Accueil / Dossiers / [Témoignage] "La mise en conformité au RGPD concerne autant le B to B que le B to C!"
[Témoignage] "La mise en conformité au RGPD concerne autant le B to B que le B to C!"
La data est au coeur de son métier: Nomination s'est donc attelée dès fin 2016 au chantier de mise en conformité avec le règlement européen sur la protection des données personnelles. Marie Eyraud, directrice de l'information, nous explique tous les détails de cette opération de longue haleine.
> Quel est l'impact du RGPD sur votre activité?
Notre métier, c'est de fournir des informations qualifiées et fiables à nos clients, pour leur permettre d'atteindre des objectifs de développement commercial. À cet effet, nous collectons des informations sur plusieurs centaines de milliers de décideurs en entreprise, et ce à plusieurs niveaux: leur fonction, leur périmètre de responsabilité et leur parcours. Or le règlement porte sur la protection des données personnelles: il vise donc toute information permettant, directement ou par recoupement, de remonter jusqu'à une personne physique.
Ainsi, une adresse mail professionnelle constitue une donnée personnelle, par exemple. Notre activité étant de collecter des informations sur les décideurs, nous sommes directement concernés par le RGPD, même si nous sommes en B to B. En matière de dataprotection, avec le RGPD, B to B et B to C, c'est le même combat!
> Comment avez-vous préparé votre mise en conformité? Quelles ont été les grandes étapes?
Il est impossible de raisonner uniquement par étapes, la mise en conformité avec le RGPD est un vrai chantier à part entière. L'idée a été de commencer par des choses simples, des actions de type "quick win", (modification des formulaires, désignation du futur DPO(1)...), tout en menant en parallèle des tâches de fond plus complexes (analyses d'impact, éléments de sécurité informatique...). Nous avons démarré le chantier RGPD à l'automne 2016, avec un audit réalisé par le cabinet Alerion, qui dispose d'un département spécialisé en droit de la propriété intellectuelle. Durant 2 mois, ses avocats ont réalisé un inventaire de nos pratiques, analysé nos contrats clients et fournisseurs, avant de nous faire des recommandations sur les étapes à mettre en place.
Entre janvier et février 2017, nous nous sommes approprié une partie de la documentation disponible sur le site de la Cnil: lecture du règlement, bien sûr, mais également des guides pratiques sur la relation fournisseur, sur les analyses d'impact, sur la désignation du CIL(2) (futur DPO)... Puis nous avons rédigé le registre des traitements, ce qui a nécessité un bon mois de travail afin de réaliser un inventaire précis. Là encore, la Cnil propose un modèle pour créer son registre.
Mission suivante: la réécriture de la politique de protection des données et sa mise en ligne sur notre site. Elle précise quelles sont les données collectées, l'utilisation qui en sera faite, qui sont les éventuels prestataires ou sous-traitants qui interviendront sur ces données, leur durée de conservation et le lien vers la page de désabonnement pour exercer son droit de retrait. Nous avons ensuite revu les contrats avec nos prestataires, afin d'y retranscrire la notion de coresponsabilité. Certains étant implantés en dehors de l'Union européenne, il a également fallu revoir les clauses de transfert hors UE.
En avril/mai 2017, nous avons désigné un CIL, qui deviendra en mai 2018 notre DPO.
Lire aussi : SIRH : pourquoi intégrer un logiciel de paie moderne
De juin à octobre, nous avons mené les analyses d'impact et réalisé la cartographie des risques, afin d'envisager tous les scénarios qui pourraient entraîner une perte de données, de mesurer l'impact sur les personnes dont les données auraient été piratées et de réfléchir aux moyens à mettre en oeuvre pour limiter ces risques. Là encore, nous nous sommes appuyés sur la documentation de la Cnil, et cette démarche a débouché sur la mise en place d'un plan d'action visant à limiter les risques.
(1) DPO = délégué à la protection des données.
(2) CIL = correspondant informatique et libertés.
> Quels sont les chantiers encore en cours?
Nous travaillons encore avec Alerion sur un sujet-clé: le recueil du consentement. Comme nous sommes en B to B, l'opt-out reste la règle pour le moment (ce que nous a confirmé la Cnil), tant que le droit français n'a pas été modifié.
Notre méthode de collecte des données inclut déjà un appel systématique du décideur ou d'un proche collaborateur pour vérifier les informations que nous délivrons. Nous avons décidé de renforcer cette première approche du recueil du consentement par l'envoi a posteriori d'un e-mail reprenant toutes les informations que nous possédons sur le décideur afin qu'il puisse les modifier, les compléter ou bien faire jouer son droit de retrait. Nous historiserons l'ensemble des messages envoyés, ainsi que les retours éventuels. Ce dispositif, en cours de test, sera déployé d'ici avril prochain.
Parallèlement, nous avons modifié nos formulaires en ligne, en récrivant les mentions relatives au RGPD, et créé une adresse mail dédiée pour permettre d'exercer son droit de retrait. Nous avons également documenté l'ensemble du process de gestion des réclamations. Sur le long terme, nous devrons également tenir à jour le registre des traitements, et penser à réaliser les analyses d'impact en cas d'évolution de nos traitements.
> Quels conseils ou avertissements donneriez-vous à une entreprise qui doit mener sa démarche de conformité au RGPD?
De nombreux éléments du RGPD sont dans la continuité de la Loi informatique et libertés. La grande différence, c'est que le RGPD inverse les rôles: c'est désormais à l'entreprise de prouver qu'elle a mis en oeuvre un niveau de protection suffisant, et non à la Cnil d'apporter la preuve que le responsable du traitement n'est pas en conformité. Il ne reste que 100 jours avant le 25 mai 2018, le délai est donc très court pour être conforme si l'on s'y attelle seulement aujourd'hui. Mais quand on est déjà en phase avec la Loi informatique et libertés, le RGPD est un prolongement logique.
Il n'en demeure pas moins que cette démarche est très chronophage, et qu'il est nécessaire de se faire accompagner par des professionnels. Dernier point: un véritable engagement de la direction générale est indispensable, car c'est un projet d'entreprise, très transversal, qui fait interagir de nombreux services, le marketing, l'IT, la production, la Daf...
Sur le même thème
Voir tous les articles Réglementation