France DIFFUSION - Umanis...Saumet, CTO et fondateur de Tilkee, le résume simplement : «Ces clients nous demandaient d'être plus sérieux et nous faisaient passer des audits de

Tous droits de reproduction réservés

PAYS : France PAGE(S) : 32-38;40;42-43SURFACE : 773 %PERIODICITE : Mensuel

DIFFUSION : (15000)JOURNALISTE : Bertrand Garé

1 mai 2018 - N°167

D 0 SS

ers r e t o u r s

(;3e5,(1C(A QUELQUESJOURS DE LA DATEFATIDIQUEDU 25 MAI2Ù EN EST-ON? NOUSSOMMESALLeSÀ LA RENCONTRE

D'ENTREPRISESET DE LEURSDPO INTERVENANTDANS DESCONTEXTES75ÊS',))e5(17S.PME OU START-UP,

23e5A7(85S,SERVICESAUX PARTICULIERSOU AUX ENTREPRISES,0A5CHe,17e5,(85OU INTENATIONAL,TOUTESONT BIEN

352G5(SSeDANS LA MISE EN C21)250,7e.CERTAINESSE DISENT0Ê0(FIN 35Ê7(S'ÊS LE 'e%87MAI.

DOSSIER 5eAL,Se PAR BERTRAND GA5e




1 mai 2018 - N°167

LE LAVOIR MODERNELE RGPD SIMPLEMENT

LE LAVOIR MODERNE EST UNE JEUNE ENTREPRISEQUI PROPOSEUN SERVICE

DE PRESSINGEN LIGNE.AVEC SON APPLICATION, L'ENTREPRISES'EST S,03L,),e

LA MISE ENC21)250,7eAU RGPD.

des données. Alphadio Olory-Togbé,un des fondateurs du Lavoir Moderneindique : «C'est long et FRûWeux. C'estunprojet à part entière. On a pris toutela documentation disponible pour lefaire sansprendre d'avocat. Cela FRûWesurtout eneffort et en ressources.•»L'entreprise s'est appuyée sur l'ana-lyse de la Cnil pour être certain dene pas utiliser abusivement certainesdonnées et d'être en accord avec laréglementation. Le fondateur de l'en-treprise commente : «Nous sommesassezsatisfaits du pilote car le livreurqui vient chercher et rapporte le lingen'est pas l'ami de la famille !>Actuellement, il ne reste plus au sitequ'à compléter les registres de traite-ments et à mettre à jour la documen-tation sur la nouvelle application. Aubilan, en revenant sur le projet mené,le fondateur du Lavoir Moderneinsiste sur le volet organisationnel ettechnique de la mise en conformitécar il est toujours possible selon luide cadrer l'organisation puis avec leréfèrent d'avoir une véritable feuillede route faisant le lien entre l'orga-nisation et la technique. AlphadioOlory-Togbé ajoute qu'il était le mieuxplacé pour le faire. O

Le Lavoir Moderne connaît unfort développement. L'entreprisepropose un service de pressingen ligne. Elle vient chercher

chez vous les linges que vous souhai-tez faire laver et vous les rapportentdans les 48 heures. En massifiant leslinges à laver dans son centre non loinde Paris, l'entreprise arrive à abaisserles prix de manière spectaculaire touten garantissant un lavage plus respec-tueux de l'environnement.De ce fait, l'entreprise se retrouve àcollecter de nombreuses donnéespersonnelles. Le site a résolu le pro-blème du consentement dès l'inscrip-tion dans l'application. L'applicationa été revue lors de la refonte du sys-tème d'information que nécessitait lacroissance de l'entreprise. Elle s'estalors posé la question de savoir sicette refonte et l'application étaientconformes au règlement à venir.

Toute l'opération pour la mise enconformité a été réalisée en internepar une équipe de cinq personnesdont le «product owner» pour inté-grer le RGPDdans la réflexion.Lapremière étapea été de chiffrer l'en-semble des données. Puis ont été misen place la documentation et le registre

Un géant conforme aussiC'est par voie de communiqué que AWSa annoncé que sesservices sontd'ores et déjà compatibles avec le RGPDaprèsavoir terminé l'ensemble

des audits de conformité de ceux-ci. L'ensemblede ses serviceset fonctionnalités disponibles respectent les normes lesplus élevées

enmatière de confidentialité et de protection desdonnées personnellesimposées par le RGPD.AWSsouhaitait se mettre en conformité avec le

règlement deux moisavant son entrée en vigueur.AWS propose un DataProcessingAddendum (DPA) conforme au RGPD,permettant aux clientsd'être en conformité avec lesobligations contractuelles liéesau RGPD.




1 mai 2018 - N°167

La sécurité et la protection desdonnées fait partie intégrantedu métier d'OVH, hébergeuret fournisseur de services en

ligne. Florent Gastaud, le DPO de l'en-treprise, insiste ainsi sur le fait que ledomaine n'est pas nouveau et quele RGPD est dans la continuité desrèglements existants au niveau euro-péen. Le développement aux USAest très présent aussi dans le futurde l'entreprise. Lesconséquences duGovernment Cloud Act risquaient depriver OVH de la vente de noms dedomaines aux USA, un coup dur pourun hébergeur. Une exemption a étédemandée auprès de l'Icann.

Pour le RGPD,Florent Gastaud adécidé de repar-tir de la base et detraiter cette confor-mité dans le cadred'une améliorationcontinue. 11a com-mencé son travailpar l'interview desresponsables desapplications oudes systèmes quiont à traiter des

données personnelles. 11a ainsi définil'écart entre les pratiques de terrainet le règlement ou la norme. 11aensuite dressé un plan d'action pour«être totalement carré le 25 Ilindique : «C'est un travail au corps

à corps quotidien avec ce que fontles opérationnels au quotidien. » Celacomprend des revues de process etquelques réorganisations en internedu fait de l'hyper croissance de l'en-treprise (plus de 700 embauches). Il afallu recadrer certains projets.

De nouvelles obligationsIl s'est ensuite attaché aux nou-velles obligations apportées par letexte. En pratique cela a consisté àdonner aux clients eux-mêmes lesoutils pour être conformes (1,3 mil-lion de clients). Il a ensuite revu lescontrats avec les sous-traitants. Il aainsi fait évoluer les conditions géné-rales de services et a ajouté un « dataprocessing agreement», un contratspécifique sur la sécurité et les traite-ments effectués sur les données parOVH. Le véritable enjeu est cepen-dant d'expliquer aux clients et des'assurer qu'ils comprennent bienles subtilités d'un texte qui com-prend 99 articles et une trentainede considérants.

Quand on lui demande ce qu'il fautretenir de son expérience, il répond :«Le projet ne s'arrête pas le 25 mai,il continue bien après avec la miseen place d'une culture autour de lasécurité de la donnée et du respectde la vie privée par la sensibilisa-tion et la formation de l'ensemble dessalariés de l'entreprise et la mise enplace d'une vraie culture sur le sujet. »11relève aussi qu'il a eu la chanced'avoir les moyens nécessaires et lesressources pour le projet et de pou-voir s'inscrire dans le temps pourasseoir la démarche et arriver à laconformité. )

O V H DANSLA C217,18,7eL'He%(5G(85)5A1dA,S A PRISSON ENVOL

À L'INTERNATIONAL ET S'APPUIE SUR

SESACQUIS POUR Ç75( CONFORME AVEC

LE RGPD.RENCONTRE AVEC LE DPO

DE L'ENTREPRISE,FLORENT GASTAUD.

Si nécessaire,fournir aux clients

des outils pourêtre conformes.

Une course de fondMalgré les efforts quotidiens dans ledomaine, OVH a pris au sérieux l'arri-vée du RGPDet a lancé le projet avecla nomination de Florent Gastaudcomme DPO en octobre 2017. Il a encharge la mise en de la confor-mité RGPD sauf aux USA. Il précise :« pour nous c'est une véritable cultured'entreprise. Nous avons des valeursautour de la protection des données ».




1 mai 2018 - N°167

TILKEECONFORME POUR SATISFAIRE

SES GRANDS CLIENTSSTART-UPLYONNAISE,TILKEEAUTOMATISE ET ENRICHIT LESPROCESSUSDE RELANCE

COMMERCIALEEN PERMETTANTAUX ENTREPRISESDE CONTACTERUN PROSPECT

AU BON MOMENT AVEC LA BONNE OFFRE POURA0eL,25(5 LE TAUX DE CONVERSION.

Ses plus grands clients lui ontimposé d'être dans les clousdes différents règlements.Tilkee s'y est prêté de bonne

grâce pour être encore plus effi-cace. Depuis plus de deux ans, lesgrandes marques en particulier luidemandaient d'être plus efficace cequi l'a amené à intégrer la sécuritédès la conception des applicationset de chiffrer les données. Timothée

Saumet, CTO et fondateur de Tilkee,le résume simplement : «Ces clientsnous demandaient d'être plus sérieuxet nous faisaient passer des audits desécurité. »Depuis sept à huit mois, l'entrepriseétait attentive et faisait intervenir uncabinet d'avocats pour se faire conseil-ler. De ces réflexions et conseils estvenue l'idée du Privacy Center sur lesite de l'éditeur. Ces pagesspécifiques

expliquent aux utilisateurs ce queTilkee réalise avec les données col-lectées, quels traitements y sont appli-qués, la liste des sous-traitants et deleurs outils, les traitements réalisés parles sous-traitants ainsi que leur garan-tie de conformité par audit.En pratique, Tilkee a réfléchi longue-ment sur la directive puis a certifiédes développements d'une qua-rantaine de jours dans ses logiciels

Identifierles donnéesimportantes

dans les processet s'entourer deconseils pour

pouvoir avanceret être prêt.

YOUSIGNSIGNE POUR LE RGPD !L'e',7(85DE SOLUTIONS DE SIGNATURE eL(C7521,48(

DE DOCUMENTSET A8725,7eDE CONFIANCE EST

QUASIMENT35Ê7 POUR LA C21)250,7e AVEC LE RGPD.

POUR Y PARVENIR,L'ENTREPRISEA MISEN PLACE UN

PLAN D'ACTION DANS LE TEMPS.

YouSign est une jeune entreprisequi vient juste de fêter ses cinqans. Antoine Louiset, son fon-dateur et CTO, a eu l'idée de

simplifier la signature électronique pourtous types de documents notammentles contrats. Les utilisateurs peuventsigner les documents à partir d'unetablette ou d'un smartphone. Pour cefaire, YouSign a développé deux pro-duits : une application web Rù les entre-prises peuvent s'inscrire et préparerles documents à signer pour des per-sonnes à l'extérieur de l'entreprise et

une API qui permet d'interfacer l'appli-cation avec des logiciels tiers commeun module de paiement de type Signerpour payer. De ce fait, YouSign mani-pule nombre de données personnelles.

Une analyse des risquespousséeL'entreprise a débuté son projet lorsdu dernier trimestre de l'année der-nière. Là encore l'entreprise avait dansson effectif un CIL (Correspondantinformatique et liberté). 11devrait làaussi devenir le DPO de l'entreprise.




1 mai 2018 - N°167

pour déblayer le terrain sur les spé-cifications et les développementstechnologiques nécessaires pourl'activité de l'entreprise. L'ensemblede la base de données a été chiffré.Un DPO a été nommé, il provientde l'interne et le CTO de Tilkeeindique : «Il nous suit dans la struc-turation de la conformité RGPD

jusqu'au niveau 3 du support, ducoup il a une position de poil à grat-ter dans l'entreprise. »

Une professionnalisationaccéléréeTimothée Saumet évoque lesimpacts sur son entreprise :«Jusqu'à présent, chacun utilisaitdes outils dans son coin et parfoisc'était un peu limite. Aujourd'hui,tout cela est fini. Tout le monde uti-lise les mêmes outils sérieux et per-sonne ne s'écarte du droit chemin.Cela a d'ailleurs été bien perçu etnous n'avons pas eu à faire de change

Antoine Louiset ajoute : «Avec lui, ona tout mis sur la table et nous avonsmis en place une feuille de route quicouvre toute l'année 2018. »La première action a été de dresserune cartographie des risques associésavec le RGPD et les risques associés

Refondrele processde recueil

du consentementpour que celui-cisoit plus propre

et clair.

m™ Wf

aux données sensibles et le renforce-ment des mesures de sécurité. «Nousavons revu les données que nousavions à gérer pour chaque traitement.Dans certains cas nous avons regardéaussi les données conservées pourassurer un maximum de sécurité. »

management autour de cela. Cela serésume à 25 outils et process avecune faible collecte de données : nomprénom, numéro de téléphone, desdonnées tout à fait légitimes pour nostraitements d'analyse et de relancecommerciale. »

Un avantage compétitifDans son domaine, Tilkee est souventconfronté à la concurrence d'éditeursétrangers. Son travail depuis plusieursannées sur la sécurité et celui plusrécent sur le RGPD lui donne une lon-gueur d'avance qui fait parfois la diffé-rence pour signer des contrats auprèsde clients eux-mêmes concernés parle règlement. Le patron de Tilkeeajoute : » Cela va faire le ménage surle marché et je suis rassuré d'être plussûU dans ce contexte. Cela met les édi-

teurs sur un pied d'égalité et permetd'écarter ceux qui ne seront pas auniveau. J'espère que cela sera unsignal pour le marché. » D

La conformitédès la conceptionAntoine Louiset explique : « Nousessayons de prévoir les risques dèsla conception de l'application. Nousavons remis certains points sur latable et ajusté certains process. » Cesopérations se sont accompagnéesde formations en interne pour lessalariés sur la protection des don-nées. Antoine Louiset pense d'ail-leurs que c'est un point positif desensibiliser l'ensemble des entre-prises à la question. Tout a été faiten interne avec les conseils d'unavocat et du CIL.

Les négociations avec les sous-trai-tants lui ont semblé le point le plusdifficile de la démarche. Si avec lesgros fournisseurs la question a étéassez vite réglée avec peu de possi-bilité d'évolution des contrats et uneassurance le plus souvent des effortsréalisés pour être conforme, cela n'apas été toujours le cas avec des four-nisseurs plus petits. «Nous avons étéamenés à changer plusieurs fournis-seurs et nous avons favorisé alors desfournisseurs français ». O




1 mai 2018 - N°167

VECTAURYS'APPUIE SUR L'EXISTANT

ET UNE e48,3( 'e',e(VECTAURY AIDE LES DISTRIBUTEURSET LESC200(5dA17S À AC48e5,5

DES CLIENTS ET À LES FAIRE VENIR DANS LEURS MAGASINS.

LES'211e(S PERSONNELLES FONT AINSI PARTIE DE SON QUOTIDIEN.

Pour Vectaury, la course à laconformité au RGPD a débutéavec la nomination de MathildeFerriol, la Correspondante infor-

matique et liberté de l'entreprise, et lamise en place d'une équipe dédiée.Rappelons que seul la Cnil peut offi-cialiser la désignation d'un DPO etque les formulaires de désignationsont désormais en ligne sur le site del'institution. L'équipe est en fait au tra-vail depuis deux ans. Elle a d'abordcherché à comprendre les enjeux juri-diques et techniques avec un groupede travail qui réunit les principaux diri-geants des différents services de l'en-treprise. Dans cette phase Vectaurys'est fait aider par un cabinet d'avo-cats et a entretenu des contacts per-manents avec la Cnil qui prodigue desconseils aux entreprises dans le cadred'un nouveau label RGPDqui remplaceInformatique et Libertés.

Adapter les technologiesL'étape suivante a été de mettre enplace de nouveaux processus admi-nistratifs, mais également à insérerle respect de la vie privée dans laconception des technologies. Ce tra-vail en collaboration avec les équipesproduit et technique exige une trèsbonne compréhension et connais-sance de la loi, ainsi qu'une mobili-sation des équipes opérationnelles.Du fait de sa conformité avec la loi de1978 qui encadrait déjà le traitementdes données, le travail a été simpli-fié. Mathilde Ferriol indique : «Nousne partions pas de zéro. Nous avonstravaillé sur le consentement avec lamise en de traitements à partirdes données dont nous avions besoin.

,ill Sketch 9:414M *1Q0« «

gff ' 1

À propos des publicités (?)

Nous partageons votre position avec des marques etnos partenaires technologiques pour vous proposer despublicités adaptées à vos centres d'intérêts Nous ne

communiquerons jamais votre identité. Vous pouvez

retirer votre consentement à tout moment dans lesparamètres de l'appiication.

Non, merci 9 J'accepte

r0 5 {20 «nW

Walklng l km

?os<2lus):Worklng at WeWork

NOVEMBEB14,2017

Cela a étéplus une adaptation et nousn'avons pas eu à tout recommencer.Sur les registres et la documentation,nous avions déjà des choses avec laconformité avec la loi de 78. LeRGPDrenforce les obligations et le travailn'est pas le même. »

Une phase périlleuseL'étape de vérification auprès dessous-traitants et de la question dela responsabilité des traitements estplus périlleuse qu'il n'y paraît selonla DPO de Vectaury. Cela a conduit àrenégocier des contrats. «Les obliga-tions posées rendent la négociationplus simple» indique Mathilde Ferriol.Vectaury est prêt depuis janvier etn'attend plus que les certifications dela Cnil pour se déclarer conforme auRGPD.Pour l'entreprise le RGPDs'est

mué en une opportunité businessintéressante. Cela a permis de semettre en avant auprès de grandesmarques qui ont choisi de travailleravec Vectaury car l'entreprise était enavance comparativement à d'autreset lui a permis d'évangéliser le mar-ché. Autre avantage, la réflexion sur laminimisation des données a permis àVectaury de réduire le volume de don-nées stockées de 10à 30% selon lesdonnées à collecter. Au bilan, le plusdifficile a été de traduire le juridiquedans les technologies et les opérationsde l'entreprise. Des ateliers en interneont résolu la question. O

On peut aussi sefaire accompagner,entre autres par laCnil, pour gagner

du temps, enmettant en place

une équipe dédiée.




1 mai 2018 - N°167

PROSLE RGPD DANS UN CONTEXTE

INTERNATIONALPROS EST UN e',7(85 INTERNATIONAL DE LOGICIELSD'OPTIMISATION DU PRICING

DES PRODUITSET SERVICES.COMME TOUT ENTREPRISE23e5A17 EN EUROPE,

IL SE DOIT DE RESPECTERLE PROCHAIN 5ÈG/(0(17SUR LA PROTECTION

DES'211e(S PERSONNELLES.

18 logiciels pour six pays européenspour plus de trois centspersonnes ». Leservice marketing concernait moinsde monde mais avait des parties spé-cifiques comme le site web.Peu à peu, aidé par des conseils etdes juristes, Pros a un peu démysti-fié la peur autour des conséquencesdu projet en parallèle de sa meilleurecompréhension de la réforme. VirginieDupin ajoute : «L'Europe, c'est pas laforêt vierge ! Les bases de donnéesmarketing étaient déjà en opt-in oudouble opt-in. Les changements sontau niveau de la collecte et du consen-tement qui doivent être plus explicites.Celane change pas trop nos pratiques.Ceux qui ont joué lejeu des réglemen-tations européennes n'ont pas tant detravail à faire, rien de titanesque.»Le projet passe par des travaux dedocumentation sur les données dusite web, des changements sur leschoix possibles pour préciser com-ment clients et Pros communiquentet dans quel contexte. Une des consé-quences a été une montée de versionpour le système de messagerie afindecorrespondre aux nouvelles condi-tions. Pour Virginie Dupin, le travail aété intense : «Jen'ai pas les recomman-dations globales du groupe mais nousn'avons pas de DPO, il y a un consul-tant en Allemagne. »La difficulté a été dans l'ajustementdes relations avec les fournisseursen s'assurant qu'ils seraient eux aussiprêts. Pros documente les traitementset les actions entreprises devraientfaire que l'éditeur soit prêt dès le1er mai. «Pour ma partie, je le serai le10mai», précise Virginie Dupin. O

Rien ne diffère Pros des entre-prises du secteur de la ventede produits et services auxentreprises. Les données per-

sonnelles se réduisent aux donnéesclients, métiers et prospects. VirginieDupin est cependant concernée aupremier chef par le RGPD du fait desa fonction de responsable marketing.Desa place, elle n'a pas une vision glo-bale de tout ce qui a été engagé dansson entreprise mais elle peut revenirsur les opérations qui ont eu lieu pourson silo.

Le projet a débuté l'été dernier avecla demande à tous les services ventes/marketing/RH de construire la carto-graphie des données et traitementspour savoir ce que chacun possédait,manipulait, stockait et documentaitdes processus actionnables par qui-conque pour des droits à la correctionet de suppression de données com-mun à tous. On comprend l'étenduede la tâche avecVirginie Dupin : «Celafait énormément d'outils avecdifférentssystèmes de paie et RH. Nous avions

Le problèmede non-conformité

provient le plussouvent des petits

fournisseursqui sont en retard

dans la miseen




1 mai 2018 - N°167

RGPD

LE KIT DE SURVIEIL N'EST JAMAIS TROP TARD POUR BIEN FAIRE.SI À LA DATE FATIDIQUE DU 25 MAI VOUS

1'Ê7(S PAS CONFORME, RIEN NE VOUS (03ÊCH(D'ENGAGER LA 'e0A5CH(.

POUR VOUS AIDER À 'e0A55(5,VOICI UN KIT DE SURVIE OU DE'e0A55A*( RAPIDE

AVEC ARNAUD DE CHAMBOURCY, PRACTICE MANAGER RGPDCHEZ UMANIS.

Lesentreprises sont entrées dansla dernière ligne droite pourse conformer à la réglementa-tion sur la protection des don-

nées personnelles. Toutes? Pas VûU!Les chiffres des différentes étudesparues jusqu'à maintenant ne sontpas vraiment rassurants sur ce point.Un peu moins d'un tiers des entre-prises seraient prêtes à la fin mai.Pour le reste, le flou est assez com-plet sur l'état d'avancement dans lesprojets et le profil bas est celui le plussouvent adopté pour ne pas se faireremarquer et épingler par l'autoritéde régulation en charge du RGPD,laCnil.

Nous avons échangé avec un spé-cialiste qui donne ici une feuille deroute permettant de réagir et d'en-tamer rapidement la démarche demise aux normes. Ne rien faire seraitde toute façon le pire. La Cnil a indi-qué vouloir être compréhensive pourceux ayant entamé la démarche, etla bonne foi sera importante, maisne comptez pas trop sur sa mansué-tude pour la simple raison que cerèglement est européen et qu'il doits'appliquer de la même manière dansl'ensemble de l'Union Européenne.

Commencer par...le début!Arnaud de Chambourcy est assezdirect. Première question : «Est-ceque mes données sont sécurisées dansmon SI et dans mes locaux ?» Pourlui, il faut retourner aux basiquesde la question avant d'entreprendrequoi que soit. Ainsi préconise-t-ilde vérifier la sécurité physique deslocaux, puis ensuite celle mise enplace sur les postes de travail avec

J *S S ^ N C O N F O K ^

Z Sedoter d'un registre des traitements

m et le tenir a jour

B . r un DPOet définir sesmissionsN o m m e r u n

S ' a S S U r f t ? a i w n t r m e T c ^ o r m l t é

e ts

' l'oubli et la portabilité• s s ï ï s s - -- Définir le P ~ e desdonnées• s e n S i W e Sa S e s s d w n o e

Mettre enplaceun processa^ S e S n n é e sOU a u x t u i x ea ^ . .

u n r a t i q u e

en interne

une sensibilisation des collaborateurset la mise en place d'une charte debonne conduite ou la gestion deshabilitations. Il conseille de chif-frer les pièces jointes des mails oules mails eux-mêmes. 11ajoute : «Ilexiste plein de petits outils gratuitspour te faire. Cela permet d'évitercertaines fuites de données. Ce n'estpas la solution miracle. Il est pos-sible aussi d'écouter ou de sniffer les

espaces de travail partagés pour repé-rer les utilisations nocives. » Le but detous ces processus est de protéger lesdonnées.

Un consentementunivoque et éclairé«Le risque intervient dès que vousêtes visible. » Tous les éléments dusite internet doivent être protégés dubandeau au cookie et les conditions




1 mai 2018 - N°167

générales d'utilisation et de ventedoivent être claires. «Le principe deta finalité de la collecte doit être biendéfini et le consentement doit suivrecette information. » Cela fait claire-ment partie de la check-list danstoutes les entreprises.Vient ensuite l'étape de la relationavec les sous-traitants, les fournis-seurs commerciaux, les partenaires.Les contrats doivent être revus pourcomporter certaines clauses quiprennent en compte la gestion desdonnées à caractère personnel etque le tiers affiche bien la collectepour vous, en particulier si vous êtesle responsable du traitement desdonnées collectées. Cela doit êtreclair pour l'utilisateur final. 11faut yajouter les règles de sécurité prisespar le sous-traitant pour assurer lesdonnées.

Encore loin du but!Si après fait tout cela, vous pen-sez être près du but et de la confor-mité avec le RGPD, modérez votreenthousiasme car un long cheminreste à faire! Arnaud de Chambourcyindique que c'est à ce moment quevous allez «entrer dans le dur en fai-sant l'état des lieux de la conformitéet la cartographie des traitements ».Comparativement aux étapes pré-cédentes, vous entrez dans un pro-cess plus classique et certains pointsde la loi Informatique et Liberté oude la loi de 1995 vont vous aider àvous rapprocher de la conformité.Ainsi le principe de minimisationdes données présent dans le textedoit vous faire vous interroger sur lepourquoi vous conservez et collec-tez toutes ces données. Se mettre à laplace du client est souvent la bonnedémarche.

Un travail de fourmiInterrogé sur la construction desregistres évoqués dans la loi, Arnaudde Chambourcy le confirme : «Oui, cetravail est long et consommateur detemps mais il est le moyen de démon-trer que le traitement est conformeau texte. » Il s'agit là de documenterle traitement effectué avec sa fina-lité, les micro-traitements, les petitesmanipulations qui interviennent dans

de nombreux traitements quotidienscomme l'envoi d'une fiche de paie.« Cela doit être réalisé de manièreassez fine, sinon vous n'avez pas lacapacité de voir Rù sont les brèchespossibles. »

Se faire aiderArnaud de Chambourcy plaide évi-demment un peu pour sa chapelle,mais se faire aider permet de gagnerdu temps et surtout de s'entourerde compétences juridiques et tech-niques parfois difficiles à trouveren si peu de temps. Tous les interlo-cuteurs dans les entreprises de ser-vices contactées dans le cadre dece dossier ont indiqué être sollici-tées tous les jours sur la question etque les ressources commencent àmanquer pour faire face à toutes lesopportunités.

Un impactsur l'organisationLe travail de mise en conformité peutaussi avoir des impacts sur l'organi-sation. Le premier est la désignationd'un DPO, Data Protection Officer.Celui-ci doit avoir les moyens et res-sources nécessaires pour effectuer satâche et mener à bien le chantier versla conformité. Pratiquement, de nom-breux correspondants Informatiqueet Libertés présents dans certainesentreprises sont souvent le plus àmême de remplir ce rôle. Il existe denombreux guides et possibilités dese faire conseiller; en premier lieuauprès de la Cnil, qui délivre conseilset documentation.Le texte n'est pas encore en appli-cation et certains points de la régle-mentation seront précisés par lajurisprudence mais les principescomme le droit à l'oubli, la portabi-lité des données, le consentementéclairé ne souffriront pas d'exceptionen Europe. Autant envisager le projetcomme une chance et certaines entre-prises qui nous ont déclaré être prêtesà la date fatidique voient la démarchecomme un atout concurrentiel faceà des compétiteurs moins avancés.L'avantage n'est que tactique et nedurera que le temps que les entre-prises soient au niveau, mais cela per-met de saisir des opportunités. O

H La constructiondes registres

est un travail longet consommateurde temps, maisc'est le moyen

de démontrer quele traitementest conforme

au texte»Arnaud de Chambourcy,Practice Manager RGPD

chez Umanis.




1 mai 2018 - N°167

Documents

France DIFFUSION - Umanis...Saumet, CTO et fondateur de Tilkee, le résume simplement : «Ces clients nous demandaient d'être plus sérieux et nous faisaient passer des audits de