réussie de l'outil : +30 collaborateurs impactés et formés (DPO, référents privacy métiers, juridique)

• +250 traitements de données migrés et structurés dans le nouveau registre

Industrialisation du traitement des demandes de droits et des violations : pilotage centralisé, traçabilité auditable, délais maîtrisés

• Optimisation globale de la gestion de la conformité RGPD : +30% d'efficacité (ROI)

Contexte : refonte de bout en bout du dispositif de consentement marketing d'un groupe mutualiste, sur une base contact massive et multi-canal, avec un alignement strict aux lignes directrices CNIL sur la prospection commerciale.

• Refonte juridique des finalités de communication : analyse des bases légales (article 6 RGPD), redéfinition du parcours de consentement multi-canal (email, SMS, push, courrier), alignement aux recommandations CNIL sur le consentement et la prospection commerciale

• Mise en œuvre opérationnelle au niveau du SI (CRM - API - Didomi) : conception des flux d'échange entre CRM groupe, couche API et CMP Didomi, gestion des preuves de consentement, traçabilité des choix utilisateurs et reversibilité

• Conduite du changement : embarquement des directions marketing, conformité et DSI, arbitrage des frictions entre exigences juridiques et besoins opérationnels métiers

• Déploiement opérationnel et formation des équipes : plan de bascule, recette fonctionnelle, accompagnement post-mise en production, formation des équipes marketing et CRM aux nouvelles finalités

Résultats :

• 8 nouvelles finalités de communication structurées, documentées et traduites dans le CMP

• Bascule des consentements pour +10 millions de fiches contact, sans interruption de service

• Mise en conformité du dispositif de prospection commerciale avec le RGPD et les lignes directrices CNIL

Contexte : pilotage du volet "archives papier" d'un vaste programme de purge des données personnelles (numérique + papier) d'AESIO Mutuelle, sur les domaines gestion RH et finance, déployé sur l'ensemble du parc immobilier du groupe.

• Conception de la Politique d'archivage du groupe : règles de conservation, modalités de purge, traçabilité des destructions, articulation avec les obligations légales sectorielles (Code de la mutualité, droit du travail, obligations comptables et fiscales)

• Mise à jour du référentiel des durées de conservation : revue exhaustive par typologie de document, validation juridique, formalisation dans un référentiel opérationnel à destination des métiers

• Coordination opérationnelle de la purge sur 38 sites : planification, organisation logistique, articulation avec les prestataires d'archivage et de destruction certifiée

• Pilotage projet et comitologie : suivi des indicateurs d'avancement, animation des comités de pilotage et techniques, reporting auprès de la direction conformité

Résultats :

• 10 km d'archives papier purgés conformément au référentiel groupe

• Politique d'archivage adoptée et déployée sur l'ensemble des domaines RH et finance

• Référentiel des durées de conservation à jour et opposable aux métiers

• Réduction des risques RGPD (article 5.1.e, limitation de la conservation) et des coûts d'archivage physique