tiero - Fotolia
RGPD un an après : les DPO de Dior, Axa, BNP Paribas et Arkéa témoignent
Le 25 mai 2018 entrait en vigueur le règlement européen relatif aux données personnelles, le fameux RGPD. Ce renforcement de la protection des données personnelles a créé une onde de choc dans les entreprises avec des niveaux de maturité encore très différents d’un secteur à un autre.
Le cabinet de conseil spécialisé TNP réunissait il y a quelques jours à Paris quelques-unes de ses grandes références clients afin d’évoquer leur adoption du RGPD, ou plutôt leur état d’avancement dans la mise en place des règles du RGPD. Car à l’heure actuelle, bien peu d’entreprises peuvent affirmer être à 100 % en conformité avec les 50 articles du règlement qui s’appliquent à elles.
Guy Leturcq, directeur général et co-fondateur de TNP Consultants soulignait en quelques chiffres l’important de l’impact qu’a eu le règlement en Europe : « Il y a maintenant 51 000 DPO [Data Protection Officer, N.D.L.R.] en France, 375 000 en Europe sur les 500 000 organisations pour lesquelles le DPO s’applique, la couverture en termes de DPO atteint désormais 75 %. 94000 plaintes individuelles ont été enregistrées à ce jour, ce qui signifie que le RGPD est aujourd’hui connu du grand public et les internautes commencent à utiliser ses dispositions pour faire valoir leurs droits. Pour les entreprises, il y a d’une part la peur du gendarme, mais surtout l’image que renvoie l’entreprise à chacun de ses clients et la relation de confiance qu’elle doit établir avec eux. »
L’expert a aussi pointé le fait que sur les 61 millions d’euros d’amendes infligées au nom du RGPD dans toute l’Europe à ce jour, 50 millions l’ont été par la France à une et une seule entreprise, Google.
François Pellegrini, membre du collège CNIL souligne : « En un an nous avons créé une marque mondiale avec très peu de moyens en communication. Cela importe aux entreprises aussi parce que cela intéresse le grand public. L’effet cathartique du RGPD est intéressant, car les gens qui découvrent le RGPD aujourd’hui ignoraient la loi Informatique et Liberté depuis 40 ans. »
Le représentant de la CNIL a rappelé que si la menace de sanctions à hauteur de 4 % du chiffre d’affaires a certainement joué le rôle d’électrochoc dans les Comex, l’objectif du règlement est bien d’améliorer le niveau de protection des données personnelles sur le continent : « C’est bien qu’à un moment donné il y ait cette prise de conscience. Et la sanction rend toujours les gens plus attentifs, ce qui est un peu le théorème d’Al Capone qui disait que pour obtenir quelque chose il vaut mieux être armé et poli plutôt que simplement poli. Les gens sont plus attentifs, mais si on se focalise sur la sanction on rate la cible qui est, pour nous en tant que régulateur, la mise en conformité des entreprises. »
Le secteur bancaire en première ligne
Parmi les entreprises sans doute les mieux préparées à absorber l’onde de choc du RGPD, les banques, habituées à cette problématique de protection des données et surtout maintenant rompues à la mise en application de réglementations contraignantes.
Ainsi, avant même l’entrée en vigueur du RGPD, BPN Paribas Asset Management était soumis à une bonne trentaine de réglementations différentes. Dans sa démarche de conformité au RGPD, Christophe Bonnefoux, CDO chez BPN Paribas Asset Management a mis en place un Data Board où siègent tous les membres du Comex et leurs n-1. Le 25 mai 2018, celui-ci convoquait tous les membres de ce conseil d’administration de la donnée. « Comme toute banque, nous avions mis en place des procédures de niveaux 1, 2, 3. Nous avons décrit nos procédures, puis nous avons implémenté le registre de traitements. Nous sommes présents dans 32 pays dont 19 concernés par le RGPD et nous avons cherché à uniformiser les pratiques et automatiser les process via des outils proposés par des startups. »
Christophe BonnefouxCDO, BPN Paribas Asset Management
Pour une entreprise de la taille de BNP Paribas, l’un des principaux enjeux de cette conformité RGPD était de gérer la complexité de son système d’information qui compte pas moins de 450 applications. « Pour le volet Privacy by Design, nous avons beaucoup de projets informatiques et d’évolutions menées en parallèle. Nous avons donc développé ce que l’on appelle des pré-PIA (Privacy Impact Assessment/ Etude d’Impact sur la Vie Privée), car il était impossible de demander à nos DPO de participer à tous nos comités d’architecture, sachant que nous avons 450 applications qui évoluent en parallèle. Nous avons donc porté un effort de sensibilisation et de formation du personnel et aujourd’hui 95 % de nos 2 500 collaborateurs ont été formés en l’espace de deux mois. »
Autre problématique forte pour la banque, la qualité des données. A l’ère des algorithmes, ingérer des données erronées dans le système d’information entraîne des résultats faux et il faut corriger les erreurs de saisies le plus en amont possible. « Nous avons fait un constat assez simple : si nous voulons donner de la valeur à une donnée, il faut que celle-ci soit de qualité. Les algorithmes ont des difficultés avec les données textuelles, car les algorithmes de qualité de données classiques laissent passer des erreurs. Nous travaillons actuellement avec Centrale Paris et Polytechnique pour détecter les erreurs sur les données textuelles via des algorithmes de Machine Learning. Nous investissons sur des algorithmes prédictifs pour anticiper des erreurs lorsqu’on reçoit des données à 3 h du matin et pour aider la personne qui arrive à 9h du matin à remédier aux erreurs détectées pendant la nuit. »
Le rôle du DPO n’est pas celui d’un gendarme de la donnée
Pour Lucas Naja, DPO de Crédit Mutuel Arkéa, il n’y a pas eu vraiment de Big Bang avec le RGPD, même si son entrée en vigueur a déclenché quelques craintes auprès des métiers manipulant des données. Le groupe bancaire disposait bien évidemment d’un CIL (correspondant informatique et liberté) et se conformait aux exigences de la loi Informatique et Liberté. Le RGPD a donc été une continuité de cet effort.
Lucas NajaDPO, Crédit Mutuel Arkéa
« Pour une banque technophile comme l’est Arkéa, le cœur de réacteur, c’est son système d’information, la valeur d’une banque c’est la donnée de ses clients » explique le DPO. « Nous traitons bien évidemment beaucoup de données et on va en traiter de plus en plus. On parle de comportemental, d’analyses prédictives, de catégorisation de dépenses, ce sont des choses que l’on fait, mais que l’on encadre. Nous ne souhaitons pas être les gendarmes de la donnée, mais plutôt ceux qui vont accompagner les métiers et s’assurer que tout est fait dans un esprit de confiance et d’éthique. »
Le DPO l’avoue, dans un premier temps, le RGPD a beaucoup stressé les métiers et celui-ci a dû les rassurer quant aux usages possibles de la donnée. S’il n’est effectivement pas possible d’utiliser des données personnelles pour faire de la segmentation et réaliser des prises de décision automatisées, il reste bien évidemment possible de travailler sur des segmentations avec des données anonymisées.
« Les données de segmentations peuvent être transmises aux métiers, mais c’est une analyse humaine qui fait le ciblage. Les métiers qui pensaient ne pas avoir le droit de faire du ciblage peuvent le faire s’ils sont encadrés et, depuis que j’occupe cette fonction, je n’ai pas décelé de comportements hors-jeu. », précise Lucas Naja.
Le RGPD non pas un sujet de conformité, mais un outil opérationnel
Autre secteur amené à traiter énormément de données personnelles, celui de l’assurance. Là encore, la problématique de protection des données est traitée de longue date par les assureurs.
« Le RGPD n’a pas été une révolution car nous avions déjà des dispositifs et des mesures de protection des données en place. Et notre approche a été pragmatique : bien identifier et exploiter ce qui existait déjà pour y intégrer le RGPD » explique Fabienne Naime, la DPO d’AXA Partners qui gère 40 DPO dans le monde dont 15 en Europe.
Fabienne NaimeDPO, AXA Partners
En termes d’outillage, l’assureur n’a pas opté pour un outil lié à la conformité RGPD proprement dit, mais un outil qui allait permettre de mieux gérer les données. « Le RGPD était une opportunité, un coup d’accélérateur pour mettre en œuvre un nouvel outil, une solution tierce que nous avons configurée nous-mêmes et adaptée à nos besoins spécifiques. L’outil traite la partie référencement des traitements, catalogue des données et enfin qualité des données, l’objectif étant d’avoir un meilleur contrôle de la donnée. »
Si pour ces grandes entreprises, le RGPD fut traité en continuité des efforts de conformité déjà entrepris depuis des années, pour les entreprises de taille plus modeste ou les pure players Internet, cette mise en conformité a pu représenter un effort plus important.
Erevan Malroux, Privacy Counsel chez Rakuten (anciennement PriceMinister en France) explique : « En tant que Pure Player, avec des données issues de nos vendeurs professionnels et des vendeurs amateurs, nous n’avons bien évidemment pas attendu le RGPD pour nous soucier de protéger ces données, mais nous avons pris conscience peut-être un peu plus tardivement que d’autres de la possibilité de créer de la valeur de manière directe à partir de cette donnée. »
Chez cet acteur du commerce électronique, le projet RGPD a été mené en parallèle à deux gros chantiers qui ont marqué le mois d’avril 2018, à savoir le rapatriement de leur régie publicitaire en interne et la mise en place d’un portail unique de connexion pour l’ensemble des services, un dispositif devant rehausser le niveau de sécurité des données du e-commerçant.
Erevan MalrouxPrivacy Counsel, Rakuten
Erevan Malroux raconte : « Le rapatriement de notre régie a été lancé en avril 2018. Face au RGPD, cela pouvait être considéré comme une activité risquée car la programmatique est l’un des usages de la donnée les plus en pointe. Néanmoins nous avons fait le choix de l’internaliser et en reprendre le contrôle, ce qui va dans le sens du règlement en matière de conformité et de responsabilisation. Nous avons repris le contrôle physique, matériel et organisationnel de nos données. Pour moi, le RGPD n’est pas un frein à l’exploitation des données. »
Christian Dior Couture mise sur son ITSM pour sa conformité RGPD
Autre entreprise dont on imagine mal le rôle de la donnée dans son activité, mais sur laquelle pèse le RGPD, Christian Dior Couture.
Elisabeth Quillatre, la DPO de l’entreprise explique l’enjeu de la donnée pour la prestigieuse maison de haute couture : « Nous ne sommes pas du monde du mass-market mais la donnée client nous est précieuse. Depuis le départ nous nous sommes attachés à protéger nos données clients et le RGPD a été vu comme une démarche pour améliorer notre relation clientèle, la personnaliser tout comme le produit lui-même et améliorer notre image ».
L’entreprise va de plus en plus vers la personnalisation de ses produits avec une gamme de produits tels que des boucles d’oreilles, des sacs, personnalisés en fonction des données que leur confient ses clients. La société est très centralisée et c’est Paris qui impulse le mouvement pour les pays européens et la plupart des zones géographiques.
« Notre première décision a été d’imposer le RGPD partout dans le monde, y compris hors de l’Union Européenne car nos clients sont internationaux et peuvent tout autant acheter à Paris comme en Chine. Nous sommes 6 000 salariés dans le monde dont 1 400 au siège et les 5 premiers mois du projet ont été consacrés à la sensibilisation et la formation du personnel quant à la Privacy Policy de l’entreprise. »
Elisabeth QuillatreDPO, Christian Dior Couture
En amont du 25 mai 2018, l’entreprise a travaillé sur le volet IT du RGPD, notamment définir ou mettre à jour les durées de conservation de l’ensemble de ses données personnelles, avec une revue de chaque donnée par son responsable métier. Côté outillage, Elisabeth Quillatre a fait le choix de s’appuyer sur une solution déjà déployée dans l’entreprise : « Nous sommes parti sur notre outil ITSM qui était déjà déployé et qui nous permettait de gérer nos incidents IT. Nous disposions déjà d’une base de données en place, de workflows et nous nous sommes appuyés sur les modules de l’éditeur pour notre projet RGPD. »
Pour ce projet, la DPO a déployé 4 modules additionnels sur sa plateforme de Service Desk.
Le premier implémente le registre des traitements qui centralise l’information. Ce module intègre déjà un workflow permettant aux Business Owners de chaque traitement de valider celui-ci et de consulter les commentaires apportés. Toute modification de traitement passe par ce workflow.
Le deuxième module est un outil de DPIA (Data Protection Impact Assessment/Analyse d’impact relative à la protection des données). Un outil jugé très simple, une page couplée à un workflow, un document directement basé sur ce que propose la CNIL et qui a été adopté par le groupe LVMH.
Un troisième module permet aux collaborateurs de notifier toute faille de sécurité. La DPO juge néanmoins que c’est le quatrième module, dédié à la gestion des demandes des clients vis-à-vis de leurs données, qui a contribué le plus au succès de cette implémentation du RGPD : « Nous avons travaillé avec le call-center pour que celui-ci soit le point d’entrée de toutes ces demandes client ou prospect et puisse les entrer dans l’outil. Nous avons la chance d’avoir un call-center unique en France mutualisé pour tous les pays. »
Le RGPD, quelle valeur ajoutée pour les entreprises ?
Si, pour toutes les entreprises françaises et européennes, le RGPD est perçu comme une contrainte forte, la question de la valeur ajoutée pour les sociétés d’une telle politique de protection des données reste posée.
L’Europe estime qu’il s’agit d’un atout pour ses entreprises du continent face aux GAFA ou aux entreprises asiatiques peu regardantes quant à la protection des données personnelles. Néanmoins, à court terme, les gains ne semblent pas aussi évidents à trouver.
Florence Bonnet, directrice chez TNP Consultants souligne : « Le RGPD est une opportunité, pour les entreprises, d’innover autrement et d’en tirer des bénéfices à moyen et long terme. Le Gartner indique que celles qui investissent dans la protection des données peuvent espérer 10% de revenus additionnels, mais je pense qu’il faut avoir une approche holistique. La protection des données est certes une histoire de confiance avec le client, mais c’est aussi une histoire de confiance avec le salarié et donc améliorer le climat social, se montrer plus attractif, etc. A terme, le RGPD portera ses fruits même si, à l’heure actuelle, les données RH sont le parent pauvre des stratégies RGPD des entreprises. »
Christophe Bonnefoux, CDO chez BPN Paribas Asset Management souligne : « A cette occasion du RGPD, nous nous sommes aperçus que dans nos 450 applications, nous manipulions 180 données personnelles et ce référentiel de données dont nous disposions, c’est le RGPD qui nous a permis d’en prendre conscience. »
Guy Leturcq, directeur général et co-fondateur de TNP Consultants, souligne qu’effectivement, cette mise en action du RGPD coïncide avec l’effort de transformation digitale des entreprises qui place la Data au cœur des préoccupations des dirigeants : « En termes de création de valeur, nous observons que de plus en plus de directions d’entreprise mettent en place des organisations “Data Centric” et font émerger le métier de Chief Data Officer. Sur LinkedIn France, le nombre de profils de ce type était de 4 000 fin 2016. Il atteint aujourd’hui 10 000. Les organisations se transforment et la Data est au cœur des préoccupations des dirigeants d’entreprise. »
Un panel d’entreprises très en avance sur la masse
Si les entreprises clientes de TNP Consultants font preuve d’un niveau de maturité très élevé vis-à-vis du RGPD et de cette problématique de protection et valorisation des données personnelles, Florence Bonnet, directrice de TNP Consultants le reconnaît aisément : ces témoignages ne sont pas très représentatifs des sociétés françaises car elles sont déjà très matures sur ce sujet de la donnée.
« Elles sont certainement en avance par rapport à d’autres pour qui la confiance est aussi un enjeu majeur et le RGPD est un sujet de confiance. Les niveaux de maturité sont très divers en fonction de la taille de l’entreprise, de son secteur d’activité. Les secteurs habitués à la problématique de la conformité comme les banques, les assureurs sont habitués à la mise en place de process mais d’autres secteurs découvrent presque le RGPD. Nous constatons l’arrivée d’une deuxième vague, notamment le secteur public qui traite énormément de données personnelles et de données sensibles. Nous voyons arriver beaucoup d’appels d’offres issus du secteur public et des collectivités territoriales en particulier. »
En dépit de l’électrochoc du 25 mai 2018, un an après l’entrée en vigueur du RGPD, bien peu d’entreprises peuvent se targuer d’en appliquer à la lettre l’intégralité des articles. Le pipeline des plaintes en cours de traitement de la CNIL est encore bien alimenté et les condamnations devraient se multiplier dans les prochains mois.