Se préparer au RGPD avec Loyalty Company

En tant qu’entreprise, il est difficile de passer à côté de cette nouvelle législation qui cadre les droits des individus européens et entre en vigueur dès le 25 mai 2018. Ce grand chantier suscite beaucoup de questions et reste un concept flou pour un certain nombre de sociétés. Nous nous sommes entretenus avec l’équipe de Loyalty Company, agence de marketing client et spécialiste de la data, pour qui le RGPD est une priorité. Découvrez ce qu’il faut savoir sur le Règlement Général sur la Protection des Données : que comprendre et comment s’y prendre ?

 

Pouvez-vous nous présenter Loyalty Company en quelques mots ?

 

Douania Issaa, Responsable Communication & Marketing

Loyalty Company est un groupe de marketing client et communication qui existe depuis 2004, dont le siège social est basé à Lyon. Nous proposons aux annonceurs un éco système d’agences intégrées qui permet de les accompagner sur toute leur stratégie et dispositif marketing client et communication. Il y a trois agences :

  • Kiss The Bride : l’agence du marketing client. Elle conjugue nativement des expertises data, créa et digital pour justement accompagner les marques sur toute la chaîne de valeur client.
  • Muse : l’agence spécialisée dans l’animation et la récompense des acteurs de la vente.
  • Golden Eyes : qui est une récente acquisition, basée à Lille. Cette agence s’occupe aussi du parcours client, mais dans le domaine du retail. Ce sont des solutions CRM et marketing destinées aux retailers et franchisés pour attirer et fidéliser leurs clients.

Aujourd’hui, nous sommes plus de 200 collaborateurs et le CA du groupe 2017 s’élève à 36 millions €.

loyalty company 1ère position rgpd

 

Beaucoup d’entreprises semblent perdues et ne comprennent pas forcément toutes les subtilités du RGPD. Quelles sont les grandes mesures à retenir pour les professionnels ?

 

Fabrice Fourel, DSI

Il faut premièrement contextualiser le RGPD. Effectivement, il y a des mesures à prendre parce que c’est une loi et une obligation, aucune entreprise ne peut se dispenser de s’y intéresser un minimum. Avant toute chose, l’idée est de responsabiliser les entreprises. La loi améliore le droit des personnes et les entreprises doivent assurer le respect de ces droits. C’est le grand objectif.

Denis Levy-Rossi, Security Officer

C’est vrai que d’un côté, il y a une simplification de certaines modalités et démarches, notamment la suppression de la déclaration préalable à la CNIL. Mais d’un autre côté, l’entreprise est plus responsabilisée en ce qui concerne la gestion des données et doit  s’assurer que la réglementation est bien appliquée à chaque étape : de la collecte jusqu’à la suppression. Elle doit pouvoir démontrer qu’elle assure la sécurité de ces données durant tout ce processus. Une réelle politique de protection des données à caractère personnel doit être mise en place. C’est la philosophie principale de ce nouveau règlement.

Certaines entreprises reconnues ont été pénalisées et cela fait beaucoup de bruit. On se rend compte qu’une entreprise ne peut plus reporter sa responsabilité sur les sous-traitants.

Fabrice Fourel, DSI

Il y a toujours eu un flou juridique, qui ne permettait pas de connaître le responsable du traitement et celui qui était responsable vis-à-vis de la loi. Grâce au RGPD tout sera formalisé

Pour les entreprises, c’est aussi une façon de mieux se connaître. On citera comme mesures : nommer un data protection officer, cartographier les traitements des données, entre autres.

Beaucoup d’entreprises n’ont pas une conscience exhaustive de ce qu’elles font. Avec cette réglementation, chaque entreprise remet tout à plat et pour chaque traitement on définit qui sont les responsables de traitement, quelles sont les informations et ce que l’on en fait. Combien de temps comptons-nous les garder, qui a les accès, par exemple.

Aujourd’hui, une petite entreprise saura facilement cartographier, mais j’ai rencontré des responsables de plus grandes entreprises qui n’ont aucune idée de ce qui se passe dans tous les services. Vous pouvez avoir un fichier clients Excel qui se balade de service en service sans aucune maîtrise…

Denis Levy-Rossi, Security Officer

Il est vraiment question de remettre l’individu, la personne, au cœur du sujet. L’entreprise aujourd’hui doit vraiment se poser la question : je possède des données, mais celles-ci représentent des personnes et je dois les respecter. Il y a également de nouvelles règles comme la portabilité des données. Les entreprises vont devoir réfléchir à la manière de pouvoir extraire et transmettre les données aux individus et à la manière d’industrialiser ce processus.

 

L’adoption par l’Union Européenne du RGPD va changer la manière de collecter et de traiter les données personnelles. Pensez-vous que les entreprises sont prêtes ou qu’elles ont encore du travail pour se mettre en conformité avec le RGPD ?

 

Denis Levy-Rossi, Security Officer

Ce nouveau cadre suscite encore beaucoup de questions, c’est le retour que l’on a de nos clients par exemple. Le changement est important et prendra du temps, puisque les entreprises vont devoir adapter leurs méthodes de travail.

L’objectif du RGPD c’est de basculer d’un cadre où l’utilisateur a peu de maîtrise sur ses données à un cadre où la protection des données est complètement intégrée par défaut à la conception des applications. Dès le départ, il faudra s’interroger sur les principes de la réglementation, en mettant “la personne” au cœur du sujet.

Fabrice Fourel, DSI

Pour donner mon avis, je pense qu’elles ne seront pas prêtes dans leur très grande majorité pour fin mai 2018. Beaucoup d’entreprises prennent ce règlement européen sous l’angle technique et informatique, c’est l’une des raisons qui expliquent cette difficulté. On a tendance à penser que c’est l’informatique qui va s’en occuper. Alors qu’en réalité il s’agit aussi de changer ses manières de faire certains processus, voire la culture de l’entreprise. Il y a des entreprises où l’on s’échange allègrement des informations. Aussi, un changement culturel ou de processus est toujours plus long qu’un changement technique et technologique.

Néanmoins, nous ne sommes pas face à un ultimatum. Fin mai, il faudra démontrer que l’entreprise se connaît bien, qu’elle a effectué son diagnostic et la cartographie de ses traitements. Mais aussi, qu’elle a défini une feuille de route, un plan d’action clair. Dans le cas contraire, cela signifie qu’elle n’est pas consciente des enjeux.

reglement-europeen-protection-donnees-rgpd

Concrètement, quelle méthodologie les entreprises doivent-elles suivre pour être en conformité ? Faut-il obligatoirement passer par un prestataire externe ?

 

Fabrice Fourel, DSI

Les étapes de méthodologies sont bien décrites et formalisées sur le site de la CNIL.

Après c’est une question d’équilibre avec des avantages et des inconvénients. Nous concernant, nous faisons appel à un prestataire externe pour nous accompagner. Cela présente l’avantage d’un apport de compétence juridique, technique, mais aussi un recul sur notre activité. Effectivement, le risque c’est d’avoir des limites lors de son autocritique ou de faire des arrangements dans notre intérêt ou pour faciliter le changement. Un intervenant extérieur, c’est comme un audit, la conclusion est objective : “vous ne pouvez pas” ou “vous n’avez plus le droit de faire cela”. Ici, il s’agit de savoir mieux travailler et pas seulement d’appliquer un droit, en l’occurrence.

Il faut aussi responsabiliser et sensibiliser les personnes en interne et nommer des interlocuteurs privilégiés, qui suivront cette démarche. Nous travaillons aussi dans ce sens en menant des interviews en interne au sujet des activités de chacun.

Denis Levy-Rossi, Security Officer

Clairement, la première étape est de cartographier les traitements, car il s’agit de savoir où se trouvent les données et ce qu’on en fait précisément. À partir de là, c’est assez simple finalement. Une fois les traitements déterminés, il suffira de faire une analyse d’impact de ces traitements, et de s’assurer de la sécurité. Puis, il faudra se poser la question : “Ai-je bien tous les consentements pour tous les traitements qui sont mis en place ? »

Il n’y a pas forcément une multitude de changements à apporter, les techniques de collecte resteront les mêmes par exemple.

Il y a seulement une certaine rigueur à respecter par exemple :

  • La finalité de la récolte
  • La minimisation des données (ne récupérer que les données que l’on va utiliser)

Il faut désormais se poser les bonnes questions : De quelles données ai-je réellement besoin ? Quel traitement pour quelle finalité ? Si je demande une adresse postale, c’est que je compte envoyer un courrier sinon je n’en ai pas besoin. Les informations doivent être justifiées. C’est pour cela que les traitements doivent être déterminés dès le départ.

 

Quel profil pour la personne responsable en interne et interlocuteur privilégié au sein de l’entreprise ?

 

Fabrice Fourel, DSI

Souvent, il y a un problème d’amalgame, on pense que le Data Protection Officer va être responsable de tout. Tout le monde se dédouane, alors qu’on est tous responsables.

Par exemple, dans toute entreprise, il y a le fichier des employés. Qui est responsable ? Les RH ou la comptabilité, dans ce cas. Il faut donc aussi sensibiliser et responsabiliser ces personnes.

Pour répondre à votre question, c’est Denis, qui prend le rôle de Data Protection Officer , mais on a décidé d’incorporer ce rôle au sein d’un comité de sécurité plus large traitant des sujets de sécurité de l’information. Ce thème de sécurité des données à caractère personnel s’intègre déjà dans tous les sujets de sécurité que l’on peut avoir dans notre entreprise.

Denis Levy-Rossi, Security Officer

Le Poste de Security Officer a été mis en place récemment dans l’entreprise notamment pour répondre à ce besoin du nouveau rôle du DPO (Data Protection Officer) avec la mise en place du RGPD. Même si mes missions vont au-delà de celles du DPO, puisque j’aurais en charge la gouvernance de l’ensemble de la sécurité de l’information sur le groupe Loyalty Company. Concernant le rôle du DPO mes missions principales sont :

  • Accompagnement et sensibilisation des collaborateurs, ce qui va faciliter et rendre possible la mise en oeuvre du RGPD.
  • Être l’interlocuteur de référence auprès des autorités comme la CNIL.

Cela fait 10 ans que je suis dans la société,  je suis arrivé pour mettre en œuvre les technologies de personnalisation des médias print et email puis j’ai bénéficié d’une évolution sur les métiers digitaux de l’agence. Finalement, les compétences sont équivalentes. Que ce soit la formalisation ou la documentation des processus et méthodes, je vais simplement devoir les appliquer dans un autre domaine, celui de la sécurité de l’information.

Je n’ai pas une formation juridique de base donc il y a beaucoup de choses à assimiler, mais le but n’est pas non plus de devenir un expert en la matière. Nous ne projetons pas de proposer un service ou un conseil concernant la mise en place du RGDP dans les entreprises clientes. Mais nous les accompagnons à ce sujet dans le développement des applications dans le cadre de nos projets communs.

 

Est-il possible de tirer un avantage de cette nouvelle législation notamment dans la relation client ?

 

Fabrice Fourel, DSI

J’en suis persuadé. Un annonceur, qui vous demande des informations devra vous expliquer la finalité de ces informations. Ça ne fait que renforcer le sentiment et la relation de confiance que vous pouvez entretenir. Si nous sommes plus en confiance à l’avenir en tant qu’utilisateurs, nous serons certainement plus aptes à partager nos informations, à partir du moment où les choses sont claires. Cette loi va permettre de réguler, de corriger les abus. Pour les plus vertueux, cela constitue un énorme avantage relationnel et donc un avantage pour le business qui en découle.

Denis Levy-Rossi, Security Officer

Concernant notre entreprise et ses clients, les responsabilités vont aussi être clairement définies dès le départ. On va pouvoir démontrer à nos clients que nous sommes conformes et que l’on maîtrise la sécurité de nos données. Cette clarification permettra aussi de gagner en confiance dans la relation que nous entretenons avec nos clients.

 

Et pour les entreprises en B2B ?

 

Fabrice Fourel, DSI

Nous travaillons, entre autres, avec des artisans et ici la limite est confuse. Par exemple, leur adresse personnelle est aussi leur adresse professionnelle. De toutes les manières, au sein du B2B on aura aussi des données à caractère personnel et on ne pourra pas faire la distinction.

Denis Levy-Rossi, Security Officer

Les données indirectes aussi peuvent être concernées à partir du moment où l’on peut remonter à un individu. Par exemple, l’adresse IP mais aussi les résultats de traitements qu’on peut produire.

 

En tant que citoyen, puis en tant que professionnel, que pensez-vous de la mise en place d’une telle législation à l’échelle européenne ?

 

Fabrice Fourel, DSI

En tant que citoyen, je suis assez content que ce soit régulé. Après il y a certains degrés, pour être honnête, mon adresse email je m’en soucie peu alors que je ne veux pas que mon dossier patient soit entre les mains de n’importe qui. Je pense aux données qui sont déclarées comme sensibles : votre religion, votre orientation sexuelle, votre état de santé, par exemple.

Denis Levy-Rossi, Security Officer

C’est intéressant comme question, car j’avoue que lorsque je cherche à déterminer l’application opérationnelle du règlement, je me positionne toujours en tant que citoyen. Je me demande comment j’aimerais que l’on prenne en compte mes droits. Car il est vrai que c’est effrayant de se rendre compte que l’on a plus la maîtrise de ses données. Ce qui est important aussi c’est l’uniformisation européenne qui simplifie beaucoup les choses. Cela permet de faire valoir ses droits en tant qu’Européen et ce même avec des entreprises qui ne le sont pas.

 

Découvrez l’infographie de Kiss The Bride sur le Règlement Général sur la Protection des Données (RGPD).

Infographie sur le RGPD - règlement général sur la protection des données de Loyalty Company

Commentaires

    Laisser un commentaire

    XHTML: Vous pouvez utiliser ces tags : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    En tête de liste sinon rien
    Take the lead!
    Référencement payant : visez la première page Google
    Comment être
    en 1ère page de Google en 2019 ?
    Le Livre Blanc
    des 20 ans de 1ère Position
    Quel budget
    pour une meilleure position sur Google ?
    Réponse rapide et prestation sur-mesure.

    Partagez vos objectifs
    de vente ou marketing
    avec nos consultants en référencement et stratégie digitale

    Être recontacté !

    Selon votre besoin, consultez directement notre équipe d’experts

    Vous souhaitez

    Connaître nos offresNous proposer vos services

    Vous êtes

    Une grande entrepriseUn grand compteUn artisanUne TPEUne PME

    Votre besoin

    Référencement Naturel SEORéférencement Payant SEAAuditRéseaux SociauxRédaction de contenuFormation

    Votre projet

    J’accepte les conditions | Lire

    Une agence certifiée

    Nous contacter