A quelques jours de la date fatidique du 25 mai où en était-on ? Nous sommes allés à la rencontre d’entreprises et de leurs DPO intervenant dans des contextes très différents. PME ou start-up, opérateurs, services aux particuliers ou aux entreprises, marché intérieur ou international, toutes ont bien progressé dans la mise en conformité. Certaines disent qu’elles étaient fin prêtes dès le début mai.
LE LAVOIR MODERNE OU LA MISE EN CONFORMITÉ SIMPLIFIÉE
Le Lavoir Moderne est une jeune entreprise qui propose un service de pressing en ligne. Avec son application, la mise en conformité au RGPD a été rendue beaucoup plus simple.
Le Lavoir Moderne connaît un fort développement. L’entreprise propose un service de pressing en ligne. Elle vient chercher chez vous les linges que vous souhaitez faire laver et vous les rapportent dans les 48 heures. En massifiant les linges à laver dans son centre non loin de Paris, l’entreprise arrive à abaisser les prix de manière spectaculaire tout en garantissant un lavage plus respectueux de l’environnement.
De ce fait, l’entreprise se retrouve à collecter de nombreuses données personnelles. Le site a résolu le problème du consentement dès l’inscription dans l’application. L’application a été revue lors de la refonte du système d’information que nécessitait la croissance de l’entreprise. Elle s’est alors posé la question de savoir si cette refonte et l’application étaient conformes au règlement à venir.
Toute l’opération pour la mise en conformité a été réalisée en interne par une équipe de cinq personnes dont le « product owner » pour intégrer le RGPD dans la réflexion.
La première étape a été de chiffrer l’ensemble des données. Puis ont été mis en place la documentation et le registre des données. Alphadio Olory-Togbé, un des fondateurs du Lavoir Moderne indique : « C’est long et coûteux. C’est un projet à part entière. On a pris toute la documentation disponible pour le faire sans prendre d’avocat. Cela coûte surtout en effort et en ressources. »
L’entreprise s’est appuyée sur l’analyse de la Cnil pour être certain de ne pas utiliser abusivement certaines données et d’être en accord avec la règlementation. Le fondateur de l’entreprise commente : « Nous sommes assez satisfaits du pilote car le livreur qui vient chercher et rapporte le linge n’est pas l’ami de la famille ! »
Actuellement, il ne reste plus au site qu’à compléter les registres de traitements et à mettre à jour la documentation sur la nouvelle application. Au bilan, en revenant sur le projet mené, le fondateur du Lavoir Moderne insiste sur le volet organisationnel et technique de la mise en conformité car il est toujours possible selon lui de cadrer l’organisation puis avec le référent d’avoir une véritable feuille de route faisant le lien entre l’organisation et la technique. Alphadio Olory-Togbé ajoute qu’il était le mieux placé pour le faire. ❍
OVH DANS LA CONTINUITÉ
L’hébergeur français a pris son envol à l’international et s’appuie sur ses acquis pour être conforme avec le RGPD. Rencontre avec le DPO de l’entreprise, Florent Gastaud.
La sécurité et la protection des données fait partie intégrante du métier d’OVH, hébergeur et fournisseur de services en ligne. Florent Gastaud, le DPO de l’entreprise, insiste ainsi sur le fait que le domaine n’est pas nouveau et que le RGPD est dans la continuité des règlements existants au niveau européen. Le développement aux USA est très présent aussi dans le futur de l’entreprise. Les conséquences du Government Cloud Act risquaient de priver OVH de la vente de noms de domaines aux USA, un coup dur pour un hébergeur. Une exemption a été demandée auprès de l’Icann.
Une course de fond
Malgré les efforts quotidiens dans le domaine, OVH a pris au sérieux l’arrivée du RGPD et a lancé le projet avec la nomination de Florent Gastaud comme DPO en octobre 2017. Il a en charge la mise en œuvre de la conformité RGPD sauf aux USA. Il précise : « pour nous c’est une véritable culture d’entreprise. Nous avons des valeurs autour de la protection des données ».
Pour le RGPD, Florent Gastaud a décidé de repartir de la base et de traiter cette conformité dans le cadre d’une amélioration continue. Il a commencé son travail par l’interview des responsables des applications ou des systèmes qui ont à traiter des données personnelles. Il a ainsi défini l’écart entre les pratiques de terrain et le règlement ou la norme. Il a ensuite dressé un plan d’action pour « être totalement carré le 25 mai ». Il indique : « C’est un travail au corps à corps quotidien avec ce que font les opérationnels au quotidien. » Cela comprend des revues de process et quelques réorganisations en interne du fait de l’hyper croissance de l’entreprise (plus de 700 embauches). Il a fallu recadrer certains projets.
De nouvelles obligations
Il s’est ensuite attaché aux nouvelles obligations apportées par le texte. En pratique cela a consisté à donner aux clients eux-mêmes les outils pour être conformes (1,3 million de clients). Il a ensuite revu les contrats avec les sous-traitants. Il a ainsi fait évoluer les conditions générales de services et a ajouté un « data processing agreement », un contrat spécifique sur la sécurité et les traitements effectués sur les données par OVH. Le véritable enjeu est cependant d’expliquer aux clients et de s’assurer qu’ils comprennent bien les subtilités d’un texte qui comprend 99 articles et une trentaine de considérants.
Quand on lui demande ce qu’il faut retenir de son expérience, il répond : « Le projet ne s’arrête pas le 25 mai, il continue bien après avec la mise en place d’une culture autour de la sécurité de la donnée et du respect de la vie privée par la sensibilisation et la formation de l’ensemble des salariés de l’entreprise et la mise en place d’une vraie culture sur le sujet. » Il relève aussi qu’il a eu la chance d’avoir les moyens nécessaires et les ressources pour le projet et de pouvoir s’inscrire dans le temps pour asseoir la démarche et arriver à la conformité. ❍
TILKEE CONFORME POUR SATISFAIRE SES GRANDS CLIENTS
Nous poursuivons notre série de retours d'expérience RGPD avec une start-up lyonnaise, Tilkee. Elle automatise et enrichit les processus de relance commerciale en permettant aux entreprises de contacter un prospect au bon moment avec la bonne offre pour améliorer le taux de conversion.
Ses plus grands clients lui ont imposé d’être dans les clous des différents règlements. Tilkee s’y est prêté de bonne grâce pour être encore plus efficace. Depuis plus de deux ans, les grandes marques en particulier lui demandaient d’être plus efficace ce qui l’a amené à intégrer la sécurité dès la conception des applications et de chiffrer les données. Timothée Saumet, CTO et fondateur de Tilkee, le résume simplement : « Ces clients nous demandaient d’être plus sérieux et nous faisaient passer des audits de sécurité. »
Depuis sept à huit mois, l’entreprise était attentive et faisait intervenir un cabinet d’avocats pour se faire conseiller. De ces réflexions et conseils est venue l’idée du Privacy Center sur le site de l’éditeur. Ces pages spécifiques expliquent aux utilisateurs ce que Tilkee réalise avec les données collectées, quels traitements y sont appliqués, la liste des sous-traitants et de leurs outils, les traitements réalisés par les sous-traitants ainsi que leur garantie de conformité par audit.
En pratique, Tilkee a réfléchi longuement sur la directive puis a certifié des développements d’une quarantaine de jours dans ses logiciels pour déblayer le terrain sur les spécifications et les développements technologiques nécessaires pour l’activité de l’entreprise. L’ensemble de la base de données a été chiffré. Un DPO a été nommé, il provient de l’interne et le CTO de Tilkee indique : « Il nous suit dans la structuration de la conformité RGPD jusqu’au niveau 3 du support, du coup il a une position de poil à gratter dans l’entreprise. »
Une professionnalisation accélérée
Timothée Saumet évoque les impacts sur son entreprise : « Jusqu’à présent, chacun utilisait des outils dans son coin et parfois c’était un peu limite. Aujourd’hui, tout cela est fini. Tout le monde utilise les mêmes outils sérieux et personne ne s’écarte du droit chemin. Cela a d’ailleurs été bien perçu et nous n’avons pas eu à faire de change management autour de cela. Cela se résume à 25 outils et process avec une faible collecte de données : nom prénom, numéro de téléphone, des données tout à fait légitimes pour nos traitements d’analyse et de relance commerciale. »
Un avantage compétitif
Dans son domaine, Tilkee est souvent confronté à la concurrence d’éditeurs étrangers. Son travail depuis plusieurs années sur la sécurité et celui plus récent sur le RGPD lui donne une longueur d’avance qui fait parfois la différence pour signer des contrats auprès de clients eux-mêmes concernés par le règlement. Le patron de Tilkee ajoute : « Cela va faire le ménage sur le marché et je suis rassuré d’être plus sûr dans ce contexte. Cela met les éditeurs sur un pied d’égalité et permet d’écarter ceux qui ne seront pas au niveau. J’espère que cela sera un signal pour le marché. » ❍
YOUSIGN SIGNE POUR LE RGPD !
L’éditeur de solutions de signature électronique de documents et autorité de confiance est quasiment prêt pour la conformité avec le RGPD. Pour y parvenir, l’entreprise a mis en place un plan d’action dans le temps.
YouSign est une jeune entreprise qui vient juste de fêter ses cinq ans. Antoine Louiset, son fondateur et CTO, a eu l’idée de simplifier la signature électronique pour tous types de documents notamment les contrats. Les utilisateurs peuvent signer les documents à partir d’une tablette ou d’un smartphone. Pour ce faire, YouSign a développé deux produits : une application web où les entreprises peuvent s’inscrire et préparer les documents à signer pour des personnes à l’extérieur de l’entreprise et une API qui permet d’interfacer l’application avec des logiciels tiers comme un module de paiement de type Signer pour payer. De ce fait, YouSign manipule nombre de données personnelles.
Une analyse des risques poussée
L’entreprise a débuté son projet lors du dernier trimestre de l’année dernière. Là encore l’entreprise avait dans son effectif un CIL (Correspondant informatique et liberté). Il devrait là aussi devenir le DPO de l’entreprise. Antoine Louiset ajoute : « Avec lui, on a tout mis sur la table et nous avons mis en place une feuille de route qui couvre toute l’année 2018. »
La première action a été de dresser une cartographie des risques associés avec le RGPD et les risques associés aux données sensibles et le renforcement des mesures de sécurité. « Nous avons revu les données que nous avions à gérer pour chaque traitement. Dans certains cas nous avons regardé aussi les données conservées pour assurer un maximum de sécurité. »
La conformité dès la conception
Antoine Louiset explique : « Nous essayons de prévoir les risques dès la conception de l’application. Nous avons remis certains points sur la table et ajusté certains process. » Ces opérations se sont accompagnées de formations en interne pour les salariés sur la protection des données. Antoine Louiset pense d’ailleurs que c’est un point positif de sensibiliser l’ensemble des entreprises à la question. Tout a été fait en interne avec les conseils d’un avocat et du CIL.
Les négociations avec les sous-traitants lui ont semblé le point le plus difficile de la démarche. Si avec les gros fournisseurs la question a été assez vite réglée avec peu de possibilité d’évolution des contrats et une assurance le plus souvent des efforts réalisés pour être conforme, cela n’a pas été toujours le cas avec des fournisseurs plus petits. « Nous avons été amenés à changer plusieurs fournisseurs et nous avons favorisé alors des fournisseurs français ». ❍
VECTAURY S’APPUIE SUR L’EXISTANT ET UNE EQUIPE DEDIÉE
Vectaury aide les distributeurs et les commerçants à acquérir des clients et à les faire venir dans leurs magasins. Les données personnelles font ainsi partie de son quotidien.
Pour Vectaury, la course à la conformité au RGPD a débuté avec la nomination de Mathilde Ferriol, la Correspondante informatique et liberté de l’entreprise, et la mise en place d’une équipe dédiée. Rappelons que seul la Cnil peut officialiser la désignation d’un DPO et que les formulaires de désignation sont désormais en ligne sur le site de l’institution. L’équipe est en fait au travail depuis deux ans. Elle a d’abord cherché à comprendre les enjeux juridiques et techniques avec un groupe de travail qui réunit les principaux dirigeants des différents services de l’entreprise. Dans cette phase Vectaury s’est fait aider par un cabinet d’avocats et a entretenu des contacts permanents avec la Cnil qui prodigue des conseils aux entreprises dans le cadre d’un nouveau label RGPD qui remplace Informatique et Libertés.
Adapter les technologies
L’étape suivante a été de mettre en place de nouveaux processus administratifs, mais également à insérer le respect de la vie privée dans la conception des technologies. Ce travail en collaboration avec les équipes produit et technique exige une très bonne compréhension et connaissance de la loi, ainsi qu’une mobilisation des équipes opérationnelles. Du fait de sa conformité avec la loi de 1978 qui encadrait déjà le traitement des données, le travail a été simplifié. Mathilde Ferriol indique : « Nous ne partions pas de zéro. Nous avons travaillé sur le consentement avec la mise en œuvre de traitements à partir des données dont nous avions besoin. Cela a été plus une adaptation et nous n’avons pas eu à tout recommencer. Sur les registres et la documentation, nous avions déjà des choses avec la conformité avec la loi de 78. Le RGPD renforce les obligations et le travail n’est pas le même. »
Une phase périlleuse
L’étape de vérification auprès des sous-traitants et de la question de la responsabilité des traitements est plus périlleuse qu’il n’y paraît selon la DPO de Vectaury. Cela a conduit à renégocier des contrats. « Les obligations posées rendent la négociation plus simple » indique Mathilde Ferriol. Vectaury est prêt depuis janvier et n’attend plus que les certifications de la Cnil pour se déclarer conforme au RGPD. Pour l’entreprise le RGPD s’est mué en une opportunité business intéressante. Cela a permis de se mettre en avant auprès de grandes marques qui ont choisi de travailler avec Vectaury car l’entreprise était en avance comparativement à d’autres et lui a permis d’évangéliser le marché. Autre avantage, la réflexion sur la minimisation des données a permis à Vectaury de réduire le volume de données stockées de 10 à 30 % selon les données à collecter. Au bilan, le plus difficile a été de traduire le juridique dans les technologies et les opérations de l’entreprise. Des ateliers en interne ont résolu la question. ❍
PROS, LE RGPD DANS UN CONTEXTE INTERNATIONAL
Pros est un éditeur international de logiciels d’optimisation du pricing des produits et services. Comme toute entreprise opérant en Europe, il se doit de respecter le nouveau règlement sur la protection des données personnelles.
Rien ne distingue Pros des entreprises du secteur de la vente de produits et services aux entreprises. Les données personnelles se réduisent aux données clients, métiers et prospects. Virginie Dupin est cependant concernée au premier chef par le RGPD du fait de sa fonction de responsable marketing. De sa place, elle n’a pas une vision globale de tout ce qui a été engagé dans son entreprise mais elle peut revenir sur les opérations qui ont eu lieu pour son silo.
Le projet a débuté l’été dernier avec la demande à tous les services ventes/marketing/RH de construire la cartographie des données et traitements pour savoir ce que chacun possédait, manipulait, stockait et documentait des processus actionnables par quiconque pour des droits à la correction et de suppression de données communs à tous. On comprend l’étendue de la tâche avec Virginie Dupin : « Cela fait énormément d’outils avec différents systèmes de paie et RH. Nous avions 18 logiciels pour six pays européens pour plus de trois cents personnes ». Le service marketing concernait moins de monde mais avait des parties spécifiques comme le site web.
Rien de titanesque
Peu à peu, aidé par des conseils et des juristes, Pros a un peu démystifié la peur autour des conséquences du projet en parallèle de sa meilleure compréhension de la réforme. Virginie Dupin ajoute : « L’Europe, c’est pas la forêt vierge ! Les bases de données marketing étaient déjà en opt-in ou double opt-in. Les changements sont au niveau de la collecte et du consentement qui doivent être plus explicites. Cela ne change pas trop nos pratiques. Ceux qui ont joué le jeu des réglementations européennes n’ont pas tant de travail à faire, rien de titanesque. »
Le projet passe par des travaux de documentation sur les données du site web, des changements sur les choix possibles pour préciser comment clients et Pros communiquent et dans quel contexte. Une des conséquences a été une montée de version pour le système de messagerie afin de correspondre aux nouvelles conditions. Pour Virginie Dupin, le travail a été intense : « Je n’ai pas les recommandations globales du groupe mais nous n’avons pas de DPO, il y a un consultant en Allemagne. »
La difficulté a été dans l’ajustement des relations avec les fournisseurs en s’assurant qu’ils seraient eux aussi prêts. Pros documente les traitements et les actions entreprises devaient faire en sorte que l’éditeur soit prêt dès le 1er mai. ❍
LE KIT DE SURVIE
Il n’est jamais trop tard pour bien faire. Si vous n’êtes toujours pas conforme, rien ne vous empêche d’engager la démarche. Pour vous aider à démarrer, voici un kit de survie ou de démarrage rapide avec Arnaud de Chambourcy, practice manager RGPD chez Umanis.
Les entreprises sont entrées dans la dernière ligne droite pour se conformer à la réglementation sur la protection des données personnelles. Toutes ? Pas sûr ! Les chiffres des différentes études parues jusqu’à maintenant ne sont pas vraiment rassurants sur ce point. Un peu moins d’un tiers des entreprises seraient prêtes à la fin mai. Pour le reste, le flou est assez complet sur l’état d’avancement dans les projets et le profil bas est celui le plus souvent adopté pour ne pas se faire remarquer et épingler par l’autorité de régulation en charge du RGPD, la Cnil.
Nous avons échangé avec un spécialiste qui donne ici une feuille de route permettant de réagir et d’entamer rapidement la démarche de mise aux normes. Ne rien faire serait de toute façon le pire. La Cnil a indiqué vouloir être compréhensive pour ceux ayant entamé la démarche, et la bonne foi sera importante, mais ne comptez pas trop sur sa mansuétude pour la simple raison que ce règlement est européen et qu’il doit s’appliquer de la même manière dans l’ensemble de l’Union Européenne.
« La construction des registres est un travail long et consommateur de temps, mais c’est le moyen de démontrer que le traitement est conforme au texte »
Arnaud de Chambourcy, Practice Manager RGPD chez Umanis.
Commencer par… le début !
Arnaud de Chambourcy est assez direct. Première question : « Est-ce que mes données sont sécurisées dans mon SI et dans mes locaux ? » Pour lui, il faut retourner aux basiques de la question avant d’entreprendre quoi que soit. Ainsi préconise-t-il de vérifier la sécurité physique des locaux, puis ensuite celle mise en place sur les postes de travail avec une sensibilisation des collaborateurs et la mise en place d’une charte de bonne conduite ou la gestion des habilitations. Il conseille de chiffrer les pièces jointes des mails ou les mails eux-mêmes. Il ajoute : « Il existe plein de petits outils gratuits pour le faire. Cela permet d’éviter certaines fuites de données. Ce n’est pas la solution miracle. Il est possible aussi d’écouter ou de sniffer les espaces de travail partagés pour repérer les utilisations nocives. » Le but de tous ces processus est de protéger les données.
Un consentement univoque et éclairé
« Le risque intervient dès que vous êtes visible. » Tous les éléments du site internet doivent être protégés du bandeau au cookie et les conditions générales d’utilisation et de vente doivent être claires. « Le principe de la finalité de la collecte doit être bien défini et le consentement doit suivre cette information. » Cela fait clairement partie de la check-list dans toutes les entreprises.
Vient ensuite l’étape de la relation avec les sous-traitants, les fournisseurs commerciaux, les partenaires. Les contrats doivent être revus pour comporter certaines clauses qui prennent en compte la gestion des données à caractère personnel et que le tiers affiche bien la collecte pour vous, en particulier si vous êtes le responsable du traitement des données collectées. Cela doit être clair pour l’utilisateur final. Il faut y ajouter les règles de sécurité prises par le sous-traitant pour assurer les données.
Encore loin du but !
Si après fait tout cela, vous pensez être près du but et de la conformité avec le RGPD, modérez votre enthousiasme car un long chemin reste à faire ! Arnaud de Chambourcy indique que c’est à ce moment que vous allez « entrer dans le dur en faisant l’état des lieux de la conformité et la cartographie des traitements ». Comparativement aux étapes précédentes, vous entrez dans un process plus classique et certains points de la loi Informatique et Liberté ou de la loi de 1995 vont vous aider à vous rapprocher de la conformité. Ainsi le principe de minimisation des données présent dans le texte doit vous faire vous interroger sur le pourquoi vous conservez et collectez toutes ces données. Se mettre à la place du client est souvent la bonne démarche.
Un travail de fourmi
Interrogé sur la construction des registres évoqués dans la loi, Arnaud de Chambourcy le confirme : « Oui, ce travail est long et consommateur de temps mais il est le moyen de démontrer que le traitement est conforme au texte. » Il s’agit là de documenter le traitement effectué avec sa finalité, les micro-traitements, les petites manipulations qui interviennent dans de nombreux traitements quotidiens comme l’envoi d’une fiche de paie. « Cela doit être réalisé de manière assez fine, sinon vous n’avez pas la capacité de voir où sont les brèches possibles. »
Se faire aider
Arnaud de Chambourcy plaide évidemment un peu pour sa chapelle, mais se faire aider permet de gagner du temps et surtout de s’entourer de compétences juridiques et techniques parfois difficiles à trouver en si peu de temps. Tous les interlocuteurs dans les entreprises de services contactées dans le cadre de ce dossier ont indiqué être sollicitées tous les jours sur la question et que les ressources commencent à manquer pour faire face à toutes les opportunités.
Un impact sur l’organisation
Le travail de mise en conformité peut aussi avoir des impacts sur l’organisation. Le premier est la désignation d’un DPO, Data Protection Officer. Celui-ci doit avoir les moyens et ressources nécessaires pour effectuer sa tâche et mener à bien le chantier vers la conformité. Pratiquement, de nombreux correspondants Informatique et Libertés présents dans certaines entreprises sont souvent le plus à même de remplir ce rôle. Il existe de nombreux guides et possibilités de se faire conseiller ; en premier lieu auprès de la Cnil, qui délivre conseils et documentation.
Le texte n’est pas encore en application et certains points de la réglementation seront précisés par la jurisprudence mais les principes comme le droit à l’oubli, la portabilité des données, le consentement éclairé ne souffriront pas d’exception en Europe. Autant envisager le projet comme une chance et certaines entreprises qui nous ont déclaré être prêtes à la date fatidique voient la démarche comme un atout concurrentiel face à des compétiteurs moins avancés. L’avantage n’est que tactique et ne durera que le temps que les entreprises soient au niveau, mais cela permet de saisir des opportunités. ❍