Faire de la protection des données un standard, pas une contrainte

Interview de Frédéric Campagna, DPO de Letsignit.

À l’occasion de la Journée internationale de la protection des données, Frédéric Campagna, DPO chez Letsignit, partage une vision exigeante et pragmatique de la protection des données en entreprise.

Fort de son expérience au sein de cette solution de signatures mail, utilisée par des organisations comme VINCI Energies, Sephora, ONET ou Edenred, il revient sur les bonnes pratiques applicables à toutes les entreprises, quels que soient leur taille, leur secteur ou leur niveau de maturité. »

Par quoi une entreprise devrait-elle commencer pour structurer sa protection des données ?

Le premier conseil, c’est de ne pas réduire le sujet à une simple obligation réglementaire. Avant de parler de conformité, il faut comprendre quelles données sont traitées, dans quels contextes, et pour quels usages concrets. Une entreprise qui a une vision claire de ses flux de données part toujours avec une longueur d’avance. Chez Letsignit, cette logique est intégrée dès la conception du produit, dans un cadre RGPD clairement défini. Les projets sont pensés avec l’implication du DPO dès l’amont, afin de garantir que les usages se développent de manière conforme, sans jamais sortir de ce cadre de protection. C’est un principe qui s’applique très bien à toute organisation.

Quels sont, selon vous, les choix structurants à faire dès le départ ?

Les décisions prises en amont sont déterminantes sur le long terme. Sécurité dès la conception, gouvernance claire, responsabilité bien définie, ce sont des fondations essentielles. Chez Letsignit, la protection des données est intégrée nativement à la solution. C’est ce qui nous permet aujourd’hui de répondre à des exigences très élevées, validées notamment par les certifications ISO 27001 et ISO 27018. Le conseil que je donnerais aux entreprises, c’est d’investir tôt sur des bases solides d’un point de vue sécurité, même si leur environnement n’est pas encore très complexe.

L’ISO 27001 garantit une gestion structurée et continue de la sécurité de l’information, couvrant la maîtrise des risques, la gouvernance, la gestion des accès et la protection des données.

garantit une gestion structurée et continue de la sécurité de l’information, couvrant la maîtrise des risques, la gouvernance, la gestion des accès et la protection des données. L’ISO 27018 encadre spécifiquement la protection des données personnelles dans le cloud, avec des exigences renforcées en matière de confidentialité, de transparence et de conformité RGPD.

D’ailleurs, parlant de RGPD, Frédéric Campagna a pris le temps de nous en glisser un mot sur le sujet dans cette vidéo.

Comment éviter que la protection des données soit perçue comme une contrainte pour les équipes ?

C’est un vrai sujet. La protection des données devient problématique lorsqu’elle complique inutilement les usages. L’objectif doit être inverse : protéger sans freiner, et protéger pour mieux avancer. Chez Letsignit, par exemple, tout ce qui touche à la sécurité, comme la supervision 24/7, l’alerting automatisé, les audits internes ou les tests d’intrusion, est pris en charge sans créer de charge opérationnelle pour les clients ou nos collaborateurs. Pour les entreprises, cela signifie qu’il faut privilégier des organisations et des solutions qui intègrent ces enjeux en amont, plutôt que de les reporter sur les utilisateurs.

Cette approche explique-t-elle l’adoption de Letsignit par de grandes organisations ?

Oui, très clairement. Letsignit est aujourd’hui utilisée par des groupes comme Vinci Energies, ONET, Edenred, issus de secteurs particulièrement sensibles à la protection des données. Ce sont des organisations qui évoluent dans des environnements complexes, souvent multi-entités et multi-sites, avec des enjeux élevés en matière de sécurité, de conformité et de continuité opérationnelle. Pour elles, la protection des données, la fiabilité et la maîtrise des risques ne sont pas optionnelles. Si notre solution est déployée à grande échelle dans ces contextes, c’est parce qu’elle a été conçue pour répondre à ce niveau d’exigence dès le départ.

Comment cette exigence se traduit-elle concrètement dans la solution Letsignit ?

Elle est intégrée au cœur du produit. Letsignit est le créateur du premier add-in Outlook, co-construit avec Microsoft USA, et nous sommes partenaire privilégié de Microsoft depuis plus de 10 ans. Cette collaboration étroite avec l’écosystème Microsoft nous permet de proposer une solution nativement alignée avec des standards de sécurité élevés, capable de s’adresser à des millions d’utilisateurs dans le monde.

Vous évoquez des standards de sécurité parmi les plus élevés du marché. Qu’est-ce que cela implique au quotidien ?

Cela passe d’abord par des référentiels reconnus. Letsignit est aujourd’hui la première solution française de gestion des signatures mail doublement certifiée ISO 27001 et ISO 27018, et ce depuis quatre ans. Mais au-delà des certifications, il y a une vigilance permanente, liée à la nature même du canal que nous opérons. Le mail est l’un des actifs les plus sensibles des entreprises : il concentre des données personnelles, des échanges stratégiques et constitue un vecteur d’attaque privilégié. C’est pourquoi la sécurité chez Letsignit repose sur une supervision 24/7, de l’alerting automatisé, des audits internes réguliers et des tests de sécurité récurrents. Nous menons également des tests d’intrusion et des simulations d’attaques récurrentes avec une communauté internationale de white hackers. L’idée est de ne jamais considérer que la sécurité est acquise.

Qu’en est-il de l’hébergement et de la localisation des données ?

Pour nos clients européens, les données sont hébergées exclusivement en France et en Europe, sur des infrastructures conformes au RGPD. C’est un choix fort, qui répond aux attentes de nombreuses entreprises en matière de souveraineté, de transparence et de maîtrise des données. Là encore, ce sont souvent des critères décisifs, en particulier pour les organisations les plus exposées.

Avec le recul, qu’est-ce qui distingue réellement l’approche de Letsignit ?

La constance dans le temps. Letsignit, c’est 12 ans de délivrabilité, plus de 6 000 clients et des déploiements dans des environnements très complexes. Cette expérience nous permet aujourd’hui de proposer une démarche de protection des données solide, éprouvée et évolutive, qui va bien au-delà d’un simple cadre réglementaire.

Quel est aujourd’hui votre rôle en tant que DPO dans cette organisation ?

Mon rôle est de garantir la cohérence globale de cette démarche dans la durée. La protection des données évolue en permanence, tout comme les usages et les technologies. L’enjeu est de maintenir ce niveau d’exigence, d’accompagner les équipes et de faire en sorte que la protection des données reste un réflexe naturel, pas une contrainte.

Un message à retenir à l’occasion de la Journée internationale de la protection des données ?

La protection des données ne doit pas être pensée comme un minimum à atteindre, mais comme un standard à viser. Lorsqu’elle est intégrée dès la conception et maintenue dans le temps, elle devient un véritable levier de confiance pour toutes les entreprises, quels que soient leur secteur ou leur taille.

