Alors que l’Europe dresse un bilan encourageant de la mise en place de la protection des données, entreprises et éditeurs définissent des roadmap communes pour mettre en œuvre et perpétuer la conformité au RGPD. Une attention permanente qui pousse les éditeurs à dresser un éventail de bonnes pratiques. Explications.
Afin de dresser un état des lieux de la conformité RGPD, TECH IN France a organisé une mâtinée de webinars visant à faire le point sur les bonnes pratiques en la matière. Ces dernières devant permettre de fluidifier la relation entre partenaires, clients, utilisateurs et éditeurs. Deux thématiques majeures ont été adressées autour d’un fil rouge commun : celui du besoin de co-construction entre différentes parties.
Deux tables rondes se sont ainsi tenues autour des notions d’accountability et de responsabilité afin de dégager les bonnes pratiques et conseils des éditeurs dans l’analyse de risque dans un contexte juridique changeant. Enfin, outre l’intervention remarquée de la Cnil, le second débat portait autour des différentes pratiques face au RGPD entre TPE/PME et grands comptes.
Le RGPD a en effet sans conteste rebattu les cartes de la gestion des données personnelles en entreprise. Depuis maintenant près de deux ans, le règlement général sur la protection des données renforce le rôle des éditeurs dans leur dimension d’accompagnement et de transformation numérique de l’écosystème. Une véritable fonction opérationnelle mais également prospective dans la mesure où le texte est en évolution permanente du fait de l’évolution technologique, de la multiplication des usages ou des inflexions que prend la jurisprudence.
La donnée, cet actif hautement stratégique
Le constat est donc évident. La donnée représente un actif stratégique pour n’importe quelle entité professionnelle. Un véritable « or noir » dont chacun doit s’emparer afin de dégager de nouvelles opportunités de développements et d’actionner des leviers de croissance forts. A condition toutefois de manier ces éléments comme il se doit et de respecter les règles normatives actuelles.
Pour en savoir plus, TECH IN France publie un Livre Blanc baptisé Conformité RGPD : Quand les éditeurs deviennent prescripteurs de bonnes pratiques
Dès lors, plus d’un an après l’entrée en vigueur du RGPD, qu’est ce qui a réellement changé ? Le règlement a apporté nombre de nouveautés d’un point de vue technologique mais également pratique. Le texte a en effet introduit des nouveaux mécanismes de responsabilité pour l’ensemble de la chaîne de valeur traitant des données. Une « accountability » véritable dont il convient de tracer les contours et de délimiter correctement les effets. Cette dernière échoit par nature au responsable du traitement des données personnelles. Toutefois, l’éditeur peut, dans une certaine mesure, être tenu responsable en cas de manquement grave.
Un livre blanc pour dégager des best practices
Afin de répondre à ces questionnements, TECH IN France publie un livre blanc. Baptisé « Bonnes pratiques et nouvelles responsabilités », le document se fait fort de dégager des pistes d’anticipation de la règlementation. Mais également des usages afin d’adopter une posture prospective face aux enjeux à venir. La confiance constitue en effet un socle puissant pour qui entend traiter données personnelles et identités et ainsi défendre une souveraineté numérique. Cette dernière contribue de facto à développer la confiance des entreprises et de leurs partenaires.
Le livrable aborde ainsi la « dédiabolisation » du rôle des éditeurs. Un volet majeur dans la mesure où le RGPD introduit le principe fondateur de l’accountability pour le responsable de traitement. Jawaher Allala, CEO de Systnaps explique : « la conformité du fournisseur de service s’hérite dans la mesure où les outils de l’éditeur sont conformes. Mais aussi que les preuves de cette conformité sont opposables. Cet héritage demeure toutefois circonscrit au périmètre d’action humain, matériel et logiciel que l’éditeur est amené à traiter pour ses propres clients ».
Malgré tout, le principe d’accountability demeure nouveau pour les éditeurs. Sylvain Staub, CEO Data Legal Drive et avocat Associé au sein de DS Avocats précise : « Ce principe modifie la charge de la preuve. Car c’est désormais à l’entreprise qu’il revient de justifier à tout moment et de manière exhaustive sa conformité à l’ensemble des points du RGPD. »
Une analyse des risques poussée
Le RGPD fait donc naître de nouvelles obligations pour chacun. Dans ce concert, la notion de conformité en entreprise via le management des risques devient prégnante. La problématique des données personnelles peut en effet s’avérer clé pour certains secteurs comme la finance… Les analyses d’impacts, les changements de process internes permettent à ce titre de développer un axe opérationnel pour les professionnels.
Pascal Antonini Vice-président ISACA-AFAI, explique ce pilotage par les risques. « Il convient de poser le sujet du registre et des finalités de traitements en entreprise. Certaines implémentations peuvent être vouées à l’échec si l’outil n’est pas suffisamment structurant. Il est donc primordial d’avoir structuré sa démarche et de l’avoir outillée », explique-t-il.
Un constat que maintient Paul-Olivier Gibert, Président de l’AFCDP, Association française des correspondants à la protection des données à caractère personnel. Il ajoute : « il demeure important de donner au DPO les moyens de pleinement exercer sa mission tant en terme que de moyens que de positionnement dans l’entreprise. Il doit notamment développer des relations confiantes avec les éditeurs ».
Dès lors chaque intervenant convient du fait que le RGPD représente un véritable levier de croissance et de développement pour les éditeurs. Aussi bien dans le B2B que dans le B2C. Les particuliers tendent en effet à développer leur confiance dans la mesure où leurs datas sont bien gérées. Un cercle vertueux se met donc en place dans lequel le DPO dispose d’une possibilité d’exploiter au mieux et de valoriser ses assets pour développer de nouveaux services. Cela correspond également à une approche éthique de la transformation numérique. La seule contrainte est de ne pas dépasser le cadre juridique tout en conduisant une analyse prospective.
La Cnil rappelle l’enjeu majeur du RGPD
Dans ce concert, le régulateur conserve un rôle majeur. La Cnil rappelle à ce titre la forte diversité des acteurs en présence. Sophie Nerbonne, Directrice chargée de co-régulation économique au sein de la Cnil explique : « le RGPD fonctionne sur des principes de bon sens, des formulations de bonne gestion pour les entreprises. Ces dernières sont déclinées de manière différente en fonction de la nature, de la portée, du contexte et de la finalité du traitement. Mais également en fonction de la gravité des risques ».
Cette granularité de l’application des règles en fonction des professionnels soulève donc un point majeur. Celui de la complexité pour la Cnil de pouvoir adapter ces principes en fonction de chaque cas de figure. « Les organisations professionnelles sont en ce sens reboostées par ces mesures. Car elles connaissent parfaitement les process métier de leurs adhérents pour travailler à des FAQ, des process pédagogiques et autres outils qui deviennent des outils de conformité », ajoute la responsable.
Cette perspective prometteuse permet donc de regrouper les bonnes pratiques. Le régulateur renforce donc son rôle d’accompagnement des acteurs dans leur transition numérique au travers de la stratégie dite des « têtes de réseaux » (associations et fédérations professionnelles, partenariats avec le médiateur des entreprises, les experts comptables, les avocats, la politique publique de l’Etat…).
Une co-construction commune à bâtir
A terme, l’ensemble de l’écosystème est donc amené à coconstruire les éléments nécessaires à la conformité au RGPD. Qu’il s’agisse de TPE/PME ou de grands comptes, les éditeurs apportent leur aide pour fluidifier les relations entre parties. Ils contribuent ainsi à la transformation numérique.
Pascal Gremiaux, CEO d’Eurecia explique : « on a pris le parti de former nos équipes pour former et sensibiliser nos clients. Nous avons également pris le parti de faire migrer une partie des obligations liées au RGPD dans nos conditions générales de vente. Les clients ont ainsi été correctement informés via des notes de transparence, des attestations et autres certificats de réassurance ». Des documents qui ont permis à l’entreprise d’établir et conserver de bonnes relations contractuelles.
Un point sur lequel s’accorde Cécile Limal, CEO Mobilis, éditeur spécialisé dans les castings pour le cinéma. La responsable explique : « nombre d’entreprises n’ont pas anticipé le fait que la voix représentait un élément de la personne, passant sous le RGPD. Nous faisons donc en sorte que les entreprises puissent s’ajuster au texte. Mais certains professionnels ont encore des difficultés par manque de moyens ou de temps ». Naît donc un besoin de certifier la chaîne de conformité.
Etre acteur de sa propre conformité
Toujours est-il que le client doit demeurer un acteur de sa propre conformité RGPD. Chloé Rousselet, Data Protection Officer de Cegid, explique : « la notion de co-construction est majeure. L’éditeur a un intérêt business à développer des outils RGPD permettant à son client de se mettre en conformité. Ce levier est important car nombre d’entreprises sont en attente. C’est pourquoi chaque éditeur doit fournir des documentations quant aux fonctionnalités de son produit ».
Les équipes métier doivent donc être sensibilisées. Equina You, Responsable de la Gouvernance des Données EasyVista confirme : « on parle beaucoup de co-responsabilité avec nos clients. Certaines entreprises imposent pourtant leur DPA. Nous nous retrouvons avec des clauses de responsabilités qui n’apparaissent pas correctes. Mais on précise toujours qu’il va falloir établir une relation de type responsable du traitement et sous-traitant sans avoir de discours du type chacun pour soi ».
Le constat est donc clair. La réassurance nait de la discussion commune entre éditeur et client. Une œuvre permanente à travers de laquelle chacun peut bâtir son propre chemin vers la conformité.
Olivier Robillart