Vectaury aide les distributeurs et les commerçants à acquérir des clients et à les faire venir dans leurs magasins. Les données personnelles font ainsi partie de son quotidien.
Pour Vectaury, la course à la conformité au RGPD a débuté avec la nomination de Mathilde Ferriol, la Correspondante informatique et liberté de l’entreprise, et la mise en place d’une équipe dédiée. Rappelons que seul la Cnil peut officialiser la désignation d’un DPO et que les formulaires de désignation sont désormais en ligne sur le site de l’institution. L’équipe est en fait au travail depuis deux ans. Elle a d’abord cherché à comprendre les enjeux juridiques et techniques avec un groupe de travail qui réunit les principaux dirigeants des différents services de l’entreprise. Dans cette phase Vectaury s’est fait aider par un cabinet d’avocats et a entretenu des contacts permanents avec la Cnil qui prodigue des conseils aux entreprises dans le cadre d’un nouveau label RGPD qui remplace Informatique et Libertés.
Adapter les technologies
L’étape suivante a été de mettre en place de nouveaux processus administratifs, mais également à insérer le respect de la vie privée dans la conception des technologies. Ce travail en collaboration avec les équipes produit et technique exige une très bonne compréhension et connaissance de la loi, ainsi qu’une mobilisation des équipes opérationnelles. Du fait de sa conformité avec la loi de 1978 qui encadrait déjà le traitement des données, le travail a été simplifié. Mathilde Ferriol indique : « Nous ne partions pas de zéro. Nous avons travaillé sur le consentement avec la mise en œuvre de traitements à partir des données dont nous avions besoin. Cela a été plus une adaptation et nous n’avons pas eu à tout recommencer. Sur les registres et la documentation, nous avions déjà des choses avec la conformité avec la loi de 78. Le RGPD renforce les obligations et le travail n’est pas le même. »
Une phase périlleuse
L’étape de vérification auprès des sous-traitants et de la question de la responsabilité des traitements est plus périlleuse qu’il n’y paraît selon la DPO de Vectaury. Cela a conduit à renégocier des contrats. « Les obligations posées rendent la négociation plus simple » indique Mathilde Ferriol. Vectaury est prêt depuis janvier et n’attend plus que les certifications de la Cnil pour se déclarer conforme au RGPD. Pour l’entreprise le RGPD s’est mué en une opportunité business intéressante. Cela a permis de se mettre en avant auprès de grandes marques qui ont choisi de travailler avec Vectaury car l’entreprise était en avance comparativement à d’autres et lui a permis d’évangéliser le marché. Autre avantage, la réflexion sur la minimisation des données a permis à Vectaury de réduire le volume de données stockées de 10 à 30 % selon les données à collecter. Au bilan, le plus difficile a été de traduire le juridique dans les technologies et les opérations de l’entreprise. Des ateliers en interne ont résolu la question. ❍
Article extrait du dossier «RGPD, 1ers retours d'expérience» paru dans L'Informaticien n°167.