RGPD et Data-Privacy : rencontre avec Denis Levy-Rossi, Security Officer chez Loyalty Company
- Kiss The Bride
- 20 mars 2018
- 1.8k vues
- Environ 3 minutes de lecture
A quelques semaines de l’entrée en vigueur du RGPD, nous avons souhaité donner la parole à Denis Levy-Rossi, Security Officer au sein du groupe Loyalty Company afin qu’il nous explique les tenants et aboutissants de cette nouvelle règlementation. Entretien.
Peux-tu nous expliquer ce qu’est le RGPD simplement ?
Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence consacrant la protection des données à caractère personnel comme un droit fondamental pour l’ensemble des pays européens. Ce règlement redonne aux citoyens le contrôle de leurs données personnelles et bouscule donc le mode de fonctionnement des entreprises. Elles doivent désormais évaluer les risques encourus et les réduire en déployant les mesures humaines, organisationnelles et techniques nécessaires pour faire appliquer cette règlementation.
Néanmoins il faut comprendre que le RGPD n’est pas une préconisation de solutions techniques à mettre en œuvre. Il s’agit plutôt d’un cadre définissant ce que l’Union Européenne attend des entreprises en termes de protection des données.
Quel est son impact sur le plan marketing et commercial ?
Les entreprises doivent appliquer les principes définis par le RGPD sur toutes ses activités. C’est pourquoi chaque collaborateur doit être sensibilisé avec le même niveau de connaissances. Concrètement, dès qu’un collaborateur manipule ou exploite une donnée, il doit se poser les bonnes questions : « s’agit-il de données personnelles ? » « Quelle est la base légale pour l’utilisation de cette donnée ? », « Ai-je le consentement des personnes pour exploiter leurs données ? » « Et si oui, pour combien de temps ? » Etc.
Que ce soit sur le plan marketing ou commercial, la donnée doit être traitée de la même manière afin de respecter les droits des personnes concernées. Pour cela, il est important d’informer les personnes au moment de la collecte de leurs données notamment sur les finalités et la durée de conservation. Les commerciaux eux, ne présenteront pas les informations de la même façon que sur le plan marketing où il s’agit de mettre en place les mentions nécessaires et les formes de consentement adéquates dans les formulaires de collecte des données. De plus, les commerciaux doivent tenir compte des données sensibles et ne surtout pas les saisir dans les zones de texte libre sur les CRM par exemple. Cela est vrai pour toute activité de suivi prospect ou client.
Quelle est ta vision sur cette réglementation ?
Pour moi, cette règlementation est une réelle évolution positive. Nous avons enfin un cadre juridique adapté aux transformations digitales et numériques !
Le RGPD peut être perçu par les entreprises comme une contrainte car sa mise en place nécessite beaucoup d’investissements humains et le respect de certaines obligations. Mais le texte fait preuve de pragmatisme : les conditions d’applications tiennent compte de la réalité des entreprises et des organismes. En cela, il ne faut pas voir le RGPD comme une contrainte mais comme une opportunité : celle de mettre en place une démarche qualité dans laquelle le citoyen se trouve véritablement au centre. C’est aussi l’occasion de rationaliser ses traitements, de faire le tri dans ses données voire du nettoyage. Finalement, se mettre en conformité avec le RGPD c’est assurer une transparence totale en tant qu’entreprise ou marque et donc reconstruire une relation de confiance avec ses clients.
Que fait Kiss The Bride pour préparer sa conformité au RGPD ? Et pour aider ses clients ?
Nous sommes entrés dans les premières étapes de la démarche mais notre objectif est de sensibiliser tous les collaborateurs de Kiss sur le sujet, sujet d’autant plus sensible que notre cœur d’activité repose sur les data clients.
Nous avons donc déjà organisé deux vagues de sessions de sensibilisation dont la première a été animée par notre partenaire, Advens. Nous avons ensuite pris le relai en retravaillant nos supports de présentation afin que les collaborateurs puissent les réutiliser en cas de besoin. Et en ce moment, nous travaillons sur la cartographie des traitements afin qu’Advens puisse nous proposer par la suite un plan d’action détaillé des axes prioritaires à mettre en place.
En parallèle, nous avons créé le poste de Security Officer pour répondre au cadre donné par le RGPD. Ce dernier a pour mission d’accompagner au-delà de l’interne nos clients et les sensibiliser à cette nouvelle règlementation. En effet, en tant que sous-traitant, nous avons l’obligation d’accompagner notre clientèle sur ce sujet (dans le cadre des projets que nous mettons en place pour eux), répondre à leurs interrogations et les conseiller dans la durée.
Alors justement, quel est ton rôle précisément en tant que Security Officer ?
Si le RGPD impose la nomination d’un Data Protection Officer (DPO), nous avons chez Loyalty Company, décidé d’ouvrir un poste de Security Officer. Celui-ci travaille sur un périmètre plus large puisqu’il englobe les missions du DPO définies par le RGPD mais occupe également d’autres rôles en lien avec la sécurité.
Dans le cadre de mes missions relevant directement du métier de Data Protection Officer, j’accompagne les équipes pour leur indiquer quelles sont les obligations et les exigences définies par le RGPD et comment les appliquer. J’interviens également dans le travail de centralisation de la documentation garantissant la mise en conformité et je suis le point de contact auprès de la CNIL.
D’autre part, mon poste de Security Officer m’a conduit à prendre en charge la gouvernance de la sécurité du Système d’information. En cela je dois animer et contrôler tous les sujets liés à la protection et à la sécurité de l’information. Par exemple, j’anime et je suis les projets qui sont menés par le Comité de la Sécurité de l’Information.
Comment expliques-tu que la plupart des entreprises ne seront pas prêtes dans la mise en application du RGPD le 25 mai prochain ?
Par rapport aux différentes études que j’ai pu lire sur le sujet, je réalise que beaucoup d’entreprises ont eu une prise de conscience tardive. A un an de l’échéance, seulement 9 % d’entre elles se déclaraient conformes et aujourd’hui, seulement un quart des entreprises européennes ce sont soumises aux exigences du RGPD.
En bref, les entreprises se rendent bien compte des impacts que cette réglementation peut avoir sur leur activité et la nécessité de se mettre en conformité, mais elles ne mesurent pas l’étendue des changements à opérer. Elles ne connaissent pas la méthodologie à appliquer et n’ont pas forcément une vision exhaustive de leurs données.
Quels conseils leur donnerais-tu alors ?
N’étant pas expert RGPD, nous ne pouvons que nous appuyer sur notre propre expérience. Ces entreprises doivent s’aider de la méthodologie décrite et formalisée sur le site de la CNIL. Elles doivent pour commencer désigner un DPO afin d’être accompagnées dans cette mise en conformité et ensuite cartographier les traitements, établir un plan d’action, évaluer et gérer les risques, organiser les processus internes et bien sûr documenter la conformité. Il faudra aussi sensibiliser les collaborateurs pour diffuser une culture interne « data privacy ». Du moment où l’entreprise a commencé à effectuer ces étapes, la mise en conformité au RGPD est lancée. Il ne faut pas oublier qu’il s’agit d’une démarche d’amélioration continue. Il n’est donc jamais trop tard à condition de commencer dès maintenant !
>> Vous souhaitez échanger sur vos enjeux de confidentialité des données ? Contactez-nous !
0 commentaire