Conformité RGPD : les bonnes pratiques à appliquer en entreprise

Jérôme de Mercey, cofondateur et COO de Dastra

Jérôme de Mercey a cofondé Dastra avec pour objectif de rendre opérationnelle la protection des données personnelles. Juriste de formation, il a travaillé pendant 6 ans à la CNIL dans la direction du contentieux et constaté l’absence de prise en main du sujet dans les organisations. Responsable de la relation clients chez Dastra, il accompagne les nouveaux utilisateurs sur la plateforme pour les aider à maîtriser la gestion des données personnelles.

En quoi la conformité RGPD est-elle devenue un enjeu majeur aujourd’hui pour les entreprises ?

Protéger les données personnelles, c’est avoir une bonne hygiène informatique. La multiplication des outils et services dans les organisations engendre une explosion d’utilisation de données, dont beaucoup ont un caractère personnel. Les entreprises doivent pouvoir les gérer de manière correcte et efficace pour maintenir leur activité à flot. En effet, de nombreux risques pèsent sur les organisations, qu’il soit financier via une amende ou un blocage de l’activité par l’absence de sécurisation des données, ou de réputation via le « name and shame« .

La protection des données personnelles s’inscrit aujourd’hui dans un cadre large d’éthique, de RSE et de cybersécurité. Il ne s’agit plus d’une obligation isolée. Cette réglementation marque également une nouvelle approche dans la régulation et demande aux organisations de prouver qu’elles sont conformes (accountability) sans attendre l’intervention du régulateur. Il y a donc une grande documentation à mettre en place.

Quels services ou départements sont les plus impactés au sein des organisations ?

Le département commercial / marketing va se retrouver en première ligne par l’activité de prospection commerciale, qui peut générer de nombreuses plaintes auprès de prospects toujours plus alertes sur l’utilisation des données. Le service RH est historiquement très impacté car les données traitées sont très sensibles et souvent sollicitées dans le cadre de contentieux avec les employés.

Selon vous, quelles sont les principales bonnes pratiques à suivre pour être en conformité RGPD ? Avez-vous des exemples concrets ?

Il est important de mettre des moyens sur le sujet et de l’inclure dans la stratégie globale de l’entreprise. Cela passe par une gouvernance interne, de la communication, des outils métiers de gestion des données personnelles, comme nous le proposons chez Dastra, et une infusion de bonnes pratiques dans les activités de l’entreprise. C’est pourquoi l’implication des métiers est essentielle.

Par exemple, les directions des achats doivent prendre en compte les critères de respect du RGPD dans l’acquisition d’outils ou de services, et ainsi collaborer avec les « sachants » (service juridique, DPO, Privacy leader etc.). Dans chaque service, il est nécessaire de se poser des questions qui relèvent le plus souvent du bon sens : en quoi ces données me sont utiles ? Combien de temps vais-je les conserver ? Qui y a accès ? Est-ce que je sais comment mon service fonctionne ?

La plupart du temps, il s’agit surtout de connaître son environnement et de se demander : est-ce que ce ne serait pas l’occasion d’optimiser, de faire un peu de ménage ?

Comment mettre en place une bonne gestion des cookies sur un site ? Quelles sont vos recommandations en la matière ?

Les cookies sont un sujet qui est malgré tout complexe car cela ne s’arrête pas aux simples cookies. Il faut aussi voir tout ce qui transite à travers le réseau et pouvoir comprendre pour chaque requête l’utilité et les destinataires. Il faut donc solliciter les « sachants » : les équipes de développement du site Internet et les challenger sur ce qui est déposé, lu et requêté en navigant sur le site web. Vous devez ensuite traduire ces comportements et les qualifier au regard de la réglementation, mettre en place une bannière cookies et solliciter le consentement des internautes si c’est justifié. Le plus simple reste de passer par un outil spécialisé ou de se faire conseiller pour la mise en œuvre de cette bannière. Vous pouvez aussi aller lire les lignes directrices de la CNIL sur le sujet qui sont très explicites.

La CNIL clarifie la situation sur les cookie walls

Quels types d’outils peuvent aider les entreprises à s’assurer qu’elles sont en conformité avec le RGPD ?

Il existe de nombreux outils pour assurer une conformité au RGPD. Certains d’entre eux sont spécialisés dans une technologie de renforcement de la vie privée (privacy enhancement technology), qui permet de répondre directement à des obligations du RGPD. Par exemple, un outil d’anonymisation des données, de purge automatisée des données etc. Pour organiser la conformité RGPD et permettre la mise en place de toutes les actions, des outils comme Dastra permettent de décliner la gouvernance interne et piloter l’ensemble des processus internes.

Le RGPD impose de tenir des registres concernant les données. Les outils de gouvernance des données permettent de mettre en place le registre des traitements, le registre des incidents de sécurité, le suivi des demandes d’exercice des droits, le suivi des actions de conformité, de gestion des risques. Chez Dastra, nous proposons également le suivi de la conformité à travers une fonctionnalité d’audits permettant de piloter dans le temps la conformité. La conformité au RGPD est un processus continu et celui-ci doit être documenté afin de répondre à l’obligation d’accountability.

Quels sont les risques encourus par les entreprises qui ne respecteraient pas les exigences de la CNIL ?

Le risque d’une sanction tout simplement. La coopération avec l’autorité de contrôle est une obligation inscrite dans le RGPD. La mauvaise foi est un critère d’aggravation de la réponse administrative, qui peut aller jusqu’à la sanction financière à hauteur de 4 % de chiffre d’affaires mondial, ou 20 millions d’euros dans la limite du montant le plus élevé. On constate que le nombre de sanctions est en constante augmentation et que les montants financiers s’élèvent. Aujourd’hui, la CNIL n’est plus seule à décider du montant d’une sanction, les autres autorités européennes ont leur mot à dire et peuvent demander un montant plus élevé que celui proposé par la CNIL. C’est arrivé récemment avec le groupe ACCOR. La CNIL proposait 100 000 euros d’amende, mais le mécanisme européen a permis de relever la sanction à 600 000 euros.

Il faut savoir que les moyens de la CNIL augmentent ainsi que sa réponse contentieuse. Elle a adressé plusieurs centaines de mises en demeure sur les cookies l’année dernière. Elle continue cette année sur la sécurisation des sites Internet. De plus, elle dispose d’un nouveau pouvoir, de prononcer des amendes d’un montant maximum de 20 000 euros dans une procédure simplifiée, notamment pour fluidifier la réponse administrative au regard des milliers de plaintes qu’elle reçoit.

Dans le cadre du festival Nantes Digital Week, vous coanimerez la conférence « RGPD, évaluer sa conformité et bien se préparer ». Pouvez-vous nous en dire quelques mots ?

Notre conférence aura pour objet de revenir sur les bonnes pratiques à adopter pour se conformer au RGPD. Nous avons, avec Matthieu Camus de Privacy Impact, travaillé ensemble à la CNIL avant de collaborer sur de nombreux dossiers de mise en conformité auprès de clients. Le RGPD a passé ses 4 ans maintenant, et nous souhaitons revenir sur l’état des lieux de la conformité pour appuyer le fait que rien n’est jamais acquis sur ce sujet et que, pour répondre complètement aux obligations, il faut se préparer à recevoir un contrôle de la CNIL. C’est dans cet esprit que nous allons animer cet atelier. Comment savoir où on en est et est-on prêt en cas de contrôle ? L’objectif est pédagogique mais aussi centré autour du partage d’expériences. Cet atelier sera dynamique et collaboratif.