Le nouveau Règlement Général sur la Protection des Données n’est pas un changement anodin. Ce texte aura un impact considérable pour les entreprises de toutes tailles, qu'elles soient établies dans l'Union européenne ou qu'elles ciblent des résidents du territoire de l'Union européenne. Ici, chez Captain Contrat, le RGPD est un sujet doublement important : nous devons nous y préparer nous-mêmes, naturellement, mais nous devons également accompagner efficacement nos clients et les aider à s'y préparer. C’est pourquoi nous avons le plaisir de vous proposer aujourd’hui cette interview de Yann, l’un de nos référents sur le sujet du RGPD au sein de Captain Contrat.
SOMMAIRE :
- Se préparer au RGPD ?
- Prendre en compte le RGPD dans les nouveaux projets
- Comment nous préparons-nous à mieux accompagner nos clients sur ce sujet sensible ?
- Quels outils conseillerais-tu à nos lecteurs ?
- Certains points sont encore flous ?
- Darty sanctionné
- Le RGPD pour les PME, les TPE et les startups
- Qu’en est-il des petites entreprises ? Doivent-elles vraiment se soucier du RGPD ?
Yann, Peux-tu résumer ce que nous faisons concrètement chez Captain Contrat pour nous préparer au RGPD ?
La première étape a été de mettre à plat l’ensemble des données que nous collectons à Captain Contrat : de faire un “état des lieux”.
Nous avons étudié le sujet avec chaque équipe (Marketing, Développement, Produit, Commerciale, Customer success, etc.) pour être certain de cartographier correctement la situation.
- Quelles sont les données que vous récoltez ?
- A quelle fin ? Comment les utilisez-vous ?
- Combien de temps sont-elles conservées ?
- Quels sont les risques de notre fonctionnement actuel ?
Il est difficile d’avoir une vue globale sans travailler au coeur de chaque équipe. C’est pourquoi ces échanges sont aussi importants : ils prennent du temps, mais ils permettent d’avoir une vue d’ensemble sur la manière dont les données sont utilisées dans l'entreprise.
En parallèle de ce travail, nous avons également modifié la manière même dont nous concevons nos produits, afin de mieux prendre en compte les nouveautés du RGPD.
Prendre en compte le RGPD dans les nouveaux projets, en quoi ça consiste pour une entreprise ?
Cela signifie que nous intégrons ces problématiques et les nouvelles règles du RGPD en amont des nouveaux produits que nous concevons. C’est ce que l’on appelle le "Privacy by Design".
Prenons cet exemple : lorsque nous développons une nouvelle offre commerciale chez Captain Contrat.
Au moment où notre client va commencer à utiliser cette offre sur notre plateforme, nous allons lui poser un certain nombre de questions, afin d’obtenir les informations nécessaires pour générer le document juridique dont il a besoin (ou pour le mettre en relation avec un avocat qui pourra le conseiller).
Dans ce questionnaire, nous allons naturellement récolter plusieurs informations directement concernées par le RGPD. Pour être conforme, nous devons demander l’accord à l’internaute de collecter ces informations et lui expliquer pourquoi nous les récoltons.
Prendre en compte cette perspective en amont, directement dans la conception du produit, voilà ce qu'est le Privacy by Design.
C'est une notion très proche et complémentaire de celle du "Privacy by Default". Ce principe consiste, pour une entreprise, à disposer d’une logique de sécurité maximale dans le traitement des données personnelles de ses utilisateurs. Notamment en assurant par défaut, sur un site internet ou une application, la plus grande protection des données possible. Pour cela, elle mettra donc en œuvre le « Privacy by Design » qui lui permettra d’assurer la protection de la vie privée des utilisateurs dès la conception de nouvelles applications technologiques et commerciales.
***
Pour résumer : Cartographier notre utilisation de la donnée et Intégrer ces nouvelles problématiques dans nos produits sont les deux premières étapes que nous avons suivies. Et que nous recommandons à nos propres clients.
Comment nous préparons-nous à mieux accompagner nos clients sur ce sujet sensible ?
Tout d’abord, il a fallu s’informer. C’est loin d’être anodin. Il ne s’agit pas de simplement lire les textes ou de consulter quelques articles. S’informer sur la nouvelle législation, c’est aussi prendre le temps d’aller échanger avec des interlocuteurs venant d’horizons différents.
Par exemple, en organisant des tables rondes avec d’autres entrepreneurs, afin de comprendre les problématiques récurrentes, d’identifier des problématiques très spécifiques et de partager des expériences.
Il faut comprendre qu’aujourd’hui la situation du RGPD n’est pas figée sur le plan pratique. Certains points sont encore susceptibles de bouger et il est important de continuer à s’informer. C’est ce que nous faisons tous les jours.
Il y à quelques jours par exemple, nous avons accueilli dans nos bureaux un évènement organisé par la communauté de développeurs Paris RB. Nous avions prévu une présentation sur “L’impact du RGPD sur les développeurs web” suivi d’une session d’échanges : les développeurs ont posé des questions pertinentes et les discussions nous ont aidé à mieux comprendre leurs problématiques.
Nous organisons ce mois-ci une rencontre avec plusieurs avocats afin de finaliser une offre pertinente qui nous permettra d’accompagner nos clients sur ce sujet. Nombre de PME et de TPE ont un usage “modéré” de la donnée et ne peuvent pas se permettre d’investir des sommes démesurées sur ce sujet. Nous voulons créer une offre qui les protège efficacement mais qui reste accessible.
Nous préparons également un workshop dans nos bureaux auxquels seront invités nos clients intéressés par ce sujet : ils pourront venir écouter un avocat spécialisé dans le domaine et lui poser leurs questions.
Lors des ateliers organisés, tu as évoqué plusieurs outils : le PIA, les ressources fournies par la Cnil, etc. Quels outils conseillerais-tu à nos lecteurs ?
Comme nous le disions tout à l’heure, la première étape est de faire un état des lieux, afin d’évaluer la situation.
Le RGPD impose de tenir un registre qui va répertorier toutes les données collectées par l’entreprise et le traitement qui est fait de ces données :
- Pourquoi sont-elles collectées ?
- Combien de temps sont-elles conservées ?
- Etc.
La CNIL met justement à la disposition de tous un document excel, qui indique les informations à mentionner et contient même un exemple. Grâce à ce document, en cas de contrôle, vous serez en mesure de montrer votre bonne foi, sous un format approuvé par la CNIL.
Le deuxième outil est le PIA (Privacy Impact Assessment). En bon français : l'Évaluation des risques. Il s'agit de se poser la question :
“Considérant les données que nous collectons, quels sont les risques que les droits des utilisateurs soient violés ? (Fuite de données, collecte sans accord, etc.)”
Ce travail est important. Le RGPD ne prétend pas qu’il soit possible de supprimer tous les risques. Mais les entreprises ont le devoir de prendre en compte ces risques et de prévoir un plan d’action pour y faire face. L’idée est de pouvoir démontrer qu’on se conforme bien aux règles du RGPD (principe d’accountability).
Là aussi, la Cnil propose une ressource très utile : elle met à la disposition de tous un logiciel gratuit, que vous pouvez retrouver sur leur site. Celui-ci vous permettra d’analyser l’impact relatif à la protection des données et facilitera l’appropriation des guides PIA de la CNIL.
Tu disais précédemment que certains points sont encore flous ?
Le RGPD est un règlement européen, mais une loi française est actuellement en attente. Elle va permettre à la France de se positionner sur des points de droit que le RGPD laisse à la discrétion des Etats, tel que le DPO : le Délégué à la protection des données, un nouveau poste qui pourrait faire son apparition au sein des entreprises.
Nous attendons avant de pouvoir nous positionner sur ces points et nous continuons à nous informer.
Darty a justement fait l’actualité cette semaine sur un sujet similaire. Les deux sujets sont-ils connectés ?
Darty a été sanctionné il y à quelques jours par la CNIL pour “atteinte à la sécurité des données clients”.
Cette décision est importante pour deux raisons. La première, c’est que cette décision montre les limites de la loi actuelle : pour une entreprise de la taille de Darty, une sanction de 100 000 € est faible, si on la compare aux sanctions prévues par le RGPD qui peuvent se compter en pourcentage du chiffre d’affaires.
La deuxième raison est que cette décision fait écho à une règle du RGPD : la situation impliquait à la fois Darty (en tant que responsable du traitement des données) et un sous-traitant. La CNIL a considéré que Darty était responsable du fait de son sous-traitant, ce qu’impliquera par défaut le nouveau règlement dans des situations similaires.
Il faudra à l’avenir être très attentif à cette responsabilisation des acteurs : il appartiendra au responsable du traitement de prendre toutes les mesures pour garantir la conformité du traitement des données. Les obligations qui, jusque là, incombaient au sous-traitant se verront étendues au responsable de traitement. La responsabilité des deux acteurs pourraient donc être facilement engagées.
L’objectif derrière cette évolution est de permettre à une personne dont les droits ont été bafoués d’obtenir plus facilement réparation.
Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups
Qu’en est-il des petites entreprises ? Doivent-elles vraiment se soucier du RGPD ?
Il est certain que les grosses entreprises seront dans le viseur, en particulier celles qui seront suspectées de négligences avec les données ou de certains comportements comme la revente de données à l’insu des propriétaires de ces données.
La question reste la même pour une TPE / PME : à partir du moment où elle récolte de la donnée, elle se devra d’être à jour. Mais elle pourra peut-être compter sur plus de tolérance qu’une entreprise maniant des données sensibles (par exemple des données médicales).
Pour autant, il ne faut pas négliger le sujet. Nous sommes les premiers, en tant qu’individus, à nous dire “Je n’ai pas envie que les entreprises jouent avec mes données. Lorsque je demande à ce que des informations soient supprimées, je veux qu’elles soient définitivement effacées”.
Le RGPD, même s’il est contraignant, va être l’occasion pour nombre d’entreprises de faire le point sur leur gestion des données.
Si vous ne l'avez pas encore fait, commencez dès maintenant à vous y préparer.
Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous.