Comment le groupe VYV a préparé sa mise en conformité avec le RGPD

Se mettre en conformité avec le règlement général sur la protection des données (RGPD) d’ici au 25 mai 2018 tout en constituant un nouveau groupe mutualiste, c’est l’ambition de VYV. Créé en septembre 2017, autour des mutuelles Harmonie, Istya et MGEN, le groupe assure 10 millions de personnes, affiche un chiffre d’affaires de 9 milliards d’euros et regroupe 35 000 collaborateurs. Il est bâti autour d’une Union mutualiste de groupe (UMG) qui compte six mutuelles, puis d’une Union de groupe mutualiste (UGM), nommée VYV Coopération et qui regroupe des mutuelles d’entreprises, des opérateurs d’action sociale, de retraite… et VYV Care qui compte près de 1 000 établissements de santé et de services. Pour sa mise en conformité RGPD, VYV se retrouve ainsi face à une grande diversité d’entités (environ 60 mutuelles, une dizaine de filiales et les 1 000 établissements de VYV Care) et de nature de données personnelles différentes.

Une première phase de recensement de l’avancement de chacun

Le projet a d’ailleurs débuté avant la création officielle du groupe. Comme le rappelle la responsable protection des données groupe et future DPO (Data privacy officer) : “lors de l’inventaire des pratiques, réalisé d’avril à juin 2017, nous avons constaté que la quasi totalité des entités pouvaient témoigner d’une maturité sur le sujet et que toutes s’efforçaient de travailler dans le respect de la loi Informatique et libertés”. Néanmoins, cela ne signifie pas que toutes ont adopté la même stratégie. “Nous sommes en cours de constitution d’un groupe. Nous sommes à la recherche du modèle le plus mutualisé possible, tant en termes d’organisation que d’outils”, confie Jean-Louis Davet, directeur général délégué du groupe VYV.

Essayer d’avoir un seul DPO pour la majorité des entités

Du côté de l’organisation, VYV a commencé par la création d’un poste de DPO groupe, qui intervient pour la holding et peut être désigné par les autres entités. “Toutes les activités sous contrôle stratégique du groupe et la dizaine de filiales auront ce DPO. Ensuite, les mutuelles pourront également désigner le DPO groupe comme DPO ou nommer une personne différente pour assurer cette fonction”, détaille Jean-Louis Davet. L’objectif affiché est que le plus grand nombre opte pour le DPO mutualisé. “Nous sommes incitatifs. Plus cette fonction sera mutualisée, mieux ce sera pour assurer la cohérence au sein du groupe”, indique le directeur général délégué. Il se félicite ainsi que “d’ores et déjà, un certain nombre de mutuelles de VYV Coopération ont fait le choix de ce DPO. Et VYV Care a décidé de le nommer pour tous ses établissements”.

L’adhésion à cet unique DPO n’est pourtant pas acquise pour toutes les entités. “Parmi les six mutuelles de l’UMG (Harmonie Mutuelle, Harmonie Fonction Publique, MGEN, MNT, MMG et MGEFI, ndlr), deux sont plutôt parties sur un schéma consistant à avoir leur propre DPO. Deux autres s’orientent vers le schéma mutualisé”. Le groupe entend également se doter de CPO (chief privacy officer), “des personnes qui, de par leur formation, leur appétence pour ces sujets ou parce qu’ils étaient pré-destinés à devenir DPO d’une entité seront les relais du DPO groupe dans les entités du groupe ayant choisi le schéma mutualisé”, précise Jean-Louis Davet.

En parallèle, le groupe a mis en place un comité Privacy. “Il est composé d’une vingtaine de professionnels qui, dans les entités, filiales et au groupe, occupent diverses fonctions en lien direct avec la protection des données – responsable de la conformité, CIL, RSSI, juristes, chef de projet, etc. Il a établi une feuille de route des chantiers mutualisables et travaille à l’élaboration et au choix d’instruments communs (outillage, procédures, référentiels, politique(s), etc.)”, précise la responsable Protection des données groupe. Cette démarche s’appuie sur les 26 exigences du label Gouvernance informatique et libertés de la CNIL, mis à jour en juillet 2017 et qui devient aujourd’hui une certification. Le comité a identifié plusieurs chantiers considérés comme prioritaires et mutualisables (portabilités et droits des personnes concernées, consentement, procédures, sensibilisation et formation, durées de conservation, etc.).

Mutualiser les outils

Après la première étape sur l’organisation, le groupe travaille maintenant sur les outils pour la mise en conformité. Là encore, VYV veut une plus grande harmonisation. “Nous devons mettre tout le monde autour de la table et stopper les éventuelles acquisitions d’outils dans les organisations pour développer des outils communs. Nous avons lancé une mission de cartographie des outils IT pour voir comment faciliter la cohérence”, signale Jean-Louis Davet.

Le premier chantier concerne le registre des traitements, imposé par l’article 30 du RGPD et décrivant, entre autres, les catégories de données collectées, ainsi que les finalités du traitement. Or, les sources des données sont multiples en raison des activités de groupe : mutuelle, retraite, offre de soins et action sociale. Chaque entité est responsable de cette opération de cartographie et d’inventaire. Suivant les entités cette opération est en partie réalisée ou achevée, précise le groupe.

Revoir le recueil de consentement

Un deuxième chantier prioritaire concerne l’information des personnes concernées. “Ce chantier, dont les attendus sont précisés dans les articles 12 à 14 du RGPD, rend nécessaire de conduire des réflexions et des travaux sur la transparence et l’information que nous devons à nos adhérents, clients et patients”, indique la future DPO groupe. Cela passe, notamment, par la revue et la mise à jour des mentions d’information figurant sur les contrats ou sur les portails. “Nous passons nos contrats au crible, mais ne partons pas de zéro. Nous avions mené il y a environ 2 ans, une étude à la MGEN sur ce que l’on pressentait du RGPD, afin d’avoir une vision claire des écarts à réduire”, assure Jean-Louis Davet.

Le recueil des consentements fait également partie de ce chantier. “Nous avons ouvert un projet dédié à cette question dans nos outils. Il s’agit de la manière de recueillir le consentement, de l’éclairer au maximum… Nous travaillons sous forme de PoC sur ce sujet”, confie le directeur général. La responsable Protection des données groupe précise : “Les portails doivent satisfaire cette obligation d’information, ceci conditionne la qualité du recueil du consentement et la capacité des personnes concernées – adhérents, clients, patients dont nous collectons et traitons des données personnelles – à exercer les droits qui sont les leurs“.

Vis-à-vis des adhérents, le groupe porte aussi un projet de “pédagogie”, souligne le dirigeant. L’objectif est de “faire comprendre le rôle des données, ce que nous pouvons faire ou pas, ce que nous ne ferons pas… Nous devons être capable d’avoir des débats avec les adhérents”, ajoute-t-il.

Si de nombreux chantiers sont actuellement en cours, Jean-Louis Davet se montre confiant sur le calendrier. “Nous serons prêts”, affirme celui qui ne croit pas à une phase dérogatoire accordée par la Cnil. “Le groupe VYV a pris à bras le corps la mise en œuvre de ce nouveau régime de protection des données, mais conduire la totalité des chantiers pour assurer une conformité à tout moment en matière de données personnelles est une action sur le long terme”, indique la responsable Protection des données groupe. Et côté budget, le directeur général délégué indique simplement : “nous n’avons pas de vision analytique du budget de préparation au RGPD, ni en termes de temps passé, ni d’outils mis en oeuvre. Le périmètre du DPO mutualisé groupe n’étant pas figé et en évolution, nous y consacrons le budget nécessaire”.