Histoire de savoir-faire : Tchérylène MAIRET, déléguée à la protection des données personnelles

Si AGS Records Management est une histoire de savoir-faire et de techniques, elle est aussi une histoire d’hommes et de femmes qui, au quotidien, contribuent à accompagner les entreprises
dans leurs stratégies d’archivage et de numérisation de leurs documents.


Tchérylène Mairet occupe le poste de délégué à la protection des données personnelles pour le compte d’AGS RM, mais aussi d’un large portefeuille de clients de l’entreprise. Avec pour objectif constant de préserver l’équilibre de la balance entre le respect de la vie privée et le soutien de l’activité de ses clients.

Tombée dans la marmite du Règlement général pour la Protection des Données en 2017, la mise en conformité est une « une vraie tournure d’esprit » avant de devenir son métier. Depuis, son rôle est d’éteindre tous les risques qui pourraient peser sur l’activité des entreprises au regard de la protection des données.

 
Entrée comme déléguée à la protection des données (DPO) en octobre 2021 au sein d’AGS RM, elle travaille en permanence à l’amélioration des process des entreprises, à la fois pour AGS RM et pour un large portefeuille de clients essentiellement issus du secteur de la santé, des bailleurs sociaux et des fonds de retraite.

 

Pointer les risques vraisemblables de non-conformité

National Data Protection Authority, FranceDiplômée du Conservatoire national des Arts et Métiers de Paris, elle détient une certification de la CNIL. « Un gage de valeur important » pour les clients qu’elle conseille au quotidien sur la mise en conformité de leur process. « Je pointe les risques vraisemblables de non-conformité, ce qu’il faut changer, ce qu’il faut améliorer », explique-t-elle. Si elle ne dispose que d’un pouvoir de recommandations, elle assure être aux côtés des entreprises au mieux de leurs intérêts. Car au-delà des sanctions de la CNIL, une mise en demeure est avant tout un préjudice réputationnel pour les clients qu’il convient d’éviter.

Celle qui se classe du côté des DPO éthique débute ses missions par des audits de démarrage afin d’établir un état des lieux de l’entreprise. Un moment parfois tendu, reconnaît-elle, en raison du caractère intrusif de cette étape. « Mais c’est l’occasion pour moi de me présenter et de mettre en confiance mes interlocuteurs, de leur dire que je ne suis pas là pour leur taper sur les doigts, mais bien pour les aider ». Directement rattachée au responsable de traitement, bien souvent directeur de structure, elle s’entretient également avec des représentants des métiers.

 

En veille constante en matière de non-conformité

Accompagnée d’un membre de l’entreprise, elle visite également les locaux et note ce qui pourrait apparaître comme un risque de non-conformité. « Ma phase d’observation commence souvent sur le parking de l’entreprise », explique-t-elle. En veille constante, elle observe tout : les caméras de surveillance, les mesures de sécurité physiques des bâtiments, les documents potentiellement oubliés à la photocopieuse, les placards restés ouverts… « Je guette toutes les actions et tout ce qui pourrait altérer la confidentialité des données », précise-t-elle.

The DPO ensures data securityElle réalise cet audit en trois jours en moyenne. À son issue, elle rédige un rapport d’audit avec des recommandations et des évaluations de non-conformité. Les points de risques majeurs doivent être réglés dans les meilleurs délais, car le risque d’atteinte à la vie privée des personnes concernées est fort. Pour les points moyens ou faibles, l’entreprise doit identifier un plan d’action pour éteindre les risques.

 

Des défaillances dans la gestion des archives papier

Parmi les non-conformités fréquentes, Tchérylène Mairet note des défaillances dans la gestion des archives. En effet, la durée de conservation n’est pas toujours déterminée [encadrée par la loi], mais déterminable. Par ailleurs les conditions de conservation des archives papier ou numériques doivent présenter des mesures pour préserver la confidentialité et la sécurité des données. Toute lacune sur ces 2 piliers du RGPD engendre un échec des audits réglementaires de certains secteurs d’activité « la lanterne rouge des rapports. Tchérylène Mairet remarque que de plus en plus d’entreprises se tournent vers des tiers archiveurs, comme AGS RM, pour prendre en charge leurs archives papier, mais surtout sollicitent des conseils sur les durées de conservation.

Au quotidien, elle construit et tient à jour la documentation de conformité, répond à l’exercice des droits, réalise des analyses d’impact apporte également des conseils juridiques et opérationnels aux entreprises en sensibilisant et formant les collaborateurs aux dérives qui pèsent sur les données personnelles. « Les clients redoutent le RGPD, mais j’essaie de leur transmettre l’esprit de cette réglementation et de s’intéresser à toutes les informations sur le respect de la vie privée des personnes ».

 

Planifiez un audit de démarrage avec le délégué à la protection des données d’AGS RM, pour vous assurer que votre entreprise est conforme aux réglementations GDPR.

Share This