La mise en conformité RGPD : un enjeu commercial pour les entreprises
Vincent intervient pour le compte d’AISI sur les sujets d’audit et de conformité RGPD. Voici à travers ces quelques lignes son éclairage sur ce sujet d’actualité.
Vincent, vous agissez auprès des équipes AISI et aidez les entreprises à se mettre en conformité aux nouvelles normes RGPD. Quelles sont vos missions ?
Ma mission consiste à accompagner les entreprises dans l’application des recommandations de la CNIL et plus largement dans la protection des données.
Pour rappel, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis le 25 Mai 2018 et toutes les entreprises disposant de données personnelles doivent s’y conformer.
Pour quelles tailles / types de structures intervenez-vous habituellement ?
J’interviens auprès de tous types de structures, de la petite PME au grand Groupe. Pour n’en citer qu’un, j’accompagne les équipes de SFR Distribution dans leur mise en conformité. Dans un tout autre domaine, notre équipe travaille avec l’EPF (enseignement supérieur), Soflog en logistique. Des PME innovantes comme Unowhy ou Visiodent (conception et commercialisation d’imageries et de radiologies numériques pour les chirurgiens-dentistes) font également appellent à nos services.
Pour quelle raison vous contactent-ils ?
Il y a deux types de demandes :
- les sociétés qui nous contactent dans un schéma de sous-traitance, afin de répondre aux demandes des clients ou de grands groupes d’être en conformité RGPD, ce point est devenu une exigence notamment dans le cadre d’appels d’offre,
- les grands groupes pour des raisons de conformité et d’image de marque.
En outre concernant l’industrie B2C plus particulièrement, les attentions portées au respect de la protection de la donnée personnelle est un argument de vente pour séduire les consommateurs. C’est devenu un enjeu commercial.
Pourriez-vous nous décrire le déroulement d’une prestation type ?
Les prestations démarrent le plus souvent par un audit (de 6 à 10 jours), effectué via des entretiens et une revue documentaire ainsi que l’analyse des sites webs et applications utilisées pour évaluer le degré de conformité de la société. Ensuite, nous établissons les contre-mesures (par exemple : manquement des informations obligatoires dans les pages dédiées à la politique de confidentialité et aux cookies sur un site internet). Ensuite, le client peut s’orienter s’il le souhaite vers un accompagnement partiel par chantiers ou un accompagnement global.
Il est important de préciser qu’il n’existe pas à date de certification officielle ou d’attestation justifiant de la mise en conformité. A titre d’engagement et en cas de contrôle, l’entreprise doit présenter une liste des documents demandées par la CNIL et servant à « documenter sa conformité ».
En cas d’accompagnement partiel ou nul, quel profil côté entreprise doit gérer ce sujet à votre avis ?
La CNIL fournit des outils qui permettent aux petites structures de pouvoir faire sans l’accompagnement d’un expert. Cependant, dans la majorité des sociétés, les DSI sont souvent désignées pour gérer ce sujet. Le problème étant que le RGDP s’étend sur plusieurs domaines et la DSI n’a pas toutes les capacités pour y répondre. En effet, au-delà des sujets de webmarketing ou de sécurité informatique, le RGPD touche notamment les RH (recrutement, gestion des employés, gestion de la carrière) ou bien la vidéosurveillance ainsi que des nouvelles technologies de type biométrie. Le champ d’application est large et ne peut donc pas être supporté par une seule entité.
Avez-vous noté une évolution des demandes clients depuis l’entrée en vigueur de la norme RGPD ?
La période avant le 25 Mai 2019 et les mois qui ont suivi, nous avons remarqué une réelle prise de conscience des sociétés. Certaines ont dans un premier temps “attendu de voir” ce qui se passait puis ont ensuite pris la décision de procéder aux démarches nécessaires. Les entreprises agissent doucement, prennent le temps de bien faire les choses sur le long terme. Nous mettons à disposition des outils cartographiques qui doivent être régulièrement utilisés pour être efficaces, l’implication aussi bien financière qu’humaine n’est donc pas négligeable. Elle varie en fonction de l’industrie, du type de produits, du nombre de services. Un acteur du B2C (volume de données important) ou de la santé (données sensibles) devra investir plus de moyens pour procéder à une conformité totale.
Et avez-vous d’ores et déjà des échanges concernant le E-Privacy 2019?
Cette directive qui devrait voir le jour en 2019 est encore méconnue. Elle a pour objectif de de mettre à jour les textes actuels, avec notamment des sujets sur le consentement préalable (cookies sur les navigateurs), la géolocalisation, la constitution d’annuaire ou encore le traitement des métadonnées. Nous vous partagerons en temps voulu toutes les informations relatives à cette nouvelle réglementation.
Pour toute question, n’hésitez pas à nous contacter.
À très vite ! L’équipe AISI