La seconde édition de « Trust & Privacy » s’est tenue le 18 Mai au Palais Brongniart, à l’initiative de U, Mazars et K&L Gates.

Nous avons réuni les experts suivants, pour répondre aux questions de nos invités :

– Sophie Nerbonne, Directrice de la conformité – CNIL

– Etienne Drouard, Avocat Associé, spécialiste du GDPR – K&L Gates  

– Nicolas Vieux, Associé, spécialiste du GDPR – Mazars

– Guillaume Buffet, spécialiste de la transformation digitale – Président de U

 

Nicolas Vieux a d’abord présenté les enseignements de l’étude Elabe, réalisée par Mazars:

  • 83% des Français estiment que la protection des données personnelles est un sujet qui les préoccupe « beaucoup » (34%) ou « plutôt » (49%).
  • 62% estiment que la protection des données personnelles « s’est plutôt dégradée » par rapport à il y a 10 ans.
  • 60% des Français estiment « négatif » l’impact de la digitalisation et de la numérisation sur la protection des données personnelles.
  • L’employeur recueille un indice de confiance de 79%, contre 56% et 54% pour l’État et les entreprises publiques, et 42% pour les entreprises privées. Le score « tout à fait confiance » des entreprises privées n’atteint pas 10%.
  • Quant aux secteurs économiques, les services publics ont un score de confiance de 63%, les banques 60%, les assurances 45%. En revanche, 72% n’ont « plutôt pas confiance » dans les entreprises de grande distribution, 73% dans les sites de vente sur internet et 76% dans les opérateurs téléphoniques, ce score atteignant même 90% pour les réseaux sociaux sur internet.
  • 80% des Français déclarent privilégier les entreprises ou marques qui leur inspirent confiance dans la gestion des données personnelles et 84% se déclarent être prêt à résilier un service auprès de celles dont la gestion des données personnelles ne leur inspirerait pas confiance.

 

Voici les contributions principales de nos intervenants :

Etienne Drouard 

« Ce qui a changé avec le GDPR, c’est la manière de regarder ses données dans l’entreprise. Cocher quelques cases à la CNIL n’est plus suffisant. Il convient maintenant de se connaître, et cela implique tous les départements de l’entreprise.La mise en conformité comprend 3 phases : mesurer l’état des lieux, le comparer aux impératifs de la réglementation et corriger les écarts.

Si l’on regarde l’aspect « contrainte / conformité », nous estimons le coût de mise en conformité à 15 milliards sur les 2 prochaines années. Il convient donc d’industrialiser la phase de mesure de l’état des lieux.

Il me semble inutile d’interroger les juristes sur les détails pointus de la règlementation avant fin 2017, date à laquelle les régulateurs donneront plus de clarté.

Il convient d’impliquer les métiers et de ne pas prendre que l’angle de la conformité, au risque d’introduire un réflexe de sécurité et de préservation de son emploi.

Enfin, il est impératif de penser aux projets qui vont éclore dans les prochains mois pour s’assurer qu’ils seront en conformité dès leur lancement. »

Sophie Nerbonne

« Le calendrier est un challenge pour les autorités de régulation, notamment pour la réalisation de packs de conformité par secteur économique, destinés à aider les entreprises de façon plus pratique.

La convergence des thématiques de protection et de sécurité des données rend nécessaire la nomination d’un « pilote » dans l’entreprise (anciennement CIL et maintenant DPO). C’est une des 6 étapes de la mise en conformité.

Seconde étape : le droit à la portabilité, sujet fort sensible en raison des enjeux de concurrence.

Il y a aussi un rééquilibrage entre les entreprises situées sur le sol européen et les autres, dès lors qu’il y a un ciblage de la population européenne.

Les principes du GDPR sont très largement les mêmes que ceux des directives précédentes mais les sanctions sont bien plus importantes.

Quant à la gouvernance, le concept du guichet unique (autorité chef de file) existe dans le règlement et un formulaire permettant aux entreprises de le choisir sera disponible d’ici la fin de l’année.

Les recommandations sur l’analyse d’impact sont en voie de finalisation (Juin) et un logiciel d’aide aux entreprises devrait être disponible en Septembre.

Il reste à définir les lignes directrices sur le profilage et le consentement (comment recueillir le consentement de manière claire et spécifique).

La CNIL analyse de nouveaux outils et technologies dans ces domaines (communication pour fin 2017).

La fin de l’année verra aussi une clarification en ce qui concerne la certification de marque et de label.

Nous savons que tout ne sera pas réglé le 25 Mai 2018. Ce qui est en revanche indispensable, c’est d’avoir réfléchi à ce qu’il convient de faire dans votre entreprise, d’avoir fait une cartographie des risques et d’avoir enclenché un plan d’action d’ici à Mai 2018.


L’objectif de la régulation, c’est la conformité, pas la sanction. Consommateurs et citoyens demandent un changement de culture de la protection des données, dans une société en mutation vers une ère digitale, avec des conséquences qui semblent opaques à de très nombreux citoyens européens. Si on n’achète pas le service, c’est qu’on est le produit !

Etienne Drouard

« Avec U, pendant 18 mois, nous avons mené une analyse très intéressante. Nous avons modifié le parcours client d’un service qui mélangeait banque, grande distribution, et carte de fidélité.

Au lieu de mettre une case à cocher par le client, au début de la relation, pour tout accepter et avec des CGU qu’il ne lira jamais, nous nous sommes interrogés sur le moment auquel il serait opportun de demander le consentement.

Il s’est avéré bien plus malin de demander ce consentement au moment de l’événement en question : Localisation au moment du store locator, offre d’un tiers ou programme de fidélité à côté d’une publicité qui propose un discount.

Donc si on introduit une démarche d’adhésion, on obtient l’expression du consentement des personnes. C’est bien à l’inverse du « divorce » qui est proposé actuellement (« Souhaitez-vous recevoir des publicités ? »). Si les deux approches assurent la conformité, la première génèrera du chiffre d’affaire et la seconde en fera perdre.

Cela renforce encore la nécessité d’impliquer les responsables des métiers dans ces arbitrages juridiques, car ce sont eux qui savent comment faire gagner de l’argent à l’entreprise.

Le marketing de la peur (4% d’amende) n’est pas propice à la réflexion sur les modèles économiques.

 

Ces échanges ont été suivis d’une présentation de Michael Nguyen (Global Partner – Head of Management & Control) qui a fait état de l’avancée de l’entreprise SCOR en matière de données personnelles.

 

Guillaume Buffet a conclu la conférence en présentant l’outil développé par U pour faire un « Gap Analysis » en 6 semaines de la situation d’une entreprise.

Il en résulte un tableau de bord qui permet à l’entreprise d’avoir une cartographie intelligible des chantiers « GDPR » à mener, en incluant les différents métiers impliqués.

Il est ainsi possible pour l’entreprise d’optimiser les ressources nécessaires à la mise en conformité. Ressources en personnel, en temps et budgétaires.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *