Mise en conformité RGPD : entretien avec A. COUBRAY

Le RGPD, qui entrera en application le 25 mai 2018, fait couler beaucoup d’encre. Articles, guides, tutoriels foisonnent sur la toile.

Malgré toutes les ressources disponibles, il est difficile de se faire une idée précise du RGPD d’un point de vue opérationnel.

Pour mieux saisir les impacts concrets de ce nouveau règlement européen sur la protection des données personnelles, nous avons décidé de donner la parole à Antoine COUBRAY – Fondateur de CustUp, un cabinet de conseil en Relation Clients à distance.

En savoir + sur Antoine COUBRAY : http://www.custup.com/projet-crm-consultant-crm/

Sommaire

JC : Bonjour Antoine, et tout d’abord merci de prendre le temps de répondre à ces quelques questions. Avant d’aller plus loin, peux-tu nous faire une rapide présentation de ton parcours ?

AC : Bonjour Jérôme. J’ai travaillé au milieu des années 1990 au sein de Vivendi Universal Publishing (devenu Editis) comme Directeur du développement. J’ai ensuite dirigé les Editions Atlas, pendant une douzaine d’années, avant de fonder Astremis, une activité de reprise d’entreprises, puis Stratello, un cabinet de Relation Clients.

Je dirige aujourd’hui CustUp, un cabinet de conseil opérationnel en Relation Clients actif depuis 2016. Nous organisons et mettons en œuvre la Relation Clients à distance via les deux moyens que sont le CRM et le Centre de Contacts. La donnée client est au cœur de notre métier, car c’est vraiment le carburant de la Relation Clients.

JC : Passons maintenant au sujet RGPD, et essayons d’être pragmatique et méthodique. En quoi consiste la mise en conformité RGPD qui interviendra à partir du 25 mai 2018 ?

AC : La mise en conformité est l’objectif du projet RGPD. Elle désigne toutes les actions et les initiatives prises par l’entreprise pour adapter son organisation et sa gestion des données personnelles aux nouvelles exigences du règlement européen. Ce qui nécessite un gros travail car tous les process liés au traitement des données sont impactés, de la collecte à l’utilisation en passant par le stockage.

La CNIL propose sur son site internet une démarche standard en 6 étapes : la désignation du DPO (Data protection officer), la cartographie des traitements, la priorisation des chantiers d’action, l’identification des traitements à risque, la mise en œuvre du plan d’actions et la documentation. Il s’agit d’une démarche très générale. Dans les faits, chaque démarche est spécifique et doit s’adapter à la taille de l’entreprise, à ses ressources, à son organisation, au secteur d’activité (plus ou moins réglementé), etc.

Ce qu’il faut souligner aussi, c’est que le RGPD opère un vrai changement de paradigme. Jusqu’à présent, les entreprises traitant des données personnelles devaient faire une déclaration préalable à la CNIL. L’autorité de contrôle pouvait vérifier en amont la conformité des traitements. Avec le RGPD, le système de déclaration préalable disparaît complètement du paysage. Il est remplacé par des contrôles a posteriori. D’où l’importance de la documentation et du registre des traitements qui permettront à l’entreprise de prouver sa conformité en cas de contrôle. L’idée derrière ce règlement est de responsabiliser les entreprises. Celles-ci deviennent responsables des outils et des pratiques déployés en interne pour organiser le traitement des données personnelles. Une démarche de mise en conformité passe certes par le déploiement d’actions concrètes mais nécessite aussi l’adoption d’un nouvel état d’esprit, la mise en place de nouvelles habitudes plus respectueuses du client.

JC : Est-ce que toutes les entreprises, quelle que soit leur taille, seront impactées ? Si oui, existe-t-il des degrés de mise en conformité ou des règles plus souples pour les entreprises de petites tailles ? Ou les règles seront-elles les mêmes pour les grandes entreprises, PME, et TPE ?

AC : Globalement les obligations contenues dans le RGPD s’appliquent à toutes les entreprises faisant du traitement de DCP (Données à Caractère Personnel) sur des citoyens européens, quelle que soit la taille de l’entreprise. Les règles en matière de recueil des consentements ou de droits des personnes par exemple sont les mêmes pour toutes les organisations.

Il y a malgré tout quelques petites différences sur le plan organisationnel. Les petites et moyennes entreprises sont par exemple dispensées de l’obligation de désigner un DPO (Data Protection Officer), même si des zones d’ombre subsistent. L’article 37 du règlement n’est pas très clair sur ce point. De la même manière, le registre des traitements est facultatif pour les entreprises de moins de 250 salariés (sauf dans certains cas précis).

Les autorités de contrôle (la CNIL en France) sont conscientes de l’ampleur des efforts demandés aux entreprises. Pour une PME, un projet de mise en conformité RGPD représente un investissement important. Les autorités feront preuve d’une certaine tolérance à l’égard des entreprises n’ayant pas achevé leur projet RGPD d’ici fin mai 2018, pourvu qu’elles aient enclenché une démarche sérieuse de mise en conformité.

JC : Les grandes entreprises devront donc désigner un pilote, un DPO. Son rôle paraît aujourd’hui assez flou. Quel serait son profil idéal ? Le DPO devra-t-il être internalisé ou pourra-t-il être un sous-traitant ?

AC : Le DPO est le chef d’orchestre du projet RGPD, c’est l’acteur clé. C’est la raison pour laquelle nous conseillons, suivant sur ce point la recommandation de la CNIL, de désigner le DPO au tout début du projet. Son rôle est d’une part d’informer et de conseiller l’entreprise (les décideurs, les responsables des traitements, les employés…) sur la démarche et les actions à mettre en œuvre, d’autre part de contrôler en interne le bon déroulement du projet.

Le DPO doit avoir une parfaite compréhension du règlement. Il doit être un expert du RGPD, dans ses dimensions à la fois juridiques et techniques. Le DPO doit aussi disposer de qualités morales, avoir un bon relationnel, une capacité d’écoute développée, être capable de s’adapter aux problématiques spécifiques de l’entreprise et se montrer pédagogue.

Pour répondre à ta deuxième question, le DPO peut être un membre du personnel de l’entreprise ou bien un prestataire. Le choix est laissé aux entreprises. Si c’est un salarié de l’entreprise, il ne doit pas avoir de conflit d’intérêt entre sa position dans l’entreprise et son rôle de DPO (voir l’article 38 du règlement GDPR).

JC : Que conseilles-tu à une PME ou une TPE pour commencer sa mise en conformité ?

AC : Je leur conseillerais d’enclencher dès maintenant un projet de mise en conformité si ce n’est pas déjà fait. Sans être alarmiste, rappelons quand même que le 25 mai approche à grands pas et que le RGPD prévoit des sanctions financières très lourdes en cas de non-conformité. Encore une fois, les PME et TPE sont concernées par le règlement autant que les grands groupes.

Je recommanderais aussi la désignation d’un DPO, même si ce n’est pas une obligation légale pour les petites structures. Cela permet de cadrer la démarche et d’être plus efficace dans la mise en œuvre du projet GDPR.

Enfin et surtout, je recommanderais de s’intéresser au recueil du consentement. En fonction de l’activité de l’entreprise, quel recueil de consentement est requis ? A quel moment de la Relation Clients ? Comment l’entreprise doit-elle faire évoluer ses formulaires ? Ses collectes de données ?

JC : Les bases de données clients ou prospects devront-elles subir un traitement et par où commencer ?

AC : Les bases de données clients ou prospects doivent pour commencer faire l’objet d’un diagnostic. Une fois la démarche de mise en conformité RGPD cadrée, les acteurs et le périmètre du projet définis, l’entreprise doit réaliser un diagnostic des traitements. Il faut être en mesure de répondre à plusieurs questions :

De quelles données je dispose (inventaire des données) ?
Où sont-elles stockées ?
Dans quelles bases, dans quels systèmes ?
Comment circulent-elles ?
Comment sont-elles collectées ?
Pourquoi sont-elles collectées,
Pour quelle finalité ?
Pour quels usages ?

L’objectif de la phase de diagnostic est de qualifier les pratiques actuelles en matière de traitement des DCP, ce qui permet ensuite d’évaluer les écarts avec le règlement RGPD et de prioriser les actions de mise en conformité.

JC : Quels seraient les principaux points de vigilance à respecter dans la stratégie digitale d’une entreprise, afinde respecter les enjeux du RGPD ?

AC : A mon sens, la priorité doit être portée sur le recueil du consentement en phase de collecte de données. Dans le cadre de sa stratégie digitale, l’entreprise doit faire l’inventaire de tous ses dispositifs de collecte et intégrer les nouvelles obligations du RGPD en ce qui concerne le recueil du consentement. Ce qui implique de repenser et de refondre ses formulaires de collecte.

JC : Dans le cas d’un client qui sous-traiterait l’envoi de ses e-mailings ou de ses newsletters à un prestataire, quelles sont les responsabilités de chacun ?

AC : Cette question du partage des responsabilités est en effet très importante.

Le RGPD distingue deux acteurs : d’un côté le responsable des traitements qui, dans l’entreprise, est la personne détentrice du pouvoir de décision, de l’autre côté le sous-traitant qui agit sur instruction du responsable des traitements, qui se contente d’exécuter. Le sous-traitant peut être un hébergeur web, un éditeur de logiciels, un centre de contacts externalisé, etc.

Le RGPD est clair sur un point : c’est le responsable des traitements qui, comme son nom l’indique d’ailleurs, porte la responsabilité. Mais lorsqu’un sous-traitant outrepasse son rôle et agit de sa propre initiative sur les données, sa responsabilité peut être engagée. Par exemple si vous êtes client d’un logiciel qui utilise les données personnelles dont vous disposez à des fins de monétisation, c’est l’éditeur du logiciel qui porte la responsabilité des traitements – sauf si cette utilisation des données par le logiciel était prévue dans le contrat avec le sous-traitant. D’où l’importance, soit dit en passant, de bien relire tous les contrats signés avec ses fournisseurs de service.

JC : Les règles de mise en conformité du RGPD sont-elles les mêmes pour les entreprises B2C et B2B ?

AC : Le RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Par définition, toutes les données clients des entreprises B2C entrent dans le périmètre d’application du règlement.

Pour les entreprises B2B, c’est plus compliqué. Les données qui concernent les entreprises en tant que personnes morales (dénomination sociale, objet social, SIRET, numéro de TVA, secteur d’activité, données financières, taille de l’entreprise, etc.) ne sont pas soumises aux règles du RGPD. Par contre, les données collectées sur les représentants de l’entreprise (via les cartes de visite, les profils LinkedIn, etc.) sont concernées par le règlement car ce sont des personnes physiques. En B2B, il est important de distinguer ces deux catégories de données.

JC : Que faire des données déjà en possession par les entreprises (notamment celles qui travaillent en BtoB) si elles n’ont pas les accords préalables ?

AC : C’est une question très pertinente. La question du traitement des DCP historiques n’a pas encore été tranchée par le législateur. Des discussions sont en cours sur le sujet. A ce stade, je ne peux pas te donner la réponse. Une chose est sure, si les obligations en matière de recueil du consentement s’étendent aux données collectées avant la mise en conformité, des demandes de consentements devront être envoyées à toutes les personnes concernées.

JC : Merci Antoine d’avoir répondu à ces quelques questions.

Ces articles peuvent vous intéresser...

Actualités