Reportage / le RGPD, contrainte organisationnelle et levier de confiance numérique

Par Cindy Pappalardo-Roy
avec Damien Caillard et Alexis Echegut


Accéder au résumé/sommaire de cet article


Vous avez sans doute vu passer un ou deux e-mails à son sujet … le RGPD (Règlement Général sur la Protection des Données) a beaucoup fait parler de lui. Pourtant, les start-ups ont majoritairement été mises au courant via le bouche à oreille, et se sont donc hâtées de se renseigner afin de savoir comment réagir, cette loi devant être mise en application le vendredi 25 mai 2018. Quelles conséquences pour leur activité, et quelles solutions pour s’y conformer ? Nous avons interviewé plusieurs acteurs de notre écosystème afin d’avoir leur retour et leur ressenti sur cette nouvelle loi qui a pour but de protéger les données privées.

Le RGPD, pour une société de confiance numérique

Olivier de Maison Rouge, avocat, a accepté pour nous d’expliquer en détails le contexte et les ramifications de cette loi. D’une manière générale, la France est leader dans la protection des données depuis 1978. L’évolution des nouvelles technologies, combinée à l’ingérence des grands groupes , a conduit en 2016 à l’écriture d’un texte tourné contre les géants du numérique. Le RGPD, lui, a comme idée principale de replacer le citoyen au cœur du contrôle des géants du numérique, grâce aux leviers suivants :

  • le renforcement du consentement du titulaire des données, c’est-à-dire le fait d’accepter que nos données personnelles soient collectées) ;
  • le renforcement des droits de suppression et/ou de rectification et du droit au portage (par exemple, le fait que nos données personnelles soient transférées d’un assureur à l’autre) ;
  • le renforcement des sanctions contre les entreprises qui ne respectent pas les nouvelles normes, cela pouvant aller jusque 4% du chiffre d’affaire de celles-ci, ou « tout simplement », 20 millions d’euros !

L’idée du RGPD, c’est aussi d’aller vers une société de confiance numérique, avec consentement de manière éclairée. Le titulaire doit pouvoir agir directement auprès de l’opérateur ou de la CNIL (Commission Nationale de l’Informatique et des Libertés). Les opérateurs étant vigilants sur l’emploi des données personnelles, la loi ne fera plus de différence sur responsabilité de celles-ci. La sécurité sera renforcée sur les systèmes d’information et les personnes qui manipulent les données. Les entreprises peuvent demander des informations, mais seulement si elles sont pertinentes pour ce qu’elles proposent.

Le principe d’un consentement éclairé de la part de l’utilisateur pour Olivier de Maison Rouge

Pour s’adapter, Olivier conseille notamment aux entreprises ou start-ups de s’assurer du consentement éclairé de ses clients et contacts, et que l’environnement soit conforme au RGPD ; par exemple, être sûr que les prestataires soient aussi conformes à la loi, réviser tous les contrats – avoir les clauses respectives – , réviser les conditions générales et formulaires de consentement…

Impact sur les start-ups et auto-entrepreneurs …

Pour Julia Coudert, community manager en freelance et (super) blogueuse, cela dépend de l’activité. Par exemple, en tant que prestataire freelance, elle n’a pas grand chose à faire car elle ne récolte pas d’adresse e-mails sur son site, et n’utilise pas non plus des outils comme Google Analytics. Elle doit donc “juste” envoyer un message sur les Cookies ; elle n’exploite pas les données. En revanche, concernant son blog, c’est une autre histoire : “C’est la folie, j’ai environ 5000 emails ! Le blog récupère les données (prénom + email) en échange de contenus gratuits. Je dois donc mettre à jour mes formulaires afin qu’ils soient explicites et ma politique de confidentialité”. Julia nous précise d’ailleurs qu’à cet effet et pour simplifier les choses, il est possible d’acheter une telle politique sur internet (légalement !).

Concernant le RGPD, Julia est catégorique : “Je ne peux pas me permettre de me planter, car je donne des conseils sur les bonnes pratiques à adopter sur le web, je suis obligée d’être réglo”. Pour l’application de la loi le 25 mai, il est donc important de relancer toutes les personnes pour qui elle a un mail afin de leur demander si elles souhaitent rester dans la liste ; pour les personnes qui ne répondent pas, elles seront automatiquement supprimées le jour j…. Et donc quand le business est basé sur la base mail, cela peut engendrer des ventes en moins, c’est délicat.

Gaspard Vorilhon est le co-fondateur de Woom, une plateforme web de loisirs en ligne et donc qui gère les données personnelles des utilisateurs. “Cela implique d’être dans la norme”. Gaspard et son équipe ont donc construit, refondu leur site et fait attention à respecter ces données conformément aux demandes du RGPD, particulièrement sur les bandeaux Cookies reconnus par la Loi. Gaspard précise tout de même que “Sur le site, on peut voir tout le contenu sans donner aucune information ! On a donc besoin de cookies pour en tirer des conclusions…”.

Lors de l’inscription à une newsletter, les clients savent pourquoi ils fournissent les données

Dans le cadre d’une newsletter par exemple, beaucoup de gens s’inscrivent et à ce moment-là, ils savent pourquoi ils donnent leur adresse mail. Ainsi, il y a plusieurs étapes lorsqu’une personne s’inscrit sur Woom : au départ lui est demandé 3 informations : prénom + mail + mot de passe (ceux-ci sont cryptés en interne, personne n’y a accès) ; lors du paiement d’une prestation, alors sont demandé en supplément : nom + téléphone + date de naissance + pays de résidence + les informations de la carte bancaire, ce qui est de suite plus de données. Gaspard tient à préciser : “Dès le début, nous avons attaché beaucoup d’importance à la protection de ces données ; par exemple, on utilise MangoPay qui est une filiale du Crédit Mutuel, détentrice de l’accréditation pour gérer des données bancaires cryptées”.

Steny Solitude, fondateur de Perfect Memory, a lui deux manières de considérer le RGPD : “Tout d’abord, il y a la loi telle qu’elle s’applique à nous-même, Perfect Memory. Par exemple, en tant qu’entreprise nous gérons les données personnelles de nos collaborateurs et nous devons prêter le plus grand soin à leur gestion et protection. Ensuite, il y a la loi telle qu’elle s’applique aux données que nous conservons et exploitons sur nos clients. Cela dit, dans tous ces cas, la problématique principale concerne la traçabilité des usages qui sont faits de ce que l’entreprise doit considérer comme des actifs numériques, c’est à dire une ressource disponible pour se développer”.

Tracer les usages, un actif numérique pour l’entreprise et une ressource de développement

Steny explique ensuite que la particularité de Perfect Memory est que la problématique du RGPD est : “au fondement même de [leurs] produits, ce qui constitue un changement radical (une disruption) en terme de collecte, interprétation et exploitation de l’information pour leurs clients”. En effet, il s’agit de passer de la gestion de données, statique, lourde, peu flexible, à une véritable gestion des flux d’information, c’est à dire “de données vivantes”. C’est évidemment un enjeu majeur dans une économie fortement connecté où il faut capter tout les signaux d’information, provenant de tout l’écosystème de l’entreprise, tout en garantissant une vrai transparence sur l’usage fait des données collectées auprès des utilisateurs, des clients, de partenaires, etc. Steny ajoute : “Aujourd’hui, toute entreprise, pour rentrer sur le marché, doit avoir une gestion parfaite de la donnée. En réalité, celles qui ont le meilleur avenir sont celles qui sont capables de faire travailler les autres pour elle… comme les GAFA le font depuis la naissance du Web !”.

Le site de la CNIL propose plusieurs conseils, tutos et documents types pour vous y retrouver. C’est tout de même assez touffu.

Franklin Brousse, avocat en nouvelles technologies et co-fondateur de l’application RGPD Ready rejoint Julia et les autres dans l’idée d’être “droit dans ses bottes” : “Lorsque l’on monte un projet qui vend un service en lien avec le RGPD, on se doit de le respecter” par exemple en proposant une formation au RGPD aux salariés – dans le cadre de la mise en place du service -, avoir un hébergeur présentant des garanties conformes aux exigences de la loi, intégrer des mentions sur le site web, ne pas conserver les données utilisateurs au-delà de leur service, etc.

L’enjeu est aussi de former et de sensibiliser salariés et utilisateurs

Concernant l’application RGPD Ready*, elle a pour objectif de sensibiliser les salariés qui manipulent ou accèdent à des données personnelles ; or aujourd’hui, une grande majorité utilisent des données personnelles dans le cadre de leur activité ! La difficulté ici est donc de former et de sensibiliser les salariés à des notions juridiques – qui peuvent être complexes !-. Franklin ajoute : “Pour que ce soit ludique et efficace, on a utilisé la forme d’une application avec une technique d’apprentissage innovante : le micro learning, qui permet de séquencer l’apprentissage et de se former à son rythme”. La forme “questions / réponses”, accompagnée d’exemples concrets, est également gratifiant pour l’utilisateur. Et il y a urgence, car d’après Franklin, aujourd’hui moins de 25% des entreprises n’ont pas formé leurs salariés au RGPD ! Tout cela va donc prendre du temps.

… et solutions pour s’y adapter

Là encore, nos quatre interviewés ont pu répondre à nos questions et nous ont permis d’y voir plus clair. Car il est vrai qu’une fois que l’on sait ce qu’implique le RGPD, il reste la question de savoir comment s’y adapter… immédiatement certes, mais aussi dans le temps ! Les réponses sont aussi et logiquement plus subjectives, chaque activité étant unique. Mais toutes peuvent vous inspirer.

Ainsi, Julia Coudert a établi la liste de tout ce qui est “le minimum syndical” et les a planifié dans le temps (et dans son planning !) pour que tout soit prêt le 25 mai (mails, relances…). Pour ce qui est du long terme, elle nous confie : “Je pense que l’on va découvrir des choses ; le groupe d’entrepreneurs avec qui je suis en contact s’est énormément renseigné, on la volonté de faire les choses bien !”. Elle a donc fait, grâce à une excellente organisation, abattu le plus gros du travail, et était prête le jour J. Après, s’il y a des ajouts, ce sera sûrement des petites choses. Plus globalement, pour ce qui est de la mise en application pure et dure et si Julia et son entourage se sont beaucoup impliqués, il y aura certainement deux écoles : ceux qui le prennent au sérieux, et ceux qui attendront plus tard. “Pour moi, c’est une question de conscience professionnelle ! On ne peut pas mettre en péril les données qu’on a, il faut qu’on joue le jeu”.

« On ne peut pas mettre en péril les données qu’on a, il faut qu’on joue le jeu » – Julia Coudert

Pour Gaspard Vorilhon, “l’adaptation qu’on doit faire et qui nous est imposée, c’est de travailler la traçabilité de ses données car on utilise des logiciels qui traitent les données des utilisateurs”. L’objectif est donc de s’assurer que les sociétés avec lesquelles il travaille soient en règle, surtout qu’il utilise notamment beaucoup de logiciels internationaux comme Google Analytics. Il part aussi du principe qu’il ne faut pas forcément perdre un temps monstrueux pour régler les choses dans le moindre détails mais plutôt se pencher dessus, car quand on monte son entreprise, on a pas envie d’être dans l’illégalité… Concernant la CNIL, les informations sur le site sont très claires, ce qui peut être très pratique pour se guider !

S’assurer que les sociétés prestataires sont bien en règle, pour Gaspard Vorilhon

Steny Solitude va plus loin dans la réflexion sur le RGPD : “C’était une nécessité, car l’industrie numérique qui émerge, la société digitale, porte en elle des racines totalitaires. Il faut donc aller vers la transparence pour que l’utilisation des données à but commercial puisse être pérenne”. Le risque, c’est qu’à force les clients n’y croit plus, sans parler des dérives éventuelles possibles. Il est donc important de penser à ne pas provoquer de déception chez les clients. Steny pense aussi à nous préciser que cette loi permet aussi de rééquilibrer le rapport de force avec les GAFA**, ainsi qu’une approche plus vertueuse ! Par exemple aujourd’hui, on peut récupérer et/ou supprimer nos données sur Facebook ou sur Linkedin. Pour rejoindre le point énoncé dans l’introduction de cette article sur les sanctions, Steny nous confirme que les pénalités se comptent désormais en centaines de millions d’euros, donc “le boulot sera fait”.

« La transparence pour que l’utilisation des données à but commercial soit pérenne » – Steny Solitude

Pour s’adapter à cette nouvelle loi, Franklin Brousse propose aux entreprises ou startups de se référer à la CNIL, qui propose effectivement une méthodologie simplifiée, des modèles de documents, et beaucoup de contenus censés justement répondre à toutes les questions ! Il précise : “Il y a des subtilités qui nécessitent de recourir à des avis de spécialistes, comme des avocats” et ajoute, comme mot de la fin, que “le RGPD a le mérite de contraindre toutes les entreprises qui proposent des services d’être plus transparentes sur les données personnelles. À présent, la grande question est : comment cela va-t-il se passer en pratique ?”.

***

L’objectif principal du RGPD est de rendre aux utilisateurs une plus grande maîtrise de leurs données personnelles et de sensibiliser les entreprises et leurs salariés à la manière dont ils les traitent. Mais on voit souvent des lois et des règlements votés mais, dans les faits, peu appliqués. Ce sera un des principaux points de vigilance, même si les autorités affirment être sévère dans son application future. A condition également que cette loi – même appliquée dans les règles de l’art – ne soit pas contournée par les GAFA pour qui la donnée est le nouvel eldorado.

*développée par Preda, start-up co-fondée par Yan Bailly et Frédéric Domon, également membres fondateurs du Connecteur
**acronyme pour les géants du Web que sont Google, Apple, Facebook, Amazon


Pour en savoir plus :
le site du CNIL sur la RGPD
le site de Olivier de Maison Rouge
le blog de Julia Coudert
le site de Woom
le site de Perfect Memory
le site de l’application RGPD Ready


Propos recueillis et mis en forme par Cindy Pappalardo-Roy. Merci à tous les participants de leurs retours et de leur disponibilité !

Résumé/sommaire de l’article (cliquez sur les #liens pour accéder aux sections)

  • #Principe – L’idée principale de la RGPD est de replacer le citoyen au cœur du contrôle des géants du numérique, grâce aux leviers suivants : renforcement du consentement du titulaire des données et des droits de suppression et/ou de rectification et du droit au portage (par exemple, le fait que nos données personnelles soient transférées d’un assureur à l’autre) et le renforcement des sanctions contre les entreprises qui ne respectent pas les nouvelles normes.
  • #Impact Pour le entrepreneurs et startups, cela dépend de l’activité : si elles exploitent des données personnelles, alors elles doivent mettre à jour leurs formulaires afin qu’ils soient explicites et leur politique de confidentialité. D’autres ont construit et/ou refondu leur site et fait attention à respecter ces données conformément aux demandes du RGPD, particulièrement sur les bandeaux Cookies reconnus par la Loi. Cependant, la problématique principale concerne la traçabilité des usages qui sont faits de ce que l’entreprise doit considérer comme des actifs numériques, c’est à dire une ressources disponibles pour se développer. Lorsque l’on monte un projet qui vend un service en lien avec le RGPD, on se doit de le respecter par exemple en proposant une formation au RGPD aux salariés – dans le cadre de la mise en place du service -, avoir un hébergeur présentant des garanties conformes aux exigences de la loi, intégrer des mentions sur le site web, ne pas conserver les données utilisateurs au-delà de leur service, etc.
  • #Solutions – Globalement, pour ce qui est de la mise en application pure et dure, il y aura certainement deux écoles : ceux qui le prennent au sérieux, et ceux qui attendront plus tard… L’objectif est donc de s’assurer que les sociétés avec lesquelles vous travaillez soient en règle, surtout si vous utilisez notamment des logiciels internationaux comme Google Analytics. Concernant la CNIL, les informations sur le site sont très claires, ce qui peut être très pratique pour se guider ! ette loi permet aussi de rééquilibrer le rapport de force avec les GAFA**, ainsi qu’une approche plus vertueuse ! Par exemple aujourd’hui, on peut récupérer et/ou supprimer nos données sur Facebook ou sur Linkedin. Il y a des subtilités qui nécessitent de recourir à des avis de spécialistes, comme des avocats.