L'actus
du Pro Bono
José, un bénévole spécial RGPD
José Alberto Rodriguez est Chief DPO pour Cornerstone OnDemand. Le RGPD n’a pas de secret pour lui. Et tout le monde ne peut pas en dire autant : c'est un sujet complexe pour les entreprises, mais aussi pour les associations. Alors il a commencé à accompagner ces dernières bénévolement.
Manon Philippe
4 mai 2021
José Alberto Rodriguez est Chief DPO chez Cornerstone OnDemand. Autrement dit, José est Data Protection Officer ou encore délégué à la protection des données. Le RGPD (règlement européen sur la protection des données) n’a pas de secret pour lui. Et tout le monde ne peut pas en dire autant !
Derrière cet acronyme peu engageant, se cache pourtant un chantier essentiel à toute structure, notamment dans le monde associatif. Parce que, comme José aime le souligner, le RGPD ne protège pas les données, il protège les personnes.
De quoi parle-t-on ? D’après le site economie.gouv : le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entré en application le 25 mai 2018. Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs :
. Renforcer les droits des personnes
. Responsabiliser les acteurs traitant des données
. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.
Il y a quelques mois, José a mis sa précieuse expertise au profit des associations lauréates du programme Pro Bono Factory d’Ile-de-France. Un atelier, pensé sur mesure, qui a permis aux participants d’en savoir un peu plus sur cette loi et sur les mesures obligatoires associées.
Il revient avec nous sur son parcours et son expérience de l'engagement.
Comment en es-tu arrivé à t'engager ?
J’ai été pendant longtemps responsable du bureau étudiant de mon université. J’ai aussi dans mon entourage familial beaucoup de personnes qui ont fait du bénévolat ou qui ont travaillé pour des associations : il fallait que ce soit à mon tour !
Alors ça faisait un certain temps que je réfléchissais à la manière de m’engager auprès d’associations, via du bénévolat, du pro bono etc. Il m’est finalement venu comme une évidence que le plus logique serait d’aider les associations sur cette mise en conformité RGPD puisque probablement, elles étaient confrontées à des difficultés égales ou supérieures à celles des entreprises. En général elles ont moins de ressources, elles sont focalisées sur leurs actions de terrain... Ce n’est certainement pas leur priorité de dédier des ressources à ce chantier.
J’ai pendant longtemps eu comme idée de m’engager, sans forcément sauter le pas. Puis j’ai commencé à chercher quelle était la bonne opportunité, la bonne manière de faire.
Ce qui te plaît dans le pro bono et l’engagement
À un niveau personnel, je pense qu’il n’y a pas plus grand cadeau que celui d’offrir. Ça peut paraître un peu bateau comme expression, mais c’est effectivement un grand plaisir d’aider, de contribuer au développement d’associations qui, à leur tour, aident des personnes dans le besoin. Ce qui m’intéresse, c’est vraiment d’aider les associations avec une composante sociale forte. C’est une manière indirecte de contribuer à cette activité sociale. Et puis ça fait aussi grandir : au-delà de compétences particulières qu’on peut développer, c’est très enrichissant sur le plan personnel.
Mon engagement, s’il est porté par une volonté personnelle, est très lié à ma vie professionnelle. J’ai la chance d’avoir un planning très flexible, qui me permet de m’adapter et de m’engager sur mon temps libre. En plus, mon rôle de DPO (délégué à la protection des données), est d’assurer que les données sont bien utilisées, selon une certaine éthique : il y a donc une cohérence entre mon activité professionnelle et les ateliers auxquels je participe pour le monde associatif. Ça me permet d’avoir une contribution différente, mais dans un même esprit.
C’est un cercle vertueux. Ça me permet d’apprendre. Par exemple, aujourd’hui je suis très focalisé sur la question du RGPD pour les ressources humaines. Être au contact d’associations me permet d’observer comment ces mêmes principes vont s’appliquer à des types de données différentes, qui concernent par exemple des bénévoles, des donateurs, les bénéficiaires d’associations...
Ca m’aide aussi à mieux comprendre le RGPD et donc développer mes compétences. C'est un cercle vertueux, je donne et je reçois.
Pourquoi aider les associations sur le RGPD spécifiquement ?
D’une part parce que c'est mon métier et, de l'autre, le constat que le RGPD est un sujet qui fait peur : on le sent bien lors de discussions sur la mise en conformité !
Les associations ont conscience de la nécessité de faire cette mise en conformité, parce que c’est une bonne chose ou parce que c’est obligatoire. Mais il y a généralement une peur et un manque de connaissance sur ce que ça veut réellement dire. J’ai commencé à avoir des discussions avec des associations via la Fondation Cornerstone. J’ai commencé à leur poser la question : pensez-vous que c’est un besoin chez les associations ? Avez-vous les compétences en interne ?
Les réponses ont confirmé mon intuition : oui les associations ont conscience qu’il faut faire quelque chose mais souvent elles ne savent pas comment et n’ont pas forcément les ressources.
Qu’est-ce que tu peux leur apporter, aux associations ?
Ce qui manque aux associations, souvent, c’est la disponibilité de personnes en interne. Par exemple, une des associations participantes à l'atelier avec Pro Bono Lab expliquait qu’une personne avait porté le projet à un certain point puis a quitté la structure, laissant le chantier RGPD sans référent. Plus personne ne le porte aujourd’hui.
Il y a ensuite une question de méconnaissance et une question de compétences. Méconnaissance des objectifs, de la pertinence du RGPD pour le monde associatif. Nous l’associons communément à la protection des données, mais en réalité il s’agit bien de protéger les personnes lors du traitement de leurs données. C’est quelque chose sur lequel on insiste beaucoup parce que souvent on ne se rend pas compte de la réelle portée, la réelle finalité du RGPD. Et la protection des personnes est souvent au cœur du monde associatif, de ses valeurs, de ses missions. En ce sens, il faut faire comprendre aux associations en quoi le RGPD s’insère pleinement dans leurs objectifs. Ce serait effectivement dommage pour une association qui, par exemple, accompagne des personnes en difficulté, que d’un autre côté elle ne puisse pas leur assurer une protection notamment donc vis-à-vis de la gestion de leurs données. Je pense en particulier aux associations qui manient des données sensibles puisqu’elles travaillent avec des catégories de personnes particulièrement à risque, comme les réfugié.es. Protéger leurs données, c’est les protéger en tant que personnes.
En ce qui concerne les compétences nécessaires, il n’y a pas besoin d’être juriste de carrière : il faut certainement connaître un minimum du RGPD, mais c'est un règlement très opérationnel, et les guides de la CNIL sont très pédagogiques.
Pour résumer :
. Il faut une personne dédiée à ce chantier qui va pouvoir aussi monter en compétences sur la question du RGPD et être efficace,
. La deuxième chose, c’est l’angle d’attaque, la vision. Il faut voir le RGPD comme un élément de plus pour protéger les personnes,
. La troisième chose, c'est la bonne connaissance de l'activité de sa structure, pour traduire et appliquer les orientations RGPD en conséquence.
J'essaie de sensibiliser les associations au premier point, et de leur partager un maximum mes connaissances, mes compétences et ma vision du RGPD pour qu'elles puissent avancer ensuite sur les second et troisième points.
Lors de l’atelier pour la Pro Bono Factory, les associations avaient des besoins concrets sur cette problématique. Déclamer les principes du RGPD, c’est relativement facile à faire. Les rendre compréhensibles, cela reste aussi relativement facile. Mais comment les appliquer ? Là est le vrai travail. Nous avons donc construit un mini process reprenant les premières choses à faire, les étapes essentielles.
Je pense que les associations étaient intéressées. J’espère les avoir aidées, leur avoir donné un point de vue un peu différent sur le RGPD, et qu'elles n'aient plus "peur" du RGPD.
Un conseil pour s’engager ?
Honnêtement, vous seriez surpris de savoir à quel point on apprend en partageant avec les autres. Ce n’est pas qu’un transfert de compétences, à sens unique. On apprend tous, on avance tous. C’est un élément de poids pour s’engager.
🧠 Skills scan 🧠
Une compétence/qualité dont tu es fier.e ?
Honnêtement, parler français. Je ne l’ai pas appris à l’école, je l’ai appris sur le tas en arrivant en France. La première fois que j’ai compris une blague en français, c’est un moment qui est resté gravé dans ma mémoire.
Un talent caché/inutile/insoupçonné ?
Animateur de soirée !
Une compétence que tu aimerais développer ?
J’aimerais en savoir plus sur l’intelligence artificielle. Dans le monde de la gestion de la donnée, on va de plus en plus vers la gestion automatisée à partir d’algorithmes et d’IA, qui vont commencer à décider tout un tas de choses à notre place. Il va falloir bien comprendre comment cela fonctionne pour pouvoir bien le piloter.
Une compétence qui pour toi est essentielle dans la vie ?
L’empathie.
Ton expérience personnelle qui t’a apportée le plus de nouvelles compétences ?
Sans doute vivre en France. Être en immersion permanente dans une autre culture est un régal. Et ça fait 20 ans que ça dure ! On apprend, notamment, l'humilité : les choses sont différentes, ce n'est pas "moins bien" pour autant. Il y a toujours plusieurs façons de faire. Ca s'applique aussi aux personnes. On est tou.tes différent.es, et alors ?
Envie de t'engager et de rejoindre l'Equipe ? 👉 C'est par ici !