Fin octobre 2017, soit sept mois avant l’entrée en application du Réglement européen de protection des données (RGPD), le baromètre Converteo montrait que seuls 6% des sites audités étaient conformes à celui-ci. Pour les autres, 40% n’indiquaient pas la finalité du traitement de la data et 76% ne fournissaient aucune information sur la durée de conservation. Autant de pratiques qu’il va falloir faire évoluer rapidement, mais comment? Dentsu Aegis Network vient de recruter en ce sens Guillaume Tollet comme Data Protection Officer (DPO), un métier promis à un grand avenir dans les mois prochains.
Guillaume Cardon, managing director de Sutter Mills, une plate-forme de conseil data, estime que le RGPD exige une impulsion forte: «Il faut que ce soit un projet d’entreprise porté par le Comex [comité exécutif], c’est une question de drive et de leadership.» Sans doute les concepteurs du réglement européen avaient-ils un scénario de ce type en tête. Ils ont en effet prévu des sanctions financières importantes – jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros – et la possibilité d’engager la responsabilité pénale des dirigeants. De quoi faire entrer le RGPD dans le peloton de tête des risques au menu habituel d'un comité exécutif. Mais Guillaume Cardon y voit aussi une opportunité: «C’est un catalyseur, et il faut aller au-delà afin qu’émerge un projet que pourront s'approprier toutes les composantes de l’entreprise.»
Une démarche de certification
Chez Mailjet, plateforme qui envoie chaque jour 80 millions d'e-mails, le RGPD revêt une importance majeure. Le processus de mise en conformité a donc démarré dès janvier 2017 et cinq chantiers ont été définis. Au préalable, une démarche de certification ISO 27001 [organisation internationale de normalisation] relative au management de la sécurité de l'information a aussi été enclenchée. Elle a abouti à une accréditation en septembre 2017, explique Alexis Renard, le président de Mailjet: «Cela permet une analyse systématique des process et des modes de fonctionnement puis de mettre en place des actions correctives sous le contrôle d’un auditeur. Cette démarche de certification correspondait aux besoins de notre activité et aux attentes de nos clients. Elle nous a été utile car elle couvre beaucoup d’aspects du RGPD.»
Le premier chantier relatif au RGPD lui-même a porté sur la structure des bases de données afin de mettre en œuvre les nouveaux droits des personnes tels que le droit à l’oubli. Une phase qui passe notamment par l’anonymisation car il n’est pas toujours possible d’effacer purement et simplement un enregistrement d’une base de données. «Cela apporte le niveau de garanties nécessaires pour le droit à l’oubli tout en respectant les contraintes d’intégrité des bases de données», explique Alexis Renard.
Le second chantier devait permettre aux clients de faire valoir leur droits. Désormais, l’accord du correspondant «Informatique et Libertés» (CIL) est requis pour installer une application tierce et les nouvelles recrues sont formées à la sécurité afin d’éviter les clics sur les mails, liens et pièces jointes dont la provenance est inconnue.
Opportunité de gains opérationnels
Le troisième chantier, la révision des contrats avec les sous-traitants, a permis d’y inclure les contraintes propres au RPGD, mais aussi de vérifier l’état d’avancement de leur mise en conformité avec le règlement européen. Tous les prestataires de Mailjet ne sont pas logés à la même enseigne, note Alexis Renard: «Nous n’avons pas d’inquiétude avec des prestataires comme Google, qui sont armés pour gérer le RGPD. Ce sont plutôt les sociétés de taille moins importante, situées aux États-Unis, qu’il faut convaincre car elles sont peu informées. Selon la capacité des sous-traitants à aller vers la mise en conformité, cela peut remettre en question la relation commerciale. Pour l’instant, la conformité au RGPD n’est pas encore un motif recevable de résiliation de contrat.»
Les deux derniers chantiers ont porté sur une communication en deux phases: la première à destination des salariés et contractants et la seconde vers les clients. Mailjet a ainsi régulièrement communiqué sur le RGPD, organisé webinaires et conférences, publié des livres blancs et bien sûr, envoyé nombre de newsletters sur ce thème.
Exemplaire par son degré d’anticipation et le périmètre couvert, une telle démarche concilie conformité et efficacité opérationnelle. Alors que l’échéance approche à grands pas, elle n’a pas encore fait assez d’émules, déplore Jean-Bernard Guidt, directeur associé Business et Technologies de Keyrus Management: «La moitié des entreprises considère encore le sujet de loin ou seulement sous l’ange juridique, quitte à le confier aux équipes du marketing car ils sont au cœur de la gestion des données clients.» Une trajectoire qui a toutes les chances d’aboutir à une mise en conformité dans la douleur et sans véritable gain d’efficacité.
«Certains clients ont une stratégie de mieux disant»
Guillaume Tollet, Data Protection Officer (DPO) de Dentsu Aegis Network France, indique les éléments clefs à vérifier dans la relation avec le client et les prestataires.
« Deux points fondamentaux sont à travailler avec le client. Le premier, c’est l’évolution du consentement, qui doit être explicite avec le RGPD. Le souci, c’est que le règlement e-Privacy, qui spécifie les règles applicables aux opérateurs et aux acteurs du marketing, n’est pas encore finalisé et que sa date d’application n’est pas encore connue. Une période floue s’ouvre de mai 2018 à 2019 durant laquelle il va falloir conseiller les clients en fonction des règles déjà applicables et des spécificités de leur secteur. Certains clients ont déjà une stratégie de mieux-disant par rapport au RGPD qui s’inscrit dans une démarche de stratégie éthique. La sécurité de l’hébergement des données est le deuxième point clé à bien vérifier.
Nous avons une action à deux niveaux pour vérifier nos prestataires. La première passe par un questionnaire détaillé. La seconde, par un point téléphonique ou une rencontre afin de connaître précisément leur feuille de route pour la mise en conformité RGPD. Nous avons déjà réalisé 50 % de ce travail de vérification de nos prestataires. Ce process de vérification permet aussi d’évaluer la capacité de réponse des prestataires et donc d’enrichir le conseil fourni à nos clients. »
