Face au rythme des sanctions qui s'accélère et aux montants en jeu qui s'accroissent, il est plus que temps que chaque entreprise soit parfaitement conforme au RGPD (Règlement Général européen pour la Protection des Données personnelles), deux ans après sa mise en application. Il serait également temps pour les entreprises de comprendre les atouts d'une saine application du RGPD, notamment dans la relation client. Or, l'étude CIO Quels leviers pour faire du RGPD une opportunité pour les entreprises ? a montré qu'il existe encore bien des faiblesses. Cette étude a été présentée lors de la Webconférence | RGPD, an II - Après la mise en conformité, place au rééquilibrage de la relation client diffusée le 28 Mai 2020. L'enregistrement intégral est disponible ici.
Cette webconférence a été réalisée en partenariat avec Netwrix, OneTrust, Sinequa et Talend. Elle a bénéficié du soutien de l'AFCDP, du CESIN et du CLUSIF. Elle a permis d'entendre les témoignages de Sarah Benguigui (DPO du Groupe Monoprix), Philippe Loudenot (FSSI des Ministère Sociaux et Administrateur du CESIN), Fabrice Mattatia (Délégué à la Protection des Données, Ministère de l'Intérieur) et Etienne Papin (Avocat Associé du Cabinet Next Avocats). Le Grand Témoin de la matinée a été Sophie Nerbonne, Directrice Chargée de la Co-Régulation Economique à la CNIL (Commission Nationale Informatique et Liberté). Son rôle est d'accompagner les entreprises et les organisations professionnelles dans la conformité au RGPD. En tant que Grand Témoin, elle est intervenue à plusieurs reprises au fil de la matinée pour commenter les interventions.
« Reprendre le contrôle des données clients pour une personnalisation responsable » a été présenté par Philippe Romano, Directeur Commercial France, Belgique, Luxembourg & Suisse de Talend.
« Au centre de la préoccupation de nombreuses entreprises à l'heure du RGPD, il y a les données clients » a d'abord pointé Philippe Romano, Directeur Commercial France, Belgique, Luxembourg & Suisse de Talend. Dans presque tous les pays européens, des amendes de dizaines de millions ont été prononcées pour non-conformités. Pire, c'est les doutes concernant le respect des données personnelles qui peuvent freiner la croissance d'entreprises telles que Zoom ou le déploiement d'applications telles que Stop-Covid. Philippe Romano a insisté : « l'économie numérique fonctionne sur la confiance. Si vos prospects ont des doutes sur votre respect de leurs données, vous n'aurez aucune chance de les convaincre de vous suivre. » Le sujet est tellement important que 50 000 DPO sont déjà en fonction en Europe et ce nombre grandira dans les années à venir.
Mais, parmi les difficultés de l'application du RGPD, il y a le traitement des demandes d'accès aux données personnelles. Selon Talend, 58 % des entreprises échouent à répondre aux requêtes dans les délais légaux et le délai moyen de réponse est de 16 jours pour un coût moyen de 1300 euros l'unité : c'est dire combien l'absence de process industrialisé en la matière est préjudiciable. Il est donc nécessaire de mettre en place un outil pour consolider les accès aux données personnelles et permettre leur communication.
Sarah Benguigui, DPO du Groupe Monoprix, a présenté son retour d'expérience : « Le marketing à l'heure du RGPD ».
Première à témoigner des approches de son entreprise, Sarah Benguigui, DPO du Groupe Monoprix, est revenu sur les choix opérés par cette enseigne de distribution, très urbaine dans son implantation. Naturalia et Sarenza font également partie de ce groupe. « Le DPO amène à faire parler entre eux des gens qui le font peu habituellement, comme des juristes et des informaticiens » a souligné Sarah Benguigui. Chez Monoprix, la DPO discute surtout avec le RSSI. Bien entendu, Monoprix gère des données RH, comme toute entreprise, mais gère surtout les données clients, notamment en lien avec le programme de fidélité.
Les achats des clients peuvent être rattachés nominativement si les clients sont dans le programme de fidélité et permettre ainsi de recevoir des coupons promotionnels personnalisés. Sarah Benguigui a stipulé : « il s'agit de rendre service au client, soit en lui suggérant un achat qu'il aurait oublié en lien avec un autre achat, soit pour lui faire découvrir quelque chose de nouveau. S'il a l'habitude d'acheter de la sauce tomate avec des pâtes, le pesto peut être aussi mis en avant. » Une fois les données anonymisées, elles sont aussi utilisées à des fins statistiques. « Dans ces cas là, l'identité de l'acheteur n'a aucun intérêt : il s'agit juste d'analyser des comportements d'achats et d'en tirer des conclusions pour l'achalandage des magasins en fonction, par exemple, de la météo » a expliqué Sarah Benguigui.
Questions posées durant la webconférence
Chez Monoprix, êtes vous DPO à temps plein ? Avez vous des collaborateurs ? Des relais au sein des directions ? Quelle est votre formation de base ?
Titulaire d'une Maîtrise Droit Commercial obtenue à l'Université Paris 1 Panthéon-Sorbonne et de formations complémentaires en finances, Sarah Benguigui est bien DPO à temps plein. Comme indiqué durant son interview, elle est le pivot d'une collaboration entre informatique et métiers.
Consentement ou droit d'opposition pour profiling? Est-ce que l'analyse de comportement d'achat est équivalente à faire du profiling et nécessite un consentement particulier ?
Les études comportementales s'effectuent ici sur une base statistique anonymisée qui sont ensuite appliquées selon des conditions précisées lors de l'adhésion au programme de fidélité. Dans son interview, Sarah Benguigui détaille ce point.
Plusieurs questions autour des TPE sous-traitantes ou fournisseurs de grands groupes. Chaque entreprise est responsable de sa propre conformité.
« Analyse de risque : un exercice clé pour les équipes de protection des données » a plaidé Victoria Gardin, Offering Manager France chez One Trust.
Le traitement des données personnelles implique un certain nombre de risques qu'il convient d'analyser. « L'analyse de risque est un exercice clé pour les équipes de protection des données » a plaidé Victoria Gardin, Offering Manager France chez One Trust. Elle est revenue, au cours de son intervention, sur les différentes étapes à suivre dans cette analyse de risques en termes de sécurité ou de protection des données personnelles. L'analyse peut bien sûr être motivée par des raisons réglementaires, de possibles cyber-attaques mais aussi, simplement, par les exigences des clients, sans oublier la confiance des employés et les attentes opérationnelles de la direction générale.
Il faut s'appuyer sur diverses normes en termes de sécurité ou de protection des données telles que ISO 27001, ISO 27005, Ebios, etc. Des outils tels que les SMSI (systèmes de management de la sécurité des systèmes d'information) peuvent être requis. Plus que le « privacy by design », il faut adopter le « security by design ». L'analyse de risques sur les données personnelles peut être obligatoire. « Il faut mettre en place une méthodologie de gestion des risques, documenter les niveaux de risques encourus en termes de gravité et de probabilité » a insisté Victoria Gardin.
Philippe Loudenot, FSSI des Ministères Sociaux et Administrateur du CESIN, a témoigné lors de son retour d'expérience sur « Légitimité et sécurité, les conditions pour obtenir les données ».
Parmi les données les plus sensibles et porteuses de risques, il y a bien sûr les données sociales et de santé. Pour en parler, le témoin suivant a été Philippe Loudenot, FSSI des Ministères Sociaux, par ailleurs administrateur du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique, aujourd'hui 500 membres, tous RSSI). Les « ministères sociaux » sont ceux en charge de la santé et de la solidarité, celui du travail et celui des sports. Comme tous les FSSI, Philippe Loudenot travaille évidemment au quotidien avec les DPO des ministères de son périmètre. Face à des données très sensible, il admet évidemment que « la première étape est de réaliser une analyse de risques. Que ce soit une analyse de risques selon les attentes du RGPD ou bien selon les exigences de cybersécurité, c'est la même ligne, seul change l'objectif : protéger la structure ou les citoyens ». Disponibilité, intégrité, confidentialité et traçabilité sont dans les deux cas les quatre axes d'analyse.
« Le RGPD a rappelé ce que disait la CNIL depuis 42 ans » a soupiré Philippe Loudenot. Cette réglementation a permis de renforcer la sensibilisation des personnels sur la cybersécurité, impliquant un changement de mentalité. Aujourd'hui, l'intégrité et la disponibilité, au-delà de la seule confidentialité, sont ainsi pleinement pris en compte par tous. Le FSSI est ainsi amené à accompagner les établissements affectés par une attaque de crypto-virus (ramsomware).
« Cinq choses à savoir pour pérenniser la sécurité de vos données dès aujourd'hui » a pointé Pierre-Louis Lussan, Directeur Europe du Sud-Ouest de Netwrix (en photo), en compagnie de Thomas Limpens, Ingénieur avant-vente Europe du Sud-Ouest de Netwrix.
En matière de risques, la crise sanitaire ayant entraîné une généralisation du télétravail a mis en avant les spécificités de cette pratique. « Les données constituent le point de mire des efforts de sécurité » a plaidé Thomas Limpens, Ingénieur avant-vente Europe du Sud-Ouest de Netwrix, alors même que les volumes de données explosent, notamment des données non-structurées. Cinq étapes sont à respecter : évaluer les risques (ce qui commence par un recensement et une purge des données stockées), hiérarchiser la sécurité des données sensibles, identifier les données sensibles sur-exposées, contrôler les droits d'accès (par exemple, supprimer des comptes obsolètes et des droits d'accès excessifs) et enfin réduire préventivement l'exposition aux risques. Les outils proposés par Netwrix permettent d'accompagner les entreprises dans ces étapes.
Ces outils permettent de tracer réellement les usages et de prendre les mesures appropriées. Pierre-Louis Lussan, Directeur Europe du Sud-Ouest de Netwrix, a souligné : « il faut savoir qui a véritablement accès à quoi, quand et où. » En matière de télétravail, garantir l'accès adéquat sera le gage de l'efficacité du collaborateur et ne pas aller au-delà du nécessaire, garantir la sécurité.D'autant que les terminaux de télétravailleurs doivent être considérés comme « zero trust ».
Grand Témoin de la webconférence, Sophie Nerbonne, Directrice Chargée de la Co-Régulation Economique à la CNIL, a expliqué les relations entre « Les entreprises et la CNIL à l'heure du RGPD ».
Le Grand Témoin de la webconférence a été Sophie Nerbonne, Directrice Chargée de la Co-Régulation Economique à la CNIL. Celle-ci a d'abord rappelé que l'obligation réglementaire ne se limitait pas à réaliser la sécurité et la confidentialité des données mais aussi à documenter ce qui a été réalisé. « Il faut démontrer le respect des obligations non seulement aux autorités de contrôle telle que la CNIL mais aussi à tous les partenaires, employés et clients » a observé Sophie Nerbonne. La conformité repose sur une chaîne de confiance. Pour elle, la crise sanitaire va accélérer des prises de conscience à cause de la généralisation du télétravail et ainsi de la numérisation du travail.
Pour aider à la conformité, la CNIL propose des outils et des méthodes. Sophie Nerbonne a reconnu : « c'est vrai que le RGPD est un texte compliqué qui pose de grands principes qu'il faut pouvoir décliner selon les situations ». Quatre axes sont à respecter pour mettre en conformité son SI : identifier les données dont on dispose, trier les données pour en garantir la pertinence et la légalité, assurer le respect des droits personnels et enfin garantir la sécurité. Les outils et méthodes s'organisent autour de ces quatre axes.
Questions posées durant la webconférence
Quel bénéfice peut tirer la conformité au RGPD d'un outil de référentiel ou de cartographie des systèmes d'informations ?
Disposer d'un recensement de tous les traitements est en lui-même une obligation du RGPD et c'est un préalable à une analyse des flux et des risques.
L'utilisation de ce type d'outil est-il à privilégier en collaboration avec un expert au sein de la direction des systèmes d'informations ?
L'analyse du système d'information suppose au minimum une collaboration avec la DSI.
« Chercher la donnée prend du temps... La trouver encore plus ! » a rappelé Adrien Gabeur, Directeur Cognitive Solutions chez Sinequa.
L'inventaire des données des donc une étape essentielle. Mais encore fait-il que cet inventaire soit exhaustif. Pour s'en assurer et faciliter la communication des données personnelles aux personnes concernées en faisant la demande, le recours à un moteur de recherche peut être utile. Sinequa permet ainsi d'analyser en profondeur le patrimoine de données, notamment de données non-structurées. « Selon une étude que nous avons mené, 44 % des entreprises n'ont pas de visibilité complète sur leurs données non-structurées et 41 % ont des difficultés à localiser les données personnelles » a ainsi relevé Adrien Gabeur, Directeur Cognitive Solutions chez Sinequa.
Trouver des données personnelles est souvent un process très manuel donc chronophage, coûteux et peu efficient. Une solution comme celle de Sinequa traite cette problématique en cinq étapes. D'abord, il s'agit de connecter l'outil aux données. Les contenus sont ensuite analysés au travers de technologies de type NLP (natural language processing). La détection avancée repose ensuite sur de l'apprentissage machine (machine learning). Les utilisateurs doivent alors visualiser les données sensibles remontées. Enfin, il faut être capable d'exporter les données vers des tiers (notamment les demandeurs).
Etienne Papin, avocat associé au Cabinet Next Avocats a fait un retour d'expérience sur la conformité RGPD et réglementations similaires telles que vues par les entreprises.
La conformité au RGPD ne devrait plus être une question, deux ans après la mise en application du texte. Or ce n'est pas le cas. « Il n'y a pas de statistiques précises sur le sujet mais, selon les entreprises, la situation est très contrastée, certaines s'étant rapidement mises en ordre de marche pour garantir cette conformité, d'autres non » a reconnu Etienne Papin, avocat associé au Cabinet Next Avocats. La taille de l'entreprise n'est pas un discriminant sur le sérieux de la mise en conformité selon Etienne Papin.
Le pire est peut-être que, comme le souligne Etienne Papin, « les problématiques restent aujourd'hui les mêmes qu'au premier jour, à commencer par comprendre cette réglementation. » Nommer un DPO, c'est bien, mais ce n'est qu'un début. Et encore faut-il que le DPO soit suffisamment formé. Beaucoup d'entreprises ont découvert des principes juridiques qui, en France, existent depuis 1978... Le premier outil est bien entendu le recensement des traitements de données. « C'est incroyable le nombre de processus métiers qui continuent de reposer sur des échanges de fichiers Excel par mails, ce qui est une horreur en termes de conformité » a dénoncé Etienne Papin.
Fabrice Mattatia, Délégué à la Protection des Données au Ministère de l'Intérieur, a détaillé au cours de son retour d'expérience la mise en place d'une « Culture de la donnée en milieu très sensible ».
Dernier témoin de la matinée, Fabrice Mattatia, Délégué à la Protection des Données au Ministère de l'Intérieur, est aussi l'auteur d'un ouvrage paru chez Eyrolles, « RGPD et droit des données personnelles ». Cet ouvrage fait un point juridique au-delà du seul RGPD : « on oublie trop souvent toute une série de textes satellites, notamment sectoriels » comme l'a indiqué l'auteur qui a essayé d'expliquer les textes de façon pragmatique.
Le Ministère de l'Intérieur traite de grandes quantités de données sensibles sur les individus et, surtout, soumises à peu près à tous les textes possibles sur les données personnelles, y compris des clauses spécifiques du RGPD. Mais Fabrice Mattatia a également relevé : « des acteurs privés (Facebook, Google...) ont finalement beaucoup plus d'informations que nous, par exemple à quelle heure où vous vous levez, quels sites vous visitez, etc. » Mais les données y sont par contre très sensibles. Fabrice Mattatia a ainsi explicité les méthodes et approches pour développer la culture de la donnée personnelle dans cette grande maison, besoin qui date d'avant 1978.
Commentaire