Le 15 novembre dernier avait lieu le plus grand événement RGPD jamais organisé à Paris. Réunissant des experts du sujet, cette conférence organisée par Mailjet et ses partenaires (Taj – Deloitte, Les Echos, Generali, AFNOR et PeopleDoc) poursuivait plusieurs objectifs. D’une part, il s’agissait d’évoquer les étapes et les enjeux de la mise en conformité (cartographie des traitements, registre, gestion des sous-traitants, sanctions). D’autre part, l’idée était d’aborder les thèmes et les questions dont on parle moins, comme l’assurance, la certification ou encore la gestion de l’architecture IT.

Voici donc les 10 informations principales qu’il fallait retenir de cet événement.

1) RGPD : un changement de paradigme

« L’objectif premier du RGPD est de construire un meilleur équilibre entre données et personnes au sein de notre société » selon Philippe Lemoine, Président-Fondateur du Forum d’Action Modernités et ancien commissaire du gouvernement auprès de la CNIL. Compte tenu de l’augmentation vertigineuse de la masse de données produites année après année et des questions de vie privée et de liberté que cela pose, le RGPD a pour objectif de redonner aux citoyens le contrôle sur leurs données personnelles tout en offrant de nouvelles opportunités aux entreprises. Ces nouvelles opportunités entraînent donc de nouvelles responsabilités.

evenement-rgpd-paris-philippe-lemoine

2) Une responsabilisation accrue des entreprises

Contrairement à ce que l’on pourrait croire, le règlement général sur la protection des données ne bouleverse pas les obligations légales auxquelles sont tenues les entreprises. « On réaffirme certains droits, on en renforce d’autres (le consentement par exemple), on va plus loin avec des nouveaux droits (comme la portabilité) », explique Jean Lessi, Secrétaire Général de la CNIL. Ce qui va vraiment changer ? Les entreprises devront à présent rendre des comptes.

Concrètement, elles devront cartographier tous les traitements de données personnelles qu’elles organisent et les consigner dans un registre.

3) L’importance de la gouvernance

Au cœur de cet effort de responsabilisation se trouve la gouvernance. Guillaume Flambard et Muriel Féraud-Courtin, respectivement Directeur Associé et Avocate Associée chez Taj, une entité du réseau Deloitte, soulignent l’importance de désigner le chef d’orchestre de ce processus de mise aux normes. La première étape prioritaire est de déterminer qui, au sein de l’entreprise, va mener le projet de mise en conformité. Lorsque l’on connaît les responsabilités de chacun, tout le reste suit : c’est un cercle vertueux.

evenement-rgpd-paris-taj-avocats

4) RGPD : accompagnement vers une mise en conformité

Ne pas être aux normes le 25 mai 2018, c’est la hantise de bon nombre d’entreprises. La CNIL, à travers son Secrétaire Général Jean Lessi, entend rassurer : « Vous n’êtes pas seules ! ».

L’objectif de la CNIL est avant tout d’accompagner les entreprises, de les aider à respecter la nouvelle législation et à documenter leur conformité. C’est pourquoi elle a mis des outils d’aide à la transition en ligne sur son site Internet. Il existe par exemple un dispositif en 6 étapes pour se préparer au nouveau règlement européen, ou encore un logiciel open source PIA afin de faciliter la conduite d’une analyse d’impact.

evenement-rgpd-paris-jean-lessi

5) RGPD et certifications

Afin de renforcer cet accompagnement, l’AFNOR est en train de créer une certification pour le RGPD. Sandra Di Giovanni, Responsable du Pôle Numérique et RSE de l’AFNOR, explique que l’objectif de cette certification sera de « créer un écosystème qui soit favorable au stockage, au transfert et à l’échange de données, au niveau français, européen et, plus largement, international ».

La certification est un outil parmi d’autres. Elle peut servir de guide lors de la mise aux normes. Enfin, la certification sera une preuve supplémentaire que les entreprises mettent tout en œuvre pour se conformer au RGPD.

6) RGPD : fiabilité et gestion des sous-traitants

Le choix et la fiabilité des sous-traitants sont deux problématiques clés pour les entreprises. Alexis Renard, PDG de Mailjet, et Arnaud Gouachon, Chief Legal & Compliance Officer chez PeopleDoc, sont intervenus sur ce sujet. Les deux entreprises sont en effet expertes dans ce domaine : elles assurent toutes deux le rôle de sous-traitants et hébergent à ce titre des quantités astronomiques de données pour leurs clients. Mailjet est d’ailleurs la première solution d’emailing certifiée ISO 27001 et conforme au RGPD. En ce qui concerne la politique à mener envers les sous-traitants, Alexis Renard et Arnaud Gouachon conseillent donc de procéder en 2 étapes :

  • Lister tous les sous-traitants et les hiérarchiser selon leur importance pour l’entreprise. Dans l’idéal, il faut accompagner les plus incontournables d’entre eux dans leur mise en conformité.
  • Contractualiser la relation avec les sous-traitants : par exemple interdire aux sous-traitants de sous-traiter à leur tour.

Alexis Renard prévient toutefois que « le fait d’avoir un contrat avec un sous-traitant n’est pas suffisant pour se dédouaner de ses responsabilités ».

evenement-rgpd-paris-alexis-renard

7) Collecte de données et architecture IT

Outre les sous-traitants, le RGPD est aussi l’occasion de faire le point sur les traitements de données organisés par une entreprise. Puis de faire le tri. Tous ces traitements sont-ils nécessaires ? Collecte-t-on des données sans en avoir l’utilité immédiate (juste au cas où, pour l’avenir) ? Ce sont les questions que Pierre Puchois, CTO de Mailjet (accompagné de Frédéric Rivain CTO de Dashlane ainsi que David Raux CTO de Unilend) a incité les DSI à se poser lors du workshop IT qui suivait la conférence.

Pierre Puchois a ajouté qu’il était primordial de cartographier l’ensemble des applications utilisées au sein de l’entreprise afin de supprimer celles qui n’étaient pas nécessaires.

evenement-rgpd-paris-workshop-it

8) Les sanctions liées à la non-conformité

En ce qui concerne les sanctions, Guillaume Desgens-Pasanau, Magistrat et ancien Directeur Juridique de la CNIL, a tenu à rassurer : « Si vous êtes de bonne foi, si vous avez documenté les efforts mis en place pour être conforme, il en sera tenu compte au moment de la sanction. Le régulateur sanctionnera différemment un responsable de traitement qui est capable de démontrer ses efforts de mise en conformité. C’est écrit noir sur blanc dans le RGPD. »

Jean Lessi a également expliqué que des sanctions seront imposées, mais seulement aux entreprises qui continueront délibérément à user de pratiques malhonnêtes et frauduleuses. Les autorités seront en revanche intransigeantes quant aux obligations qui existaient avant l’entrée en vigueur du RGPD.

9) RGPD : risques et assurance

« Il n’existe pas d’assurance RGPD et il n’en existera jamais. » C’est ce qu’a expliqué Bernard Duterque, Directeur Souscription Risques chez Generali. En revanche, les risques liés à la non-conformité et à la responsabilité civile sont couverts par d’autres produits, notamment les assurances contre le risque cyber, lesquelles prennent en compte toutes les obligations liées au RGPD.

L’assurance ne doit pas devenir un moyen d’échapper aux responsabilités et obligations imposées par le RGPD. Les assureurs ne rembourseront donc pas les amendes liées à la non-conformité. Ils pourront en revanche couvrir « tout ce qui est relatif aux frais d’enquête », par exemple.

evenement-rgpd-paris-bernard-duterque

10) RGPD : compétitivité des entreprises européennes après l’entrée en application

L’Europe met en place un étalon mondial auquel les entreprises extra-UE qui ciblent des consommateurs européens devront également s’adapter. Loin de mettre des bâtons dans les roues des sociétés du Vieux Continent donc, le RGPD va, de facto, aligner les législations mondiales.

Le RGPD ne devrait donc avoir d’impact sur la compétitivité des entreprises européennes. Au contraire, être conforme au RGPD deviendra un avantage compétitif : ce sera un argument supplémentaire pour attirer clients et investisseurs !

En effet, lors du Workshop Marketing, Mireille Monnier, Directrice Juridique adjointe chez Infopro Digital, a expliqué que « les équipes marketing, en première ligne en matière de collecte et de gestion des données, [allaient] devoir intégrer une culture de la protection des données qu’elles n’avaient pas auparavant ». Il faut donc profiter de ce changement de réglementation et le transformer en avantage concurrentiel selon Darine Fayed, Directrice juridique & DPO chez Mailjet. « Le RGPD est une opportunité de se différencier de ses concurrents, mais il en va aussi de l’image de l’entreprise : les personnes qui visitent un site et avec lesquelles les équipes marketing interagissent peuvent immédiatement se rendre compte si leurs droits sont respectés ou non ».

Enfin, selon Guillaume Marcerou, Senior Counsel – Global Privacy/Product chez Criteo, le RGPD présente une opportunité supplémentaire : « il simplifie la tâche des entreprises ayant une présence internationale en harmonisant la législation dans 28 pays ».

Ce qu’il faut retenir

Ne pas paniquer, le RGPD n’est pas une chasse aux sorcières. Au contraire, l’idée est d’assainir les pratiques pour pérenniser l’activité des entreprises sur le web. C’est l’information la plus importante qui est ressortie de l’événement RGPD Paris. Si vous êtes de bonne foi et que vous commencez votre processus de mise en conformité, il ne vous arrivera pas de malheur au matin du 25 mai 218.

Pour en savoir plus sur la nouvelle législation européenne, nous organisons prochainement un webinar consacré au consentement à l’ère du RGPD. Inscrivez-vous !

webinar RGPD
 

En attendant, rejoignez-nous sur Twitter pour partager vos conseils et bonnes pratiques ou pour poser vos questions !