Ce mois-ci la Lettre du DPO a eu le privilège d’interroger Domitille Fontaine-Castets, Chief Compliance Officer du célèbre groupe hôtelier Accor.
Ayant démarré sa carrière comme avocat intervenant en Fusions et Acquisitions, pendant près de huit ans dont deux passés au sein d’un cabinet anglais établi à Paris, Domitille Fontaine-Castets a découvert le sujet de la conformité (« compliance ») à travers les grandes règlementations liées à l’éthique des affaires (lutte contre le blanchiment, contre les comportements anticoncurrentiels, contre la corruption, protection des données à caractère personnel, etc.) auprès d’un grand groupe de la distribution de matériels électriques qu’elle a rejoint avant d’intégrer le groupe hôtelier français « Accor » où elle s’occupe exclusivement de ces sujets (en qualité de « Chief Compliance Officer »). Pour la Lettre du DPO, elle revient en détails sur son parcours et livre sa vision sur le sujet des lanceurs d’alerte (et du traitement de leurs données) au sein des organisations.
Quel est votre parcours et qu’est-ce qui vous a amené à vous intéresser à la donnée et au RGPD ?
« À l’occasion de ma pratique en droit des sociétés, en accompagnant des opérations de fusion-acquisition y compris à l’international, j’ai découvert les grandes règlementations par lesquelles les Etats (souvent en concertation, à un échelon régional voire international) tentaient « d’assainir » la vie des affaires par des normes édictant des obligations formelles visant à récupérer et à traiter les informations pour mieux détecter d’éventuels comportements indésirables (fraude, harcèlement, corruption, etc…) mettant les autorités en capacité d’agir selon une logique orientée vers la prévention et impliquant ainsi un changement de ces comportements sous la pression de ce formalisme. Celui-ci peut s’avérer très lourd et, en particulier avec l’adoption de la loi n° 2016-1691 dite « Sapin 2 » – en décembre 2016 -, qui exige de collecter et traiter des données, dont certaines sont délicates en raison de la gravité des faits qu’elles révèlent. C’est donc tout naturellement que j’ai eu à me pencher sur le RGPD qui entrait alors en application en 2018 et qui a également apporté la protection des données à caractère personnel dans le cadre de mes responsabilités en ma qualité de DPO dans mes fonctions précédentes ».
2/- Quelles sont vos responsabilités actuelles et sur quel(s) projet(s) travaillez-vous actuellement en lien avec les lanceurs d’alerte ?
« Toutes ces réglementations répondent à des « buts monumentaux » pour reprendre l’expression du professeur Frison-Roche (qui désigne par-là le « souci d’autrui », visant à rendre plus « durable » le monde et la société humaine, que menacent, par exemple, la corruption, l’atteinte à l’environnement ou encore aux droits des personnes à travers le traitement de leurs données). Elles suivent donc une philosophie commune ce qui a permis à la fonction de « Compliance Officer » (responsable conformité) d’émerger.
Cette fonction, que j’exerce aujourd’hui, m’amène à travailler sur l’identification des risques, puis sur la réponse à y apporter par des actions de contrôle et de prévention, et ceci au regard des réglementations ou standards que l’on peut schématiquement présenter en six domaines chez Accor : la lutte contre la corruption, le respect des sanctions internationales (par exemple celles adoptées contre la Russie), le respect des règles de concurrence, le respect des standards de paiement dans les hôtels, l’observation des normes protégeant les droits humains (impliquant le devoir de vigilance), et enfin la protection des données à caractère personnel. Au quotidien, concernant les lanceurs d’alerte et les actualités juridiques sur ce sujet, nous avons fait le choix, d’une part, d’ouvrir cette faculté à toute personne (par exemple nos fournisseurs, et nos clients), sans la réserver à nos seuls salariés, d’autre part de permettre un traitement local des alertes (sans imposer leur examen au niveau du siège), et enfin de retravailler les durées de conservation puis de mettre à jour l’analyse d’impact qu’impose le RGPD.
Globalement, ce système d’alerte fonctionne bien car, si l’on met de côté les accusations insensées reçues de temps à autre, la plupart des alertes permet de repérer de véritables disfonctionnements, que nous traitons. Pour favoriser celles-ci, il faut, à mon sens, limiter l’alerte anonyme, car l’enquête, qui permet d’écarter les démarches douteuses, nécessite bien souvent de prendre contact avec l’auteur de l’alerte ».
3/- Quelle est votre vision sur l’avenir de cette réglementation ?
« Les technologies numériques, qui ont considérablement facilité les moyens de communication, ont aussi fait naître un monde de transparence absolue puisque les moindres faits et gestes sont désormais retraçables. Le secret et l’intimité disparaissent peu à peu, ne serait-ce qu’à travers les données constamment collectées par les outils numériques utilisés, ou tout simplement présentes dans l’environnement personnel ou professionnel.
Et cette sorte de « tyrannie » de la transparence ne connaitra pas de retour en arrière, à mon avis. Dans ce contexte, les lanceurs d’alerte vont continuer à être protégés, et probablement de plus en plus. Pour rééquilibrer la protection de tous ceux qui sont mis en cause dans des alertes, le respect du RGPD est l’une des clés. »