ANNEXE 5 - Entretien Alexis Dupic, Optimex Data

GUIDE D'ENTRETIEN

ORGANISATION INTERNE

o Structure, historique, effectif

o Génèse de l'activité

o Aide, financement

o Partenariats

o Obtention du label ? Cnil indique que c'est la COFRAC qui les décerne, mais rien sur leur site... Comment et qui peut l'obtenir ?

o Différence entre label et certification ?

CONCURRENCE

o Avez-vous des confrères sur la région ? Labelisés ? Bureau Véritas ? Juristes indépendants ?

o Perception : sentiment qu'il y a « à boire et à manger »

PRESTATIONS :

o Périmètre d'intervention (répartition secteur de la CNIL ? entente entre confrères ?)

o DPO externalisés : Ressources internes ? Co traitant ? Indépendants ? NB de demande ?

CLIENTELE :

o Comment les trouvez-vous ? Prescripteurs ? Communication Marketing ? Démarchage ?

o Niveau de sensibilisation

o Perception de vos démarches

o Niveau de conformité / maturité

o Typologie : Grands groupes ? ETI ? PME ?

o Chiffre d'affaire

APPLICATION AU NIVEAU UE :

o Savez-vous s'il y a des disparités entre les pays de l'union (adaptation du RGPD, mise en application, dérogation

o J'ai ouie dire que certaines organisation (corporation, grands groupes) avaient fait du lobbying en amont pour être exonérés de certaines contraintes. Qu'en est-il ?

VOTRE ANALYSE : Quel votre avis personnel si vous souhaitez m'en faire part ?

o Pensez-vous que ce dispositif soit suffisant ?Quelles peuvent être les limites ?

o Pensez-vous que cette réforme constitue une contrainte ou une opportunité pour l'entreprise ?

o Pensez-vous que c'est l'opportunité pour l'Europe de reprendre la main sur le numérique ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

TRANSCRIPTION INTERVIEW Alexis Dupic

Le 04/05/2018 à Varces

Mr Alexis DUPIC

Juriste en protection des données - Co-fondateur de la société Optimex Data

Mathieu Darmet : Nous discutions avant de commencer l'interview de la portée internationale du RGPD et tu me disais que même l'Australie est en train de s'interroger.

Alexis DUPIC : Avec l'entrée en vigueur du règlement dans une vingtaine de jours, il y a beaucoup d'Etats qui en dehors de l'Union Européenne pourraient s'en inspirer. Nous sommes novateurs et c'est une base qui les interpelle et c'est important de le souligner. On nous a dit pendant des années que la France était en retard sur le numérique, que la loi Informatique et Libertés ne fonctionnait pas. C'est donc l'opportunité d'en profiter pour changer les choses. C'est parce que j'ai fait du droit européen que j'en suis arrivé à la protection des données. C'est une très bonne chose pour l'Union Européenne et l'ensemble de ses citoyens. Cela va aussi dans le sens du business, du marché interne où l'on avait la notion de libre circulation des biens, des personnes, des services et maintenant des données. Une entreprise européenne qui avait une filiale en Allemagne ou ailleurs en Europe, cela restait très compliqué de faire circuler des données. Ne serait-ce que des données-salariés à destination de la personne qui gère la paie, qui devait se conformer à chacune des lois informatique des pays, quand il y en avait une. En ce sens ce nouveau texte est un atout et va permettre à ces entreprises de réaliser d'importantes économies.

A l'inverse ce n'est pas du tout ce que voient les TPE, même si elles ne sont pas les plus impactées. Mais ne serait-ce qu'en utilisant un Outlook hébergé à l'étranger il y aura des transferts de données, alors que si elles restent en interne, il n'y a pas cette problématique. A partir du moment où on veut se développer à l'international, il faut se poser des question. Lorsqu'on travaille avec la Suisse par exemple, on a la chance d'avoir un cadre juridique qui est reconnu par la Commission européenne et ce n'est donc pas un frein au développement de son business. De fait cela impacte forcément tous les états limitrophes, même lorsqu'ils ne sont pas membres.

MD : Comment es-tu arrivé dans ce métier ?

AD : Optimex Data va avoir un an. L'année dernière, j'étais encore étudiant, en stage chez Proxy Papers dont nous partageons les locaux.

MD : J'ai pourtant vu sur internet que l'entreprise existe depuis plus longtemps, avec un autre dirigeant.

AD : Nous avons préféré reprendre une structure, Optimex Formation qui existait depuis 2009 et pour laquelle mon associée Sandrine Barthelemy assurait des missions de consulting. Cela nous a permis de conserver leur numéro d'agrément pour dispenser des formations et démarrer rapidement. Optimex Data est donc le nom commercial d'Optimex Formation.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Mon associée a d'abord créé sa structure de services à la personne, Proxy Papers, dans le domaine de la gestion administrative, en intégrant un espace de stockage sécurisé dédié à la personne. Ce cloud permet de stocker tous les papiers, comme un Google Drive, mais respectueux des données. C'est son avantage concurrentiel, en plus du service proposé à la personne, elle dispose d'une interface pour consulter ses documents, de rappels d'échéances...

Sandrine avait entendu parlé du règlement et avait besoin d'un juriste pour la protection des données. Elle s'y est pris plus d'un an en avance par rapport aux autres, justement suite à une conférence à l'Université dans laquelle je faisais justement mes études. J'ai appris que Proxy Papers recherchait un juriste et cette mission correspondait exactement à ce que je souhaitais.

Au bout de 3 mois de stage, j'ai mis Proxy Papers en conformité et elle m'a proposé de créer une activité plus spécialisée pour les autres entreprises, car ça n'existe pas. Il y avait quelques entreprises sur Paris, mais c'était surtout traité par des avocats, plus sur la partie conseil juridique : rédaction d'actes et contrats, qui ne sont pas des choses sur lesquels nous intervenons. On fait de la mise en oeuvre et de l'opérationnel. Notre vraie valeur ajoutée est d'interpréter les articles du règlement pour les transformer en actions concrètes.

Nous réalisons des audit, proposons des formations et des missions d'accompagnement. Nous les aidons à cartographier les traitements, évaluons le fonctionnement des entreprises et leur niveau de confidentialité au regard des exigences du règlement. Puis nous émettons un bilan RGPD, avec des préconisations correctives, pour qu'elles puissent être en conformité. L'entreprise peut mettre en oeuvre elle-même son plan d'action, ou faire appel à nous pour l'accompagner.

MD : J'ai vu sur votre site que vous proposiez des DPO externalisés. Est-ce vous qui assurez directement ces missions ? Etes-vous en capacité de les assumer ou passez-vous par des prestataires ?

AD : Si à l'issue de l'audit, l'entreprise est concernée par l'obligation de nommer un DPO, nous nous proposons d'être leur DPO externe ou d'en former un en interne.

MD : Est-ce que vous assurez déjà ces fonctions de DPO, qui est donc mutualisé ?

AD : Non pas encore, mais nous commençons bientôt. C'est encore en discussion, mais nous allons accompagner une communauté de communes. Nous avons déjà fait un audit et ils réfléchissent à le faire en interne, mais je pense qu'elle va faire appel à nous. Cela pourra potentiellement être étendu aux communes qui la composent et dans ce cas nous pourrions mutualisé un DPO. Ce sera surement le cas de d'autres structures, comme une petite start up de 15 personnes qui n'aura pas les moyens de prendre un DPO et préfèrera s'allier avec une autre qui a le même besoin. Mais il faut que ce soit des structures assez similaires, qui est la même problématique.

MD : Cela veut-il dire qu'il y a des critères à respecter sur ce point ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

AD : Il n'y a pas de critères officiels dans le règlement. Le G29 est chargé d'interpréter le règlement, les points généraux du règlement et notamment sur le DPO. Le règlement étant assez vague sur ce point, le G29 a pu donner des indications pour déterminer en quel mesure un DPO pourrait être mutualisé. Après il faut faire preuve de bon sens, on ne va pas mutualisé un DPO pour des structures en concurrence.

MD : J'ai vu que vous êtes labellisés par la CNIL. C'est un point qui m'intéresse car la CNIL indique qu'elle a délégué ce rôle, à priori à la COFRAC, qui devra elle-même labelliser des organismes certificateurs. Pouvez-vous m'en dire plus ?

AD : Je crois que les labels existent depuis 2004. C'était la directive 95/46 de l'Union Européenne qui permettait à la CNIL de décerner des labels mais qui a été abrogée par le RGPD. Tous les états membres ne l'avaient pas transposée, car chaque Etat est sensé transposer les directives dans une loi, ce qui est assez long.

MD : Je crois d'ailleurs qu'en France la nouvelle loi Informatique et Libertés doit être votée par le Sénat autour du 20 mai.

AD : Elle devait même entrer en vigueur le 6. Je ne sais pas ce qu'il en est, mais ça va surement se faire au dernier moment. Le RGPD est au-delà d'une directive, ce qui veut dire qu'il n'y a pas de transposition et que chaque pays va devoir appliquer le même cadre.

MD : Mais sais-tu s'il existe quand même des disparités entre les pays ? Que ce soit dans le contenu de la loi ou dans la manière de l'appliquer ?

AD : La loi Informatique et Libertés 3 qui va être adoptée par notre gouvernement n'est pas obligatoire. Le règlement est le cadre juridique pour tout le monde, donc un pays comme la Roumanie qui n'avait pas de loi informatique devra appliquer le règlement. L'utilité d'une loi Informatique et Libertés 3, réside dans la marge de manoeuvre que laisse le règlement aux états membres, pour durcir le règlement dans certains cas, parfois pour l'assouplir mais c'est très rare. Par exemple, avec le RGPD, à quelques exceptions près, il n'y aura plus de formalités préalables de déclaration auprès de la CNIL. Sur ce point le règlement laisse donc une marge de manoeuvre aux états membres. Actuellement, lorsqu'on traite des données sensibles, il faut demander une autorisation à la CNIL tous les ans. C'est ce que font la CAF ou les mutuelles, ce qui est assez lourd. Le règlement permet aux Etats membre de conserver ce régime s'ils le souhaitent. Ce sera donc plus équitable pour les entreprises. Avant, la loi informatique allemande était plus stricte que la LIL française et cela pouvait compliquer les relations commerciales. Aujourd'hui, à quelques petits détails près, ce sera beaucoup plus simple.

MD : Comment as-tu obtenu ce fameux label CNIL ?

AD : C'est la CNIL qui avait décidé d'attribuer des labels, pour les audits, les coffres fort et les formations. L'obtention a été assez longue, puisque nous avons eu des échanges avec le pôle label de la CNIL pendant plus de 8 mois, sur la conformité de notre organisme, le contenu

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

de nos formations. Nous avons obtenu les labels il y a un peu plus d'un mois. A partir du 25 mai, il n'y aura plus de labels, mais des certifications, comme le prévoit le règlement. Les CNIL européennes se réunissent en ce moment pour voir comment vont être attribuées les certifications. D'après ce que j'ai pu comprendre, je pense qu'Optimex Data pourra être un organisme certificateur pour son client. Nous ferons un audit et on pourra certifier de sa conformité. C'est la même démarche que pour les normes iso, mais c'est encore en négociation et nous devrions être fixés dans les jours ou les semaines qui viennent. J'espère avant la 25 mai, car ce serait un comble qu'ils ne soient pas eux-mêmes en conformité avec ce qu'ils nous demandent. Le pôle label va se transformé et nous sommes l'un des derniers organismes a avoir pu en obtenir un, car ils seront remplacés par les certificats.

MD : Cela veut dire que vous allez devoir refaire toutes les démarches ?

AD : Non car les labels sont décernés pour 3 ans, mais nous ferons quand même des demandes de certification des sociétés. Mais ces labels étaient importants, car ils témoignaient de notre proximité avec la CNIL, ce qui est un gage de légitimité important pour les formations que l'on dispense.

MD : Avez-vous mis en place des partenariats avec d'autres acteurs ?

AD : Nous travaillons beaucoup avec les prestataires informatiques de la région, voir autour. Ils sont souvent les premiers à être interpellés par leurs clients, pour savoir s'ils sont en conformité et comment ils peuvent l'être eux-mêmes. Pour lancer notre business, nous nous sommes justement tournés vers ces prestataires pour leur proposer d'accompagner leurs clients sur la partie juridique. Certains proposent des prestations autour du RGPD, mais ils ne font pas du juridique. Quand on regarde le règlement, la partie informatique est finalement assez faible, puisque c'est surtout un outil pour arriver à la conformité. En schématisant fortement, pour être en conformité il faut sécuriser les données, soit de manière physique, car il y a toujours des données papier sur les clients et les salariés, soit de manière informatique pour tout ce qui est numérisé. Mais c'est vrai que les prestataires informatiques ont une carte à jouer sur le RGPD, parce qu'ils doivent mettre en oeuvre et garantir les mesures de sécurité appropriées.

MD : Sachant qu'ils ont uniquement une obligation de moyens.

AD : Oui, mais comme ils ne maîtrisent pas le juridique, ils nous envoyaient des clients et nous en faisions autant quand nous détections que la protection informatique n'était pas suffisante. Nous en recommandons quelques-uns et c'est les seuls partenaires que nous avons.

MD : Avez-vous pu bénéficier de financement ou d'aides pour lancer votre activité ?

AD : Non, aucune.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : Tout le monde utilise le RGPD comme vecteur, pour tout est n'importe quoi. Sur votre marché, avez-vous de vrais concurrents, en dehors du marché parisien que tu évoquais ?

AD : Il y en a beaucoup sur Paris et de plus en plus sur la région, à Lyon, à Chambéry.

MD : Est-ce qu'ils sont labellisés aussi ? J'ai vu notamment que Bureau Veritas proposait aussi une formation DPO.

AD : Non ils ne sont pas labellisés pour la plupart, à part sur Paris.

Pour Veritas, ils proposent leur propre certification, mais ils ont un nom et une réputation. Nous ne pouvions pas nous contenter de proposer des formations certifiées Optimex Data.

MD : Est-ce que vous vous limitez au secteur Rhône-Alpes ?

AD : Oui et non, car nous avons de gros contrats en dehors.

MD : Combien êtes-vous actuellement dans la structure ?

AD : Nous sommes 5 à plein temps, mais on recrute. Actuellement nous avons 3 juristes dont moi, mon associée sur la partie administrative, commerciale ou gestion de projet et nous venons de recruter une commerciale, qui assure aussi des tâches administratives.

MD : Vous avez plutôt une démarche offensive ou vous traitez surtout des appels entrants ?

AD : Nous avons beaucoup de demandes entrantes et nous avons communiqué. Le magazine Présence nous a contactés par l'intermédiaire d'un de nos partenaire pour participer à leur dossier sur le RGPD.

MD : Quel est le volume de demandes ?

AD : Je suis tellement dans l'opérationnel depuis ces derniers mois, que je ne saurais pas te répondre. Je sais qu'il y en a énormément, mais avec ma charge de travail, je découvre mon emploi du temps au fur et à mesure. Je gère plusieurs missions en parallèle, mais certaines sont plus longues que d'autres, entre une demi-journée et plusieurs jours. Cela dépend de la taille, de mon interlocuteur et des problématiques.

Nous le qualifions lors de la demande-client et adaptons notre offre en conséquence, mais ce n'est plus moi qui m'en occupe.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : Au-delà de votre intuition de penser qu'il y aurait de la demande, comment avez-vous monté votre business plan ?

AD : C'était un peu un pari, mais nous savions qu'il y avait une obligation légale. Nous avons un peu moins de visibilité pour l'après, mais nous savions aussi que nous étions les seuls sur Grenoble.

MD : C'est assez étonnant que vous soyez les seuls...

AD : Oui et non, il y a beaucoup de communication sur la partie informatique, mais peu sur le juridique encore actuellement.

Le règlement est beaucoup utilisé pour faire peur, alors que les incidences seront assez limitées pour la plupart des entreprises. Ce n'est pas du tout notre approche, on essaie au contraire de dédramatiser au maximum le règlement. On tient plutôt le même discours que le CNIL, qui est de dire qu'une règlement existe depuis 40 ans et que rien n'a été fait pour s'y conformer. Le RGPD est l'occasion de rattraper ce retard et si l'organisme n'est pas prêt au 25 mai, nous rappelons que la CNIL aura une démarche pédagogique. En revanche, sur ce qui aurait dû être fait depuis 40 ans, elle sera beaucoup moins indulgente.

Nous avons une population de petites sociétés ou d'artisans, qui nous interrogent sur leur fichiers clients, prospects, salariés et qui ne savent pas quoi faire. Nous les rassurons et leur rappelons que les actions de la CNIL seront proportionnées. Beaucoup de communications ont eu tendance à dramatiser et il y a effectivement des enjeux importants, notamment vis-à-vis des GAFAM. Il fallait jusqu'ici déposer une déclaration sur le site de la CNIL ce qui prenait quelques minutes.

Le RGPD a renversé la charge de la preuve et ce ne sera plus à la CNIL de dire qu'un traitement est en conformité, mais à l'organisme de prouver qu'il est bien en conformité lorsqu'il rencontre une violation de données, un crypto locker, ou en cas de conflit avec un client ou un salarié. Cela implique de tenir un registre de traitement, ce qui devrait se limiter à 4 ou 5 traitements pour une TPE ou un commerçant. Alors qu'on en rencontre 100 à 150 dans les grosses sociétés.

Le règlement est donc empreint de bon sens. Il n'a que peu évolué pendant des années, donc il faut forcément remettre les choses à plat. Cela nécessite une certaine mobilisation et une cohérence entre les services, mais ce n'est pas plus mal.

MD : En interne nous nous interrogions sur les contacts qui nous demandent un « opt-out » lorsque nous diffusons des mailings ou newsletter. Nous les supprimons de la liste de diffusion, mais avons-nous le droit de les conserver dans un autre fichier ?

AD : Il faut maintenant garder une trace des demandes de désinscription, c'est même exigé. Il faut garder une trace de cette demande et les conserver dans un fichier à part.

MD : Mais ce n'est donc pas un vrai effacement...

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

AD : C'est sûr, mais elle n'est plus dans la boucle de la prospection. La personne s'oppose à une diffusion, mais pas à figurer dans les fichiers. Mais si elle demande un effacement, là ce n'est plus un droit d'opposition.

MD : Cela existait déjà dans la loi Informatique et Libertés.

AD : Oui mais le RGPD va plus loin, car ce droit est renforcé avec la notion de profilage. Maintenant on peut s'y opposer, pour l'effacement des données cela peut aussi être demandé. L'entreprise peut refuser parce qu'elle a encore besoin de ces données pour ce qui est lié à son système d'information, comme la facturation ou ce genre de choses. Elle peut faire en sorte de pseudonymiser ou d'anonymiser les données.

MD : Mon entreprise se pose justement des questions de conformité de ses logiciels, avec des problématiques d'intégrité de nos bases de données. Car on ne peut supprimer totalement des clients ou prospects pour lesquels nous avons réalisé ne serait-ce qu'un devis.

AD : Le règlement ne donne pas de solution pratique. Même la CNIL n'en propose pas. D'ailleurs le guide qu'ils ont sorti pour les PME est très bien, il est pédagogique et dédramatise la situation, mais il n'est pas assez concret et opérationnel. Cela manque d'exemples pratiques et de ce point de vu les gens ne sont pas plus avancés.

MD : En même temps cela justifie d'autant plus l'existence de structures comme la

vôtre !

AD : On apprécie la démarche, car ce guide ne nous fait pas du tort, mais il est dommage qu'il n'apporte pas plus de réponses aux entreprises, qui ont tendance à dire qu'elles en ont marre et qu'elle n'y comprennent rien...

MD : Par quels types de clients êtes-vous sollicités ?

AD : On n'a pas vraiment de typologie de client. Nous nous posions la question lors de la création de la structure, mais finalement c'est aussi bien des petites sociétés que des grands groupes, des collectivités ou des associations. La semaine dernière j'étais chez un petit éditeur de logiciel et j'intervenais chez l'habitant, au domicile du dirigeant. C'est un indépendant, mais il travaille avec des collectivités qui lui demandent d'être en conformité. Comme il ne peut pas perdre ses clients, il nous a sollicité. Puis cette semaine j'étais dans un grand groupe et ce n'est pas du tout la même approche. C'est aussi ce qui est génial dans mon travail d'auditeur, qui nécessite une grande faculté d'adaptation.

MD : Avez-vous des perspectives de croissance, envisagez-vous des levées de fonds ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

AD : Nous avons des valeurs de petite société, donc pas vraiment. Nous prenons notre temps et on ne sait pas encore comment va être la suite.

MD : Après l'effet RGPD, comment réorienter l'activité ?

AD : Je pense qu'il est encore trop tôt pour se poser ces questions. Je suis peut être un optimiste, parce que je crois vraiment à ce projet européen de RGPD. Tout le monde nous l'envie et ça va devenir une base. Dans les marchés publique on demandera un niveau de conformité. Il y a les clients qui nous appellent parce qu'ils ont reçu des courriers de la part de leurs clients qui veulent savoir s'ils sont en conformité. C'est le schéma qui va porter l'application du règlement, qui va rentrer dans les moeurs et je pense qu'il y aura toujours besoin de DPO ou à minima des choses à faire à un moment donné dans les entreprises.

Je n'ai pas trop de vision sur l'avenir, car c'est trop tôt, mais nous sommes en train de créer un métier, d'autant qu'il n'y a pas grand choses sur le sujet. Le G29 a publié un dossier de 30 pages sur les DPO, qui là aussi n'apporte pas grand-chose de concret. C'est donc à nous de créer le métier et il y a déjà des associations qui se sont créées, notamment celle des DPO de France, qui a pris des initiatives, comme une charte de déontologie des DPO, un forum d'entraide, dont nous bénéficions et dont nous sommes acteurs. Il y a aussi des débats, notamment sur les certifications, mais souvent sur Paris et on ne peut pas toujours s'y rendre.

MD : Que penses-tu du niveau de sensibilisation des gens ?

AD : Il y a d'une part la sensibilisation des entreprises, mais aussi des individus eux-mêmes. On voit souvent des utilisateurs ou des responsables de service qui sont déjà très sensibilisés dans le milieu professionnel et la confidentialité. Au niveau des organismes, je ne suis pas le mieux placé pour répondre, car je n'interviens que chez ceux qui nous sollicitent. Soit j'interviens en audit et ils sont dans une démarche d'avantage concurrentiel en terme de réputation ou sur le plan commercial. Tout le monde est très impliqué et ça se passe très bien. Soit il s'agit de sociétés qui n'ont pas le choix. Elles peuvent le prendre comme une obligation qu'elles subissent en se disant qu'elles feront comme avec la loi précédente et verront bien, ou elles prennent conscience que c'est un enjeu pour leur business. C'est le cas des éditeurs de logiciels qui sont assimilés à des sous-traitants, ou les avocats ou cabinets d'expertise-comptable qui traitent des données confidentielles pour leurs clients. La notion de sous-traitant est donc très large, tout le monde est sous-traitant à un niveau ou un autre et doit pouvoir présenter des garanties au niveau de la protection des données. Il m'est arrivé d'intervenir dans des sociétés où les gens sont peu motivés et pas forcément de bonne foi.

MD : J'entends bien qu'il y a des opportunités, mais cela occasionne aussi des coûts pour les organisations, qui ne sont pas anodins, ni prévus. Je pense à l'organisation mais également aux moyens à mettre en oeuvre, notamment sur l'informatique. Même si ces budgets relèvent du bon fonctionnement des entreprises, beaucoup n'avaient pas été prévus cela.

AD : Il y a de moins en moins d'entreprises qui ne sont pas passées sur le cloud, ou qui n'ont pas mis un minimum de moyens en interne. Tout est beaucoup mieux structuré et sécurisé. Quand c'est le cas, on met en évidence les risques, on préconise de mener certaines actions

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

correctives ou un audit de sécurité informatique et je les renvoie vers des prestataires informatique.

Ce n'est pas dans nos attributions, mais fait partie du règlement et plus précisément de l'article 32 sur la sécurité des données. Dans nos rapports d'audit, on s'appuie aussi sur les publications de la CNIL qui propose des guides assez intéressants.

MD : Et combien coute un audit d'Optimex Data ?

AD : Cela dépend de la durée des missions, donc on applique un tarif journalier de 850 € HT, qui correspond à ce que pratique les prestataires de service. Un audit complet, interne et externe, peut varier entre 2 jours à 2 jours et demi minimum, jusqu'à plus de 10 jours.

MD : Avez-vous beaucoup de demande de la part d'éditeurs de logiciels, car ils sont nombreux dans notre région ?

AD : Il est trop tôt pour que nous puissions dégager une tendance sur les entreprises qui nous sollicitent. Sur les entreprises dans lesquelles je suis intervenu, j'ai croisé plusieurs prestataires informatiques et éditeurs de logiciels, mais quand je dis plusieurs, c'est 2 ou 3 à chaque fois.

MD : Cela me semble peu, vu leur nombre et les répercutions que peuvent avoir le RGPD sur leur activité. J'ai le sentiment que cela rejoint la tendance général, car je trouve qu'il y a un vrai retard dans les organisations.

AD : Ils ne savent pas forcément comment faire. Nous avons aussi des cabinets comptables, des avocats.

MD : Qui peuvent aussi être des prescripteurs. Est-ce que vous les démarchez spécifiquement ?

AD : Nous avons été amenés à intervenir au travers d'organismes de cette branche et avons un peu communiqué. Mais c'était surtout des opportunités et ils en ont ensuite parlé à d'autres, comme avec les Communautés de communes. Comme il n'existe pas beaucoup d'autres organismes, notre nom revient souvent.

MD : Cela doit vous poser des problèmes de réactivité et capacité.

AD : C'est pour ça que nous recrutons et pour l'instant nous parvenons à traiter toutes les demandes. Nous n'avons pas encore beaucoup communiqué et demain il faudra peut-être que nous nous adaptions. Mais actuellement nous faisons appel à des consultants externes.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : De quels types de profils s'agit-il ?

AD : Ce sont des juristes indépendants, que nous connaissons via notre réseau, notamment un ancien camarade de fac. Ça me donne justement l'occasion de reboucler avec mon parcours universitaire et d'anciens enseignants qui m'ont transmis leur passion pour la protection des données. Il y a un Data Institute à Grenoble, qui est un laboratoire de recherche sur les données, avec des personnes très compétentes et passionnées. Ma démarche est aussi un moyen de pouvoir leur rendre ce qu'ils m'ont donné, en recrutant des stagiaires qui ont suivi le même cursus que moi, ou de faire appel à des personnes qui ont fait des thèses sur le sujet. Mais nous recevons aussi des CV de personnes qui travaillent en indépendant ou ont été CIL. Selon la demande nous ferons aussi appel à ce type de compétence, mais c'est surtout des profils juridiques qui nous intéressent. Pour l'instant, j'ai beau avoir un emploi du temps chargé, je n'ai pas de visibilité sur l'évolution de la demande.

MD : Penses-tu que cette règlementation soit suffisante ? Est-ce que tu vois des limites ?

AD : Je ne la trouve pas adaptée pour les petites entreprises, notamment sur les aspects pratiques liés à la sous-traitance, auxquelles elles peuvent être confrontées. Elles le prennent comme quelque chose d'insurmontable, alors que ce n'est pas la bonne approche.

De manière général, je trouve que ce règlement est très bien fait. Il est rédigés dans des termes tellement généraux, qu'il en est presque infaillible. On ressent dans chaque alinéa les débats qu'ils ont suscités au Parlement Européen pendant 4 ans. On ressent l'influence des différents acteurs, de l'Etat, des associations de consommateurs, comme La Quadrature du Net par exemple, mais aussi celle des lobbys. Le texte est d'autant plus intéressant juridiquement, parce qu'il a une portée extra territoriale. Pouvoir imposer à des acteurs privés économiques le RGPD alors qu'ils ne sont pas sur le territoire c'est une vraie avancée.

Il y a aussi le problème des petites entreprise ou artisans, qui souscrivent des services en ligne, comme de la messagerie, sans trop se préoccuper des clauses qu'ils acceptent dans le contrat. Comme le règlement impose d'avoir un contrat avec tous ses sous-traitants, je trouve que cela a du sens quand il s'agit de contractants qui ont la même taille, sinon c'est trop contraignant. La CNIL a publié un guide pour les sous-traitants, avec des clauses que ces sociétés peuvent utiliser et qui sont simples à intégrer. Mais sur le terrain, il va être compliqué pour une TPE de les mettre en place, alors qu'ils ont tendance à intervenir entre eux de gré à gré.

MD : Est-ce que des collectifs ou des fédérations n'auraient pas matière à fédérer la mise en place de ces pratiques, à se positionner comme référents ou à accompagner ces petites structures ?

AD : C'est la question qu'on s'est posé. Vers qui pouvons-nous nous tourner pour accompagner les TPE ? C'est un peu la questions avec les ordre des avocats, des experts comptables ou celui des médecins. Il leur appartient aussi de se saisir de ces questions liées à la loi Informatique et Libertés pour leur proposer des solutions.

MD : Ce qui me semble préoccupant, c'est que ces grands acteurs, comme Google en profitent pour demander encore plus de données, en faisant accepter des conditions qui se

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

veulent plus transparentes et non plus acceptées par défaut. Surtout en partant en plus du principe que beaucoup d'utilisateurs sont enclins à les accepter pour bénéficier du service. Allons-nous réellement arriver à contraindre de telles multinationales ?

AD : Je pense que cela va donner naissance à un nouveau type de business, comme celui de LinkedIn, qui consiste à s'engager à ne pas vendre vos données. Ils ont saisi le RGPD comme une opportunité de renforcer la confiance client en mettant en avant leur politique de confidentialité. Contrairement à Google, ils ne sont pas rémunérés sur les données, préférant le faire sur les post sponsorisés, ou les comptes Premium et autres fonctionnalités additionnelles.

Je crois à un nouveau business modèle qui proposerait des services respectueux des données. Je trouve que c'est un bon compromis par rapport à ce qui se passe actuellement. Les citoyens ont aujourd'hui besoin d'accéder à des services qui leurs sont devenus indispensables, mais ne veulent plus pour autant qu'on utilise leurs données. Avant on pouvait avoir l'application Coyote moyennant un abonnement mensuel, c'était trop cher et maintenant on utilise Waze, mais on accepte de voir ses données collectées et d'avoir des publicités à chaque feu rouge. Même si on se pseudonymise, nous pouvons de toute façon être identifiés par notre téléphone. On peut bien sur minimiser son exposition, avoir plusieurs comptes, des adresses « poubelle »...

MD : Mais encore peu de gens ont ce type de préoccupation. J'y suis sensible et ne l'ai pas fait moi-même.

AD : Je suis venu à la protection des données, parce que j'ai utilisé Internet très jeune et j'ai été sensibilisé à ne pas donner mon identité. J'ai d'ailleurs mis du temps à avoir un compte Facebook et je n'ai pas mis mon nom de famille. Quand on me demandait pourquoi, je répondais « on verra » et aujourd'hui beaucoup de monde commence à le faire.

Le règlement va aussi remettre à plat des choses qui auraient dues être faites depuis des années. Beaucoup d'entreprises que j'accompagne sont plutôt contentes, car elles se disent qu'elles vont profiter du RGPD pour lancer quelque chose d'autre, une meilleure cohésion entre les équipes, revoir leurs process, gagner en rentabilité, éviter d'avoir des fichiers et des bases de données de partout, les sécuriser d'avantage, en faire des sauvegarde régulières. Ce texte est aussi l'opportunité d'apporter des choses concrètes dans les entreprises.

MD : Dernière chose, quand une entreprise à suivi l'ensemble du « parcours Optimex », tu leur décernes quoi ?

AD : Nous avons pensé dispenser des tampons estampillés Optimex Data. On ne l'a pas encore fait et on devrait le faire.

MD : Ce pourrait être un avantage pour la communication de vos clients.

AD : On attend aussi les certifications qui arrivent et nous ferons en sorte d'être organisme certificateur. C'est dans notre continuité et il est important de pouvoir garantir quelque chose et que notre rapport d'audit ait une vraie force juridique. Mais c'est aussi ce que

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

demandent les gens, ils veulent être accompagnés, mais ils attendent le 25 mai pour pouvoir obtenir la certification. Il faudrait d'ailleurs qu'on fasse un peu de communication quand nous le mettrons en place. Que nos clients puissent aussi utiliser notre tampon dans leur communication ou sur leur site internet. Mais nous avons déjà des recommandations via LinkedIn ou qui nous mentionne dans des messages.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018