ANNEXE 6 - Entretien Stéphane Bergerat, Cinetic
IT
GUIDE D'ENTRETIEN
- Quelles sont les démarches ou réflexions qui ont
été entreprises au sein de votre structure ?
o Dans votre fonctionnement interne ? Vos outils de
communication, démarches marketing ? Type de données
collectées, usage, conservation ? Accompagnement, experts,
conseils...
o DPO, groupe de travail
o Dans les services ou l'accompagnement de vos clients ?
Ont-ils pris la mesure de leurs responsabilités ? PME,
peu responsabilisés
? Gros sont largement interpellés >
Démarches
? PME certains en parlent diffus
? Aucune réflexion petits clients > Occupé
par leur activité
Avez-vous eu des demandes particulière (cryptage,
recensement, documentation...) : Procédure d'effacement des
données pour vos clients ; demandes de certification ou label CNIL ;
analyses de risques/impact PIA (Privacy Impact Assesment) ou audit...
o Avez-vous révisé vos contrats clients et
sous-traitant ? Clause de garantie ?
o Avez-vous souscrit une cyber assurance ?
- Quelles adaptations techniques avez-vous réalisé
pour garantir la sécurité de vos données ? Quels impacts
économiques ? Investissements ?
- Pensez-vous que cette réforme constitue une contrainte
ou une opportunité pour l'entreprise ?
- Pensez-vous que ces dispositions soient suffisantes ? Quelle
est votre analyse ?
o Pensez-vous que cette réforme constitue une contrainte
ou une opportunité pour l'entreprise ?
o Pensez-vous que c'est l'opportunité pour l'Europe de
reprendre la main sur le numérique ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
TRANSCRIPTION INTERVIEW Stéphane
Bergerat
Le 07/05/2018 via Skype
Dirigeant de la société CINETIC IT à
Limonest. Prestataire de services informatique
Stéphane Bergerat : Le RGPD pour nous
c'est relativement simple car aujourd'hui on était déjà
sensibilisé par les lois informatiques et liberté.
Mathieu Darmet : Est-ce que vous aviez
déjà mis en place quelque chose ?
SB : Non parce qu'on ne collecte pas de
données personnelles sur les clients.
MD : Si ce n'est leurs adresses ou leurs
coordonnées...
SB : Les coordonnées c'est souvent une
adresse professionnelle, un numéro de téléphone
professionnel ou un 06 éventuellement et une adresse mail.
MD : Ce qui constitue une donnée
personnelle puisque tu peux identifier les gens.
SB : C'est une donnée personnelle, mais pas une
donnée sensible.
MD : Je vois bien la distinction. Tu es moins
concerné que les personnes qui feraient du e-commerce avec le
particulier directement.
SB : Ce qui semble être défini
d'après ce que j'ai pu lire, c'est qu'il faut que la donnée
puisse identifier une seule et unique personne. Donc aujourd'hui un
numéro de sécurité sociale peut identifier une personne.
Alors qu'un nom, prénom ça n'identifie pas forcément une
personne. C'est à dire que Stéphane Bergerat potentiellement il y
en a 50 ou 100 en France.
MD : C'est vrai. Rien que sur Skype j'en ai
trouvé 3.
SB : Voilà ce que je veux dire.
Comment on met en place des éléments qui protègent le fait
qu'une donnée permet d'identifier une personne ? C'est un peu le
débat. Si je me retrouve avec son 06, son nom, son prénom, sa
date de naissance, son lieu de naissance. Tout ça cumulé me
permet d'identifier cette personne.
MD : Et surtout de lui rattacher des
informations plus spécifiques sur ses avis ou ses comportements.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
SB : Exactement ! Aujourd'hui une adresse
mail et un 06 ça peut changer, l'adresse mail ne permet pas d'identifier
une personne. Des s.bergerat ça peut être une Stéphanie,
une Sylvie...
MD : Ce qui m'intéresse, c'est des
retours d'expérience sur des problématiques que tu as pu croiser
chez certains clients. Savoir s'ils sont prêts ou si ils n'ont rien fait
ou même ne comptent rien faire. J'aimerais avoir un peu les tendances,
savoir ce que vous avez fait en interne, pour CINETIC ou pour votre collectif
TRANSITIF Groupe, où il y a peut-être une dimension marketing et
de la prospection.
SB : Sur CINETIC je ne fais pas de
prospection, donc en interne, nous avons simplement recensé les
applications utilisées et fait l'inventaire des données
personnelles susceptibles d'être utilisées dans ces applications.
On utilise une douzaine d'applications dans lesquelles les seules
données personnelles sont les logins des utilisateurs, voir leurs noms,
prénoms. Rattaché à CINETIC, on peut identifier la
personne, mais vu de l'extérieur ça peut être n'importe
qui.
MD : Donc en cas d'intrusion chez vous, hors contexte ces
données n'ont pas d'usage possible ?
SB : Aucun. Il y a des outils sur le net qui
permettent d'obtenir les adresses mail des sociétés. Aujourd'hui
si tu veux trouver toutes les adresses mail de CINETIC, il y a des outils qui
scannent les flux de messagerie. Tout le monde s'en sert.
Par exemple tu cherches le nom de quelqu'un dans une
entreprise, tu tapes le nom de domaine en extension, et tu peux trouver son
adresse mail ou la reconstituer.
MD : D'ailleurs je ne sais pas où ils sont
domiciliés les outils auxquels tu fais référence, mais de
toutes manières, niveau conformité RGPD, ils posent
problème.
SB : Bien sûr ! Je crois que c'est hébergé
à Chypre
MD : Donc ils s'exposent en laissant à
disposition ce type d'outil sur le net.
SB : Oui mais c'est comme un annuaire. C'est à dire que
tu cherches un nom de personne on te donne son numéro. A ce
moment-là, autant dire que les Pages Jaunes et les Pages Blanches posent
aussi problème.
MD : C'est une question à se poser. En étant
jusqu'au-boutiste sur le règlement, les contacts de messagerie,
constituent potentiellement des données personnelles.
SB : Là on est déjà
confronté à un premier problème, qui est la
récupération des boîtes mails d'autres utilisateurs. Quand
une personne quittait une société, son remplaçant prenait
la
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
même fonction et on lui réaffectait l'ancienne
adresse. Et bien ça typiquement on le fait plus. Plutôt que de
détruire l'ancienne boîte aux lettres ou de l'archiver, on le
mettait en « alias ». C'était le même profil commercial,
avec le même secteur, les mêmes clients, donc on laissait
volontiers les adresses mails en « alias » pour que la personne
durant au moins quelques semaines ou quelques mois reçoive les mails de
son prédécesseur.
Aujourd'hui, on crée de nouvelles boîtes aux
lettres et on bloque les anciennes avec un message indiquant que « cette
personne ne fait plus partie de la société merci d'écrire
à son remplaçant ...».
MD : Tu veux dire que cela créée
des problématiques qui n'en étaient pas avant ?
SB : Oui et non ! Parce qu'aujourd'hui tu
peux être inscrit sur des sites qui te balancent de la pub, des messages
qui peuvent révéler tes opinions politiques ou autre et ton
remplaçant récupère ces informations.
Imagines que mon prédécesseur soit inscrit dans
un parti politique un peu extrémiste et que je continue à
recevoir toutes les lettres d'information. Ça veut dire que je peux
attribuer à cette personne une étiquette politique ou religieuse
et potentiellement divulguer des informations à son entourage, ce qui ne
manquera pas de faire le tour de la société.
MD : Je n'ai pas pensé à ce type de
répercutions, mais c'est relativement évident.
SB : Au-delà de la messagerie, il y a
aussi le compte utilisateur. Mais on avait plutôt tendance à le
supprimer et en créer un nouveau, parce que les besoins sont un peu
différents.
Chez nous on a peu de turn-over, mais c'est ce que je
préconise chez mes clients maintenant pour être conforme. Pareil
pour les droits, avant nous avions tendance à renommer les comptes
d'accès au réseau, maintenant on en créé des
nouveaux et les anciens sont désactivés. On conserve de toute
façon les informations de l'ancien utilisateur, car il peut y avoir un
problème de traçabilité. Par exemple si j'ai besoin
d'accéder à un de ses fichiers et que j'ai plus ses comptes, tout
est verrouillé. Je peux être amené à
réactiver les comptes momentanément pour aller chercher des
infos.
MD : Sachant qu'il y a potentiellement des
informations qui relève de la vie privée.
Est-ce qu'on ne touche pas du doigt un problème de
discipline de la personne, qui aurait dû tout effacer avant de partir
?
SB : Attention sur ce point, car aujourd'hui
dans l'éducation des clients les données présentes sur les
serveurs ne sont sensée être que les données de
l'entreprise. Cela doit normalement être spécifié dans une
charte informatique du client. Les seules informations sauvegardées sont
celles qui sont dans les serveurs et ce qui est sur les serveurs ne doit
être que professionnel.
MD : Si ce n'est qu'en pratique rien
n'interdit de recevoir un mail personnel sur son adresse professionnelle.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
SB : Oui et non. C'est à dire que
souvent dans les chartes informatiques, il est précisé que tout
ce qui commence par l'intitulé « perso » par exemple, ne peut
pas être ouvert par l'administrateur. Le reste appartient à la
société. A partir du moment où l'on met des moyens
à disposition pour ton travail, on a un droit de regard. Si dans ta
boîte aux lettres, tu as un répertoire noté « perso
», typiquement on ne va pas voir. Mais on le sauvegarde forcément,
puisque ce répertoire fait partie intégrante de la boîte
aux lettres.
Vis-à-vis de la loi, je dois surtout tracer qui a
accédé à quoi. Aujourd'hui je dois pouvoir dire qui a
ouvert la boîte aux lettres et qui a consulté ce répertoire
« perso ».
MD : Cela nous amène aux actions que
vous réalisez chez vos clients, quand vous prenez la main sur leur
système. Vous avez des outils pour tracer qui fait quoi ?
SB : Alors on est en train de mettre en place
des choses. Ça rentre plutôt dans un 2nd temps au niveau du RGPD.
Tu vas mettre des outils informatiques pour répondre à ce que tu
fais.
Là on est plutôt dans le choix d'outils qui sont
assez multiples. Nous avons d'abord référencé les
applications utilisées en interne, quelles données étaient
potentiellement sensibles. Les seuls éléments critiques sont les
fiches de paie que nous sommes obligés de conserver au format PDF et qui
sont aujourd'hui stockées sur un disque crypté accessible
uniquement par la direction. Cela veut dire que nous n'avons pas nommé
de DPO. Il faut que je le vérifie, mais il me semble que sur les petites
structures ça peut être le dirigeant.
MD : Il n'est pas obligatoire d'avoir un DPO
en dessous d'une certaine taille et quand l'entreprise ne réalise pas de
traitement impliquant des données personnelles sensibles.
SB : Je ne fais pas de statistiques, ni de
ciblage commercial, donc en terme de traitement, je n'ai pas de données
sensibles.
MD : Après si je reprends tes clients,
tu réalises des traitements qui impliquent des gens nommés. Ils
ne sont pas forcément identifiables hors contexte, mais ils le sont
quand même chez toi.
SB : Tout à fait. C'est
compliqué, mais surtout pour les clients qui connectent des
données publiques, comme les sites de vente en ligne, les mairies ou
établissements publiques. Par exemple, lorsqu'il y a une manifestation
et que l'on demande aux d'être pris en photo, cela permet d'identifier
une personne. Aujourd'hui on leur fait signer un droit à l'utilisation
de l'image, mais pas un droit sur la partie traitement des données.
MD : Effectivement, cela localise telle personne à tel
endroit avec telle autre personne.
SB : Exactement ! Lorsqu'on collecte la
photo, on collecte aussi des informations, puis on leur envoie de la pub. Tu
viens à une manifestation associative et tu signes un droit de
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
diffusion à l'image et au final tes données sont
quand même traitées par ailleurs pour être
détournées du cadre initial.
MD : Est-ce qu'avec le RGPD, votre discours
et les services ou les moyens que vous proposez sont mieux perçus par
vos clients ou vos prospects ?
SB : Nous intervenons beaucoup pour
homogénéiser les systèmes. Nous sommes directement
sollicités pour avoir des conseils sur ce qu'il faut faire dans le cadre
du RGPD. Souvent, on répond que la partie informatique arrive à
peu près en avant dernière position et qu'avant de
s'intéresser aux outils il y a un ensemble de processus à mettre
en place. C'est le travail que nous avons entrepris en interne, c'est à
dire identifier tout ce qu'on avait comme applicatif mais aussi les tableaux
Excel qu'on consolide, car nous n'avons pas que des données
structurées. Il peut y avoir des données brutes. Nous demandons
donc aux clients de faire l'inventaire des traitements qu'ils réalisent
avec ces données, si elles sont transmises ou pas à un
sous-traitant et de savoir comment il les réutilise.
Maintenant chaque fois que des données personnelles
sont collectées, il faut une charte de collecte. Donc il faut leur faire
signer un papier qui indique que l'on va collecter telle information, pour
telle finalité, qu'elles seront utilisées pendant 3 mois et puis
archivées pendant 3 ans.
Il faut le faire chaque fois que l'on demande un nom,
prénom, adresse ou quoi que ce soit à quelqu'un. Et en plus il
faut pouvoir le prouver. C'est à dire que si tu as ces données,
c'est qu'elles ont été communiquées de manière
volontaire par la personne et qu'elle était au courant de tout ce qui
allait être fait avec.
MD : Globalement est ce que tu as le sentiment
que les gens sont bien informés ?
SB : Pas du tout ! Ils me disent qu'ils font
signer un droit à l'image parce que les gens réclament les droits
de diffusion à l'image et que ça coûte de l'argent. Mais
sur les données personnelles, personne ne se pose encore la question.
Il n'y a aucune fiche de collecte qui est à jour pour
toutes les données recueillies. On essaie de leur expliquer que
l'utilisateur aura aussi le droit de les consulter, de les modifier ou de les
supprimer s'il le souhaite, ce qui doit faire aussi l'objet d'un process.
Nous avons identifié 7 ou 8 tâches susceptibles
d'être demandées par l'utilisateur ou la personne dont on a
collecté les données. Et il y a donc autant de process à
mettre en place pour répondre à ces demandes.
MD : Il faut pourvoir les automatiser parce cela
aura un coût pour les entreprises ?
SB : On n'est pas encore aux outils
informatiques. Là on est sur du process, comme dans l'industrie. J'ai
une réclamation, qui concerne tel sujet, donc ça passe par tel
service. Il faut recevoir une lettre recommandée et on répond que
la demande a bien été prise en compte et sera traitée dans
un délai raisonnable.
Dans la plupart des cas ce n'est encore pas fait. Il y en a 6
ou 7 droits il me semble : de modification, de consultation, de suppression de
l'archivage, de portabilité... Donc ça va au-delà
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
des outils informatiques. Quand les gens ont un contact, ils
essaient d'avoir un maximum d'informations, en se disant qu'ils en auront
peut-être besoin par la suite.
Ça n'a plus de raison d'être et devient
complètement illégal.
MD : En tant que commercial, j'avais
effectivement tendance à ratisser large, partant du principe, que plus
je collecte des informations, plus j'ai de chance d'identifier un besoin
immédiat ou à venir.
SB : Tu identifies le nombre de PC, le nombre
de site, s'ils ont des projets de rachat... Cela te permets juste de savoir que
peut-être il y a un dossier à suivre et de le rencontrer d'ici 4
ou 5 mois. Donc cela ne constitue pas des données personnelles.
MD : Est-ce que ça vous avez
retravaillé vos contrats de prestations ?
Je pense à vos clauses, vos responsabilités, ou les
notions d'assurance par exemple.
SB : Non pas encore, mais c'est la prochaine étape. Il
faut que nous puissions bien cadrer les choses lorsqu'on sous-traite de la
prestation ou lorsque l'on est sous-traitant. Nous aurons probablement des
clauses à ajouter, mais elles ne nous concernent pas directement car il
n'y a pas de flux de données. Aujourd'hui ce n'est pas comme si je
confiais mon fichier clients à une société pour faire de
la téléprospection.
MD : Par contre quand vous intervenez chez un
client et vous manipulez son matériel et les données
stockées. Rien ne vous empêche de les lire ou de les copier.
Est-ce qu'aujourd'hui tes clients t'interpellent sur la question ? Te
demandent-ils un engagement ou de réviser tes contrats ?
SB : Pour l'instant je n'ai pas eu cette
demande, mais ça fait partie des points qui vont être à
traités d'ici peu.
MD : Tu as prévu de te faire accompagner juridiquement sur
la question ?
SB : Non pas encore, mais je pense que ce
sera une obligation. Dans nos contrats on a une vingtaine d'articles sur le
non-embauchage ou non-débauchage, d'autres liés à la
sécurité du site chez les clients, etc... Donc nous mettrons
juste un article que l'on fera valider, selon lequel on s'engage à ne
pas collecter de données personnelles. Sachant que ces informations ne
nous intéressent pas et que nous n'avons aucune raison d'aller consulter
les mails du client ou de regarder ses données.
MD : A partir du moment où ton
technicien prendrait ce type d'initiative, il en prendrait la
responsabilité et deviendrait responsable du traitement.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
SB : Cela pause une autre question et
sous-entend qu'il faudrait potentiellement que je fasse resigner tous mes
contrats de travail ou des avenants à tous mes salariés.
MD : Je ne suis pas juriste mais ça m'interpelle.
Tu m'avais laissé entendre que l'un de tes
salariés s'était plus particulièrement
intéressé au RGPD. Il a suivi une formation, participé
à des réunions ?
SB : Oui, mais il s'est surtout renseigné sur les
outils que nous pourrions mettre en place pour contrôler et automatiser
un certain nombre de processus en entrée : comment modifier les
données d'une personne, qui a le droit de les modifier... Sachant que
nous ne sommes pas censés pouvoir modifier les bases de données
sans avoir les droits nécessaires.
La suppression d'un contact peut aussi poser des
problèmes, car un certain nombre d'actions lui sont rattachées et
on ne peut pas perdre ces historiques.
MD : D'autant que cela compromettrait ta base de
données.
SB : Oui et il est préférable de
procéder à une désactivation invisible.
MD : Tu penses à une anonymisation ou pseudonymisation
?
SB : Exactement. Ce qui veut dire que lors
d'un départ d'une suppression est demandée, il est donc
préférable d'anonymiser, car on peut conserver le contenu. Par
exemple j'ai des techniciens qui font une base de connaissances des incidents.
Si l'un d'eux nous quitte dans 3 ans, je ne peux pas supprimer tous les
incidents qu'il a traités et surtout les résolutions qu'il a
trouvées. Il y a quand même derrière un gros travail que
l'entreprise a fiancé. Désormais une partie des suppressions sera
plutôt de l'anonymisation. On conserve l'information, mais on n'identifie
plus qui l'a renseignée. Face à quelqu'un qui pirate la
donnée c'est anonyme.
Il y a aussi des outils de cryptage pour les données
confidentielles. Aujourd'hui nous sommes plutôt à la recherche de
ce type d'outils. Il y en a beaucoup sur le marché mais entre ceux qui
cryptent les disques, ceux qui cryptent les bases de données, ceux qui
cryptent les PC, ceux qui cryptent les flux, c'est quand même très
compliqué et ne veut pas avoir 50 outils à gérer.
MD : En plus tout le monde surfe sur le
« RGPD effect ». On le ressent aussi sur les réseaux sociaux,
qui ont réagis et redemandent un consentement utilisateur. Mais on
constate qu'ils en profitent pour en demander encore plus. N'y a-t-il pas
là un effet pervers ?
SB : C'est un peu à double tranchant.
A partir du moment où tu demandes un consentement plus formel, on peut
te dire que les données collectées vont être
conservées pendant 10 ans, alors qu'avant c'était 3 ans.
MD : Mais la plupart l'accepte quand même...
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
SB : C'est un peu le risque. Après, il
y a aussi un certain nombre de traitements qui sont identifiés. En cas
de contrôle la CNIL pourra constater qu'un traitement contient plus
données que ce qui est nécessaire au traitement. Par exemple,
dans un export de données au comptable pour la paye, il n'est pas
nécessaire d'avoir autre chose que le n° de sécu du
salarié. La CNIL va dire attention vous collectez 50 données
alors que pour ce traitement vous n'avez besoin que d'une ou deux. Dans ce cas,
il y aura un abus sur la collecte et il faudra y remédier. Mais il faut
encore que la CNIL dispose d'intervenants capables de reconnaitre les
données strictement nécessaires pour le traitement.
MD : Il y a aussi les problématiques
liées à la sécurité informatique.
SB : Il devient nécessaire de mettre
en place des outils permettant de détecter les intrusions, qui nous
permettent de croiser un certain nombre d'éléments du
système d'information qui ressembleraient à un piratage. Parce
que des personnes qui accèdent à une base de données, il y
en a une dizaine identifiées dans le réseau et on les connait.
Mais il faut aussi savoir si le poste utilisateur a été
piraté et que quelqu'un ait accéder à cette base de
données en son nom. Quelqu'un qui pirate une base de données on
peut l'identifier facilement. L'accès n'étant pas
autorisé, le système identifie un défaut de connexion
à la base de données, on voit qu'il a des tentatives. La
problématique est plus sur la corrélation
d'évènements dans le système d'information. Lorsqu'il y a
une tentative d'accès sur un poste que l'on ne surveille pas, parce
qu'il ne contient pas de données sensibles, il permet potentiellement
d'accéder au réseau et à la base de données.
Là on a un vrai problème, à moins que nous ayons un outil
capable de détecter cette tentative d'intrusion, au niveau du poste,
puis de la connexion à la base de données.
MD : Ce qui normalement devrait
déjà être mis en oeuvre.
SB : Ça coûte des sous ! C'est
le problème que l'on a de partout. Par exemple, on beau avoir une porte
blindée chez nous, nous avons aussi une entreprise de nettoyage qui sait
accéder à nos locaux. Cette entreprise peut être
cambriolée et nos codes d'accès peuvent être volés.
Personne ne fera le lien entre le cambriolage de l'entreprise de nettoyage et
des vols dans certaines autres sociétés.
MD : Cela veut dire que tu seras
obligé d'avoir un niveau de sécurité plus important, parce
que cette corrélation n'est pas toujours possible.
SB : Obligatoirement.
L'exemple est un peu extrême. Mais si tu prends
quelqu'un qui se fait pirater son PC ou son téléphone mobile,
permettant d'accéder au réseau, puis à la base de
données. Même si nous surveillons l'accès à la base
de données ou les tentatives d'accès au poste, on peut simplement
se dire que c'est quelqu'un qui a voulu jouer avec le mot de passe et ne pas
identifier qu'il s'agit d'une intrusion. D'où l'intérêt
d'avoir des outils qui soient capables de corréler ces informations. Il
faut aussi trouver des outils multi environnements et faire le tri, car comme
tu le soulignais, beaucoup d'éditeurs de sécurité se sont
jetés sur ce sujet pour faire du business.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
Que ce soit les éditeurs d'antivirus, de solutions de
sécurité ou de sauvegarde, tous traitent un point de la RGPD,
mais aucun ne traite la totalité des besoins.
MD : Donc il y a de vrais impacts
économiques pour vous, mais cela devrait aussi vous apporter du
business.
SB : Oui, mais pour l'instant les gens ne sont pas encore
prêts.
Il y a beaucoup d'éléments organisationnels
à mettre en place dans les structures. Je travaille par exemple avec une
Mairie et le nombre de données publiques qui sont collectées est
énorme. Le service passeport, l'état civil, le
cimetière... Ils ont bien 200 applications qui collectent des
données personnelles.
Il faut déjà qu'ils établissent des
procédures, qu'ils demandent des consentements de saisie, qu'ils
puissent gérer les demandes d'utilisateurs (modification,
consultation...). Mais ils n'ont pas fait grand-chose pour l'instant...
Cela doit s'inscrire sur le long terme. On ne pourra pas
changer les mentalités comme ça. J'espérais une
espèce de guide d'outils validés et proposés par la
CNIL.
MD : Il y en a un, mais s'est plus pour vulgariser le
règlement et sur les bonnes pratiques.
SB : Mais un guide pratique ce n'est pas des outils. Lorsqu'on
fait la comptabilité d'une entreprise, il y a des logiciels
validés par la DGFIP. Il y a des agréments et l'éditeur,
comme l'utilisateur peuvent décider du niveau d'engagement qu'il
souhaite garantir à ses clients ou obtenir. Il n'y a pas
l'équivalent pour le RGPD. Comment peut-on vendre des solutions à
nos clients sans pouvoir leur dire qu'elles sont « RGPD compliant »
?
MD : Ce sera surement le client qui le demandera.
SB : Oui, mais entre un produit RGPD
compliant qui vient des Etats Unis et un autre validé par la CNIL, je
vois une grosse différence. Un peu comme un logiciel de compta
américain et un français, qui ne sont pas assujettis à la
même législation.
MD : Mais avec le RGPD, si une entreprise
outre atlantique espère adresser un marché européen, elle
n'aura pas le choix. En cas de non-conformité, elle s'expose des
sanctions pouvant aller jusqu'à 4% de son chiffre d'affaire mondial.
Alors qu'avant, elles pouvaient préférer payer des amendes de 150
000 €...
SB : Encore faut-il pouvoir les emmener
devant un tribunal international, qu'ils soient sanctionnés et qu'ils
payent.
Je pense qu'aujourd'hui c'est surtout de la « flûte
». Quand on voit que l'Etat n'arrive pas à récupérer
des impôts qui auraient dû être payer en France, comment
veux-tu que la CNIL inflige 20 millions d'euros d'amende à Apple ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
15
|
|
|
MD : Après le scandale sur Facebook,
en termes d'image les GAFAM semblent quand même pendre les devants.
SB : C'est exactement ça. C'est juste
une question d'image.
Pour en revenir aux taxes comme la TVA, je pense que l'Etat
était plus à même de récupérer l'argent que
la CNIL.
Quoi qu'il en soit, il vaut mieux être en avance qu'en
retard sur ce sujet. Mais je pense que la petite PME du coin, qui gère
ses 30 ou 40 clients, cela lui passe largement au-dessus de la tête.
Mais ça va permettre aux gens de savoir ce qu'on fait
exactement de leurs données. Aujourd'hui si tu leur fais signer un
consentement à chaque fois, ils finiront par le lire, alors que
jusqu'ici on s'attarde rarement sur les CGV.
MD : Parce qu'elles sont illisibles.
SB : Mais ce sera peut-être toujours le
cas...
MD : Ils sont censés les rendre plus
intelligibles et beaucoup plus explicites.
SB : Lorsqu'on demande un consentement, on ne
le rédige pas obligatoirement en Arial 16 et en rouge... Rien ne me dit
comment je dois rédiger les consentements.
En pratique la plupart des CGV restent écrites en
police, 8 au dos du devis, avec une cinquantaine d'articles. Forcément
personne ne les lit...
Je trouve que la RGPD reste globalement une démarche
positive, mais cela se vérifiera sur le long terme.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
|
|
|
|
Le RGPD - Contrainte légale ou
opportunité pour les entreprises ?
|
16
|
|
|
| 
