ANNEXE 4 - Entretien Céline Ambroise-Thomas,
AIRRIA
GUIDE D'ENTRETIEN
PRESENTEZ-VOUS
o Quel est votre parcours ?
o Quelles sont vos attributions ?
o Avez-vous suivi une formation spécifique RGPD,
comment ?
VOTRE ORGANISATION
o Quels sont les impacts sur votre organisation interne ?
o Qu'avez-vous mis en place ?
o Où en êtes-vous dans votre processus de mise
en conformité ?
o Quels sont les impacts, moyens, financiers ?
o Pensez-vous être opérationnels au 25/05/18
?
o Souhaitez-vous obtenir un label ?
ACTIVITE
o Avez-vous été interpelés par vos clients
?
o Avez-vous communiqué sur le sujet ?
o Quels sont les retours ? La perception des clients ?
o Le RGPD a t-il donné lieu à des offres de
services spécifiques ?
o Cela a-t-il dopé votre activité ?
o Comme le marché, votre activité dans la
domotique et les objets connectés semble être en plein
développement. De nombreux articles évoquent la
vulnérabilité de ces matériels et la faible implication ou
responsabilisation des fabricants sur ce sujet. Risques de piratages,
élargissement surface d'attaque (20Md IoT d'ici 2020)
? Etes-vous interpellés par vos clients ?
? Les sensibilisez-vous ? Bonnes pratiques...
? Qu'avez-vous modifié dans votre approche
? Les fabricants commencent-il à prendre des dispositions
?
o Perception : sentiment qu'il y a « à boire et
à manger »
VOTRE ANALYSE : Quel votre avis personnel si vous souhaitez m'en
faire part ?
o Pensez-vous que ce dispositif soit suffisant ? Quelles peuvent
être les limites ?
o Pensez-vous que cette réforme constitue une contrainte
ou une opportunité pour l'entreprise ?
o Pensez-vous que c'est l'opportunité pour l'Europe de
reprendre la main sur le numérique ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
TRANSCRIPTION INTERVIEW Céline
Ambroise-Thomas
Le 07/05/2018 à Meylan
Chargée du développement commercial Prestataire de
services informatiques
Mathieu Darmet : Je connaissais votre
dirigeant car nous avions géré des dossiers en commun il y a
quelques années. Puis nous nous sommes ensuite perdus de vue, mais
visiblement votre activité s'est bien développée
depuis.
Céline Ambroise-Thomas : Maintenant
Antoine Dréano gère une partie de notre activité qui
s'appelle le Smart Building Alliance, autour de tout ce qui concerne les
bâtiments connectés. Avant c'était choses un peu gadget,
pour les « maisons de footballeurs » et aujourd'hui presque tous les
bâtiments qui sortent au niveau promotion immobilière sont des
bâtiments connectés, que ce soit en terme de consommation
d'énergie, de sécurité des personnes, de confort... Et
c'est très intéressant.
MD : Je vous remercie de me recevoir, car
j'ai pu voir vos différentes activités sur votre site et j'ai
surtout été interpellé par votre expertise sur les objets
connectés. En particulier parce que cela semble être assez
sensible en terme de sécurité et que j'ai lu différentes
choses à ce sujet.
Nous en reparlerons, mais j'aimerais d'abord en savoir plus
sur votre parcours. Vous m'expliquiez que vous aviez au départ
travaillé sur la partie RH, puis évolué vers la partie
commerciale, pouvez-vous m'en dire plus ?
CAT : Je suis chargée de développement
commercial, sur deux activités, la coordination et l'animation au sein
du groupe de l'équipe en lien avec le directeur commercial, trouver des
leviers de développement pour notre business auprès de nos
clients existants et des prospects. Mon autre mi-temps est sur l'agence locale
AIRRIA, qui propose des services de proximité en informatique à
des clients locaux, qui sont des TPE et PME. Là je fais de l'animation
commerciale, du marketing, de la prospection, des devis, de la relance, de
l'optimisation de contrats avec nos clients ou à élaborer de
nouvelles offres. C'est dans ce cadre que je peux vous parler de mon retour
d'expérience sur le RGPD. Nous n'avons pas fait une offre RGPD au niveau
du groupe, dans la mesure où au niveau du groupe AIRRIA nous ne sommes
plus sur un business modèle de franchises, mais sur un réseau de
sous-traitants et d'adhérents, auquel nous apportons de
l'activité. Nos clients grands comptes, nous confient leurs projets
informatiques et Nous leur portons le projet de A jusqu'à Z, avec la
conduite d'activité ici et les agences sous-traitantes, qui ont les
compétences pour ces projets et qui bénéficient d'une
implantation à proximité du client. Donc dans ce cadre, nous
n'abordons pas le RGPD, notre rôle n'est plus de faire de
l'accompagnement. Avant nous aidions beaucoup les chefs d'entreprises, en leur
proposant des offres, des matrices pour les aider à travailler et
à augmenter leurs compétences dans leurs agences. Aujourd'hui, on
est face à des entrepreneurs et l'idée est de leur apporter du
business. Avec le modèle de la franchise, nous apportions un cadre avec
des offres pour qu'ils puissent démarrer et les accompagner sur le
terrain commercialement. Par contre, au niveau de ARRIA Chanel, qui est le
service qui pilote l'ensemble de nos agences AIRRIA, nous avons quand
même fait des webinars sur une sensibilisation au RGPD, pour que tout le
monde soit bien informé, puisse communiquer en amont à ses
clients, pour les rassurer et se positionner en tant que
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
professionnel sur une partie. Il y a donc eu beaucoup
d'information générale sur ce thème et on a
expliqué comment sur l'agence de Grenoble nous avons prévu de
travailler avec nos clients. Au début, nous pensions tout prendre en
charge, alors que finalement nous nous limitons à la partie
informatique.
MD : Dans vos séminaires, vous avez
fait intervenir des spécialistes, comme Optimex Data que nous avons
évoqué par téléphone ?
CAT : Oui pour le 3ème webinar, ils sont
intervenus, parce que nous avons fait le choix sur Grenoble de travailler avec
ce cabinet sur la partie organisationnelle et juridique. Nous avons aussi
essayé de proposer un tarif préférentiel pour les
adhérents qui décideraient de travailler aussi avec Optimex.
Notre rôle est de proposer et de suggérer, mais pas d'imposer quoi
que ce soit.
MD : C'est donc devenu, plus un principe de
coopérative que de franchise traditionnelle, où le
franchisé est obligé de souscrire à l'ensemble des
offres.
Et en interne ? Vous faites du marketing, des actions
commerciales, il y a des fichiers et des données plus ou moins
critiques. Qu'avez-vous mis en place vis-à-vis du RGPD ?
CAT : Alors au niveau d'AIRRIA Chanel, c'est la plateforme
qui anime, recrute, forme toutes les agences AIRRIA. Mais au sein de la
société mère, ce n'est pas moi qui vais m'en charger, car
nous avons un DSI externalisé, qui est un de nos partenaires, qui
travaille aussi avec Optimex Data. Il dispose donc de tous les
éléments pour mettre en place le RGPD au niveau de cette
structure.
Donc nous nous sommes plus focalisés sur nos clients
que sur ce qu'il fallait faire en
interne.
MD : Effectivement, dans ce cas vos clients sont
eux-mêmes des prestataires informatiques.
CAT : Nous avons aussi des clients en direct, TPE ou PME de la
région.
Pour le moment nous n'avons pas encore fait d'action
marketing sur le sujet, on est encore sur une approche personnalisée, on
en parle directement à nos clients lorsqu'on les rencontre. Nous n'avons
pas fait d'emailing ou autre sur le RGPD.
MD : Vous n'avez donc pas encore d'impact,
de moyens ou de coûts financiers associés à la
thématique RGPD ?
CAT : Non pas du tout.
MD : J'interrogeais justement le dirigeant
d'Optimex la semaine dernière. Ils ont a un label de la CNIL pour leurs
prestations, mais je lui demandais si ils allaient décerner un label ou
une certification aux clients. Il y pense, est-ce que c'est quelque chose que
vous souhaiteriez
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
obtenir ou mettre en avant ? Nous sommes labelisés
RGPD, vous pouvez obtenir une certification...
CAT : Nous mettons en avant notre partenariat avec Optimex,
qui est labelisé. C'est un point important qui les rassure et permet de
maintenir la confiance. Pour l'instant nous avons vendu deux prestations
d'audit RGPD et nous avons vraiment souhaité les positionner comme
interlocuteurs privilégiés de nos clients sur le RGPD. Nous
restons le service informatique de nos clients, mais on s'appuie sur les
services d'Optimex Data qui fait l'audit et peut se positionner comme le DPO
externalisé ou qui va former celui de notre client. Après, on
voit pour la facturation, ça dépend un peu du client, mais en
plus on démarre seulement sur le sujet. Par contre, nous avons
validé que c'est ce cabinet qui est le mieux à même de
remplir cette mission et on veut qu'ils soient le point d'entrée, ce qui
est plus lisible et rassurant pour le client.
MD : Oui c'est un peu ce que ce sont dit les
ESN, qui ont d'abord vu un business potentiel, puis réalisés que
cela relevait avant tout de l'organisation interne et du juridique.
CAT : Tout à fait et la difficulté que nous
avons rencontrée, comme toutes les sociétés informatiques,
c'est que nos fournisseurs, d'anti-virus, sauvegardes et logiciels en
général, n'avaient pas de communication très claire sur
leurs produits. Ça commence, mais on ne sait pas si tel ou tel produit
est conforme au règlement. On en a pourtant beaucoup entendu parler, sur
les réseaux sociaux ou dans les médias, sur la partie magistrale
du RGPD, mais quand on creuse niveau technique il n'y a pas grand-chose...
MD : Je crois que tout le monde est en train
d'en prendre un peu la mesure et de se demander ce que cela impacte
réellement. Evidemment la sécurité et on voit que beaucoup
d'entreprises sont loin d'être aux normes de ce point de vu. Mais je
pense que ça va faire bouger les lignes.
Pour en revenir aux interventions que vous avez
réalisées pour vos clients, comment ça s'est passé
?
Vous avez d'autres demandes ?
CAT : Alors, elles sont signées et on doit les
réaliser. Il y a quelques autres demandes, mais on se rend compte que
ceux qui s'y intéressent beaucoup sont surtout des grandes PME, qui sont
déjà très bien organisées et qui savent
déjà se donner les moyens de leurs ambitions. Nous avons
rencontré des Directeurs Financiers qui ont déjà compris
qu'avec le RGPD ils n'ont pas le choix et c'est le discours qu'ils tiennent
à leur PDG, donc ils prennent le sujet à bras le corps, ont
défini un calendrier. Ils ne se sont pas posé la question de le
faire ou pas. Donc tout ce passe bien avec ces structures, mais les plus
petites se sentent dépassées.
MD : Oui mais à moins qu'elles fassent du e-commerce
en B2C, qu'elles manipulent de gros fichiers ou des données sensibles,
ces structures sont assez faiblement impactées.
CAT : De manière générale, nous n'avons
pas souhaité avoir un discours alarmiste auprès de nos clients.
Au contraire et comme Optimex Data le fait, on essaie vraiment de
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
l'appréhender en terme d'opportunité,
au-delà du côté obligatoire et de la mise en
conformité au RGPD. On part aussi du principe qu'une
société que nous suivons, avec un contrat de maintenance, le
basic de la sécurité est déjà en place. Parce qu'on
n'accepte pas de maintenir un système d'information ou il n'y a pas
d'antivirus ou de système de mots de passe et d'identification.
Maintenant nous allons quand même vérifier si tout correspond bien
à ce qui est décrit par le règlement. Mais beaucoup nous
disent qu'ils ont participé à des réunions d'information
et qu'ils en sont ressortis très inquiets, de ce fait notre discours les
rassure.
MD : Puisque nous parlons de vos contrats,
avez-vous avez prévu de leur apporter des modifications, d'ajouter
certaines clauses ?
CAT : Pas encore, mais il va falloir et ça fait partie
des chantiers en cours.
MD : J'aimerais aussi que nous parlions de l'IoT. J'aimerais
comprendre quelles sont concrètement vos prestations sur les objets
connectés. Vous en installez vous-mêmes, c'est de la prescription,
de la maintenance ?
CAT : L'IoT, nous en avons toujours fait, ça ne
s'appelait pas comme ça, mais quand nous disons que l'on installe et que
l'on déploie tous les objets connectés, c'est assez large. Par
exemple, un radiateur est aujourd'hui un objet connecté, donc
aujourd'hui je n'arrive pas vraiment à faire le lien entre le RGPD et
l'IoT.
MD : Le lien, c'est la sécurité et les
données collectées par ces objets. Techniquement, il y a le
problème des firmware qui ne sont pas nécessairement mis à
jour par les fabricants, car ils n'ont pas cette culture numérique. On
parle de fabricants de radiateurs, pas d'informaticiens, qui ont
intégré des technologies, type puces RFID, qui ont un niveau de
sécurité très faible, considérant que ce ne sont
pas des objets critiques. Mais plus il y en aura, et on parle de 20 milliards
d'objets connectés à l'horizon 2020, plus ces problèmes de
sécurité, d'intrusion, de malware, seront impactants.
CAT : Oui je comprends, comme nous sommes les donneurs
d'ordre de ces prescripteurs ou installateurs, je pense à Enedis pour
les compteurs Linky, que nous installons aussi, nous ne nous sommes pas
posé la question du RGPD pour les IoT que l'on déploie. Mais eux,
je penser que oui. D'ailleurs, sur le plan commercial, à ma
connaissance, ils ne ont jamais parlé du RGPD.
MD : Pourtant ces objets remontent des
informations qui relèvent de la vie privée des individus et les
sources de collecte se multiplient et ces données peuvent se vendre
entre autre à des fins marketing, il y a un marché avec des
courtiers... Je voulais savoir si le monde des objets connectés
commençait à prendre la mesure des enjeux.
CAT : Non, nous n'avons vraiment pas eu de communication de la
part de nos prescripteurs. Nous nous intéressons plus au RGPD,
vis-à-vis des informations sur nos salariés et pour notre portail
AIRRIA Chanel qui collecte des informations sur les marchés et sur nos
partenaires. Donc là, il va falloir que nous nous mettions en
conformité.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
MD : J'ai bien compris. Donc pour en finir
avec les objets connectés, si je résume, les notions de
données personnelles, ne passent pas par vous, ni par vos installateurs,
mais relèvent plutôt des fabricants.
CAT : Pour les IoT, aujourd'hui on ne maintient pas et on ne
déploie pas nos propres solutions.
Et non, on en entend même pas parler.
MD : Oui je me doute bien que vous avez déjà du
travail en interne et qu'il y a de nombreux sujets à aborder.
D'ailleurs, c'est un peu ce qui est compliqué en ce moment, avec la
profusion d'informations ou d'articles sur le RGPD.
CAT : Oui j'en ai lu aussi énormément. Je ne
sais pas ce que vous en pensez, mais j'ai le sentiment que bien que
l'échéance approche, cela s'est un peu calmé.
MD : Peut-être un peu effectivement, il faut croire
qu'ils ont fini par assécher le sujet, du moins pour le moment. Ce n'est
que le début et je pense qu'avec toutes les questions sociétales
que cela soulève, on n'est pas prêt de clore le sujet. De plus le
discours de la CNIL se veut aussi plus rassurant et les gens ont
commencé à comprendre que la vocation n'est pas uniquement de
sanctionner.
CAT : C'est aussi le discours que nous avons tenu à nos
clients, en leur disant pour le mois de mai, il faut surtout que vous puissiez
démontrer que vous avez engagé des choses à ce sujet et
que tout ne peut pas être conforme.
MD : C'est ce dont tout le monde s'est rendu
compte et c'est finalement la bonne volonté des entreprises que la CNIL
entend d'abord mesurer, du moins dans un premier temps.
CAT : Je pense que c'est aussi l'occasion de faire
évoluer la communication entre les différents services d'une
même entreprise, dans le sens où ils ne sont pas toujours au
courant de ce que fait l'un ou l'autre. Maintenant, le DPO va être au
coeur de l'organisation, des actions, garant des bonnes pratiques et il va
falloir le tenir informé. Mais cela fait un petit peu peur, comme quand
nous avons dû mettre en place la DUERP (Document Unique d'Evaluation des
Risques Professionnels), pour les risques professionnels. Cela a demandé
un gros travail en amont et maintenant c'est intégré. Donc le
RGPD, c'est un peu la DUERP de l'informatique, même si c'est plus large.
Est-ce que vous avez beaucoup de retours d'expérience d'entreprises qui
ont déjà un DPO en place ?
MD : Pas vraiment, je rencontre justement le
premier cet après-midi à GEM. Il y en a assez peu, d'autant que
toutes les entreprises n'ont pas l'obligation d'en avoir un, à moins de
réaliser des traitements sur des données sensibles. Ma
démarche n'a pas la prétention d'être exhaustive, donc j'ai
surtout adressé mon réseau. Il y en a déjà dans les
grands groupes, mais ce n'est pas évident de pouvoir les rencontrer sans
être recommandé, d'autant qu'en ce moment, ils sont tous assez
occupés...
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
CAT : Pour moi, cette notion de données
sensibles, quand on fait son inventaire, cela peut concerner beaucoup de
choses.
MD : Ce qui est sensible, concerne surtout des
informations caractérisant les opinions des gens, leurs convictions ou
des informations relatives à leur santé...
CAT : Pour moi, ne serait-ce que les coordonnées
bancaires me semble être des informations sensibles. Donc à partir
du moment où on a des clients, des fournisseurs et des
salariés...
MD : Oui, mais il s'agit aussi de données
légitimes, indispensables à votre activité. Donc il vous
appartient de les référencer et de les protéger, parce
qu'elles restent des informations que je qualifierait de « critiques
», mais pas sensibles au sens du RGPD.
CAT : D'accord, j'avais du mal à faire la distinction.
MD : Sinon, au niveau de votre analyse sur le RGPD, qu'en
pensez-vous, est-ce que vous voyez des limites par exemple ?
CAT : Ce qui m'a effaré et un peu
inquiété, c'est de constater que nos fournisseurs de logiciels,
de sauvegarde ou autre, ne sont pas prêts et qu'ils n'ont pas encore
même pas abordé cette dimension. Quand on les interroge sur le
cryptage des données, ce n'est pas possible, c'est encore stocké
en claire dans l'application. Donc techniquement, je ne vois pas comment le
règlement peut être respecté sur toutes les dispositions.
La CNIL ne va peut-être pas tout contrôler pour le moment, mais
j'ai du mal à voir comment nous pourrions tout maîtriser ou
empêcher un salarié de récupérer des données
sur une simple clé USB. N'ayant pas une casquette technique, je peux
difficilement être rassurée sur tout, car le chantier me parait
tellement énorme et même pour le DPO qui va devoir y consacrer
beaucoup de temps. Je pense quand même que beaucoup ont surfé sur
cette vague, j'ai même des confrères qui m'ont dit qu'ils ont
embauché un commercial pour communiquer autour du RGPD, en appelant tous
les clients et qui arrivent même à trouver de nouveaux contrats.
Mais je pense que maintenant on va rentrer plus dans le vif du sujet, avec des
réunions plus concrètes et pratiques. Que ce soit les juristes ou
même les sociétés informatiques, je pense qu'ils vont mieux
s'approprier la règlementation sur son application opérationnelle
chez les clients.
MD : Il y a des vrais chantiers, mais il
était difficile de prendre la mesure, avec un texte peu accessible.
CAT : C'est en ça qu'Optimex permet de
démystifier la chose et d'apporter plus de lisibilité. J'ai donc
hâte que cette réglementation prenne de la maturité, que le
DPO joue un rôle de conseil et de communiquant dans l'entreprise et c'est
ce qui va permettre de changer et de mettre en place les bonnes pratiques
auprès des utilisateurs.
On parle aussi de nouveaux droits accordés aux
citoyens européens, je crains aussi une forme de dérive des
demandes qui pourront être faites, par les salariés ou les
clients, concernant
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
les données qu'on a stockées. Que certains n'y
voient pas avant tout le moyen de faire des procès et d'obtenir des
dédommagements.
Pour AIRRIA, je pense qu'on se pose les bonnes questions et
que nous avons mis en place des bases qui nous permettront d'aborder
sereinement la mise en place du RGPD. On apprend au fil de l'eau, on s'adapte
à nos clients et on les rassure en s'entourant de spécialistes du
réglementaire, ce qui nous permet de nous concentrer sur notre
métier. On entre dans le vif du sujet, mais il me semble que les choses
se feront finalement de manière plutôt sereine.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
| 
