Se préparer au RGPD avec Loyalty Company

En tant qu’entreprise, il est difficile de passer à côté de cette nouvelle législation qui cadre les droits des individus européens et entre en vigueur dès le 25 mai 2018. Ce grand chantier suscite beaucoup de questions et reste un concept flou pour un certain nombre de sociétés. Nous nous sommes entretenus avec l’équipe de Loyalty Company, agence de marketing client et spécialiste de la data, pour qui le RGPD est une priorité. Découvrez ce qu’il faut savoir sur le Règlement Général sur la Protection des Données : que comprendre et comment s’y prendre ?

 

Pouvez-vous nous présenter Loyalty Company en quelques mots ?

 

Douania Issaa, Responsable Communication & Marketing

Loyalty Company est un groupe de marketing client et communication qui existe depuis 2004, dont le siège social est basé à Lyon. Nous proposons aux annonceurs un éco système d’agences intégrées qui permet de les accompagner sur toute leur stratégie et dispositif marketing client et communication. Il y a trois agences :

  • Kiss The Bride : l’agence du marketing client. Elle conjugue nativement des expertises data, créa et digital pour justement accompagner les marques sur toute la chaîne de valeur client.
  • Muse : l’agence spécialisée dans l’animation et la récompense des acteurs de la vente.
  • Golden Eyes : qui est une récente acquisition, basée à Lille. Cette agence s’occupe aussi du parcours client, mais dans le domaine du retail. Ce sont des solutions CRM et marketing destinées aux retailers et franchisés pour attirer et fidéliser leurs clients.

Aujourd’hui, nous sommes plus de 200 collaborateurs et le CA du groupe 2017 s’élève à 36 millions €.

loyalty company 1ère position rgpd

 

Beaucoup d’entreprises semblent perdues et ne comprennent pas forcément toutes les subtilités du RGPD. Quelles sont les grandes mesures à retenir pour les professionnels ?

 

Fabrice Fourel, DSI

Il faut premièrement contextualiser le RGPD. Effectivement, il y a des mesures à prendre parce que c’est une loi et une obligation, aucune entreprise ne peut se dispenser de s’y intéresser un minimum. Avant toute chose, l’idée est de responsabiliser les entreprises. La loi améliore le droit des personnes et les entreprises doivent assurer le respect de ces droits. C’est le grand objectif.

 

Denis Levy-Rossi, Security Officer

C’est vrai que d’un côté, il y a une simplification de certaines modalités et démarches, notamment la suppression de la déclaration préalable à la CNIL. Mais d’un autre côté, l’entreprise est plus responsabilisée en ce qui concerne la gestion des données et doit  s’assurer que la réglementation est bien appliquée à chaque étape : de la collecte jusqu’à la suppression. Elle doit pouvoir démontrer qu’elle assure la sécurité de ces données durant tout ce processus. Une réelle politique de protection des données à caractère personnel doit être mise en place. C’est la philosophie principale de ce nouveau règlement.

Certaines entreprises reconnues ont été pénalisées et cela fait beaucoup de bruit. On se rend compte qu’une entreprise ne peut plus reporter sa responsabilité sur les sous-traitants.

 

Fabrice Fourel, DSI

Il y a toujours eu un flou juridique, qui ne permettait pas de connaître le responsable du traitement et celui qui était responsable vis-à-vis de la loi. Grâce au RGPD tout sera formalisé

Pour les entreprises, c’est aussi une façon de mieux se connaître. On citera comme mesures : nommer un data protection officer, cartographier les traitements des données, entre autres.

Beaucoup d’entreprises n’ont pas une conscience exhaustive de ce qu’elles font. Avec cette réglementation, chaque entreprise remet tout à plat et pour chaque traitement on définit qui sont les responsables de traitement, quelles sont les informations et ce que l’on en fait. Combien de temps comptons-nous les garder, qui a les accès, par exemple.

Aujourd’hui, une petite entreprise saura facilement cartographier, mais j’ai rencontré des responsables de plus grandes entreprises qui n’ont aucune idée de ce qui se passe dans tous les services. Vous pouvez avoir un fichier clients Excel qui se balade de service en service sans aucune maîtrise…

 

Denis Levy-Rossi, Security Officer

Il est vraiment question de remettre l’individu, la personne, au cœur du sujet. L’entreprise aujourd’hui doit vraiment se poser la question : je possède des données, mais celles-ci représentent des personnes et je dois les respecter. Il y a également de nouvelles règles comme la portabilité des données. Les entreprises vont devoir réfléchir à la manière de pouvoir extraire et transmettre les données aux individus et à la manière d’industrialiser ce processus.

 

L’adoption par l’Union Européenne du RGPD va changer la manière de collecter et de traiter les données personnelles. Pensez-vous que les entreprises sont prêtes ou qu’elles ont encore du travail pour se mettre en conformité avec le RGPD ?

 

Denis Levy-Rossi, Security Officer

Ce nouveau cadre suscite encore beaucoup de questions, c’est le retour que l’on a de nos clients par exemple. Le changement est important et prendra du temps, puisque les entreprises vont devoir adapter leurs méthodes de travail.

L’objectif du RGPD c’est de basculer d’un cadre où l’utilisateur a peu de maîtrise sur ses données à un cadre où la protection des données est complètement intégrée par défaut à la conception des applications. Dès le départ, il faudra s’interroger sur les principes de la réglementation, en mettant “la personne” au cœur du sujet.

 

Fabrice Fourel, DSI

Pour donner mon avis, je pense qu’elles ne seront pas prêtes dans leur très grande majorité pour fin mai 2018. Beaucoup d’entreprises prennent ce règlement européen sous l’angle technique et informatique, c’est l’une des raisons qui expliquent cette difficulté. On a tendance à penser que c’est l’informatique qui va s’en occuper. Alors qu’en réalité il s’agit aussi de changer ses manières de faire certains processus, voire la culture de l’entreprise. Il y a des entreprises où l’on s’échange allègrement des informations. Aussi, un changement culturel ou de processus est toujours plus long qu’un changement technique et technologique.

Néanmoins, nous ne sommes pas face à un ultimatum. Fin mai, il faudra démontrer que l’entreprise se connaît bien, qu’elle a effectué son diagnostic et la cartographie de ses traitements. Mais aussi, qu’elle a défini une feuille de route, un plan d’action clair. Dans le cas contraire, cela signifie qu’elle n’est pas consciente des enjeux.

reglement-europeen-protection-donnees-rgpd

Concrètement, quelle méthodologie les entreprises doivent-elles suivre pour être en conformité ? Faut-il obligatoirement passer par un prestataire externe ?

 

Fabrice Fourel, DSI

Les étapes de méthodologies sont bien décrites et formalisées sur le site de la CNIL.

Après c’est une question d’équilibre avec des avantages et des inconvénients. Nous concernant, nous faisons appel à un prestataire externe pour nous accompagner. Cela présente l’avantage d’un apport de compétence juridique, technique, mais aussi un recul sur notre activité. Effectivement, le risque c’est d’avoir des limites lors de son autocritique ou de faire des arrangements dans notre intérêt ou pour faciliter le changement. Un intervenant extérieur, c’est comme un audit, la conclusion est objective : “vous ne pouvez pas” ou “vous n’avez plus le droit de faire cela”. Ici, il s’agit de savoir mieux travailler et pas seulement d’appliquer un droit, en l’occurrence.

Il faut aussi responsabiliser et sensibiliser les personnes en interne et nommer des interlocuteurs privilégiés, qui suivront cette démarche. Nous travaillons aussi dans ce sens en menant des interviews en interne au sujet des activités de chacun.

 

Denis Levy-Rossi, Security Officer

Clairement, la première étape est de cartographier les traitements, car il s’agit de savoir où se trouvent les données et ce qu’on en fait précisément. À partir de là, c’est assez simple finalement. Une fois les traitements