À la rencontre d’Yves Gattegno, Expert conformité RGPD

J’ai commencé ma carrière comme ingénieur développeur système et réseau. Au bout de 7 ans sur des postes techniques, j’ai créé une startup qui faisait de la virtualisation du poste de travail (une technologie que j’avais inventée). On s’est fait racheter par Neoware 6 ans plus tard, qui s’est ensuite fait racheter par HP, chez qui j’ai passé 7 ans en tant que Directeur R&D et Produit. 

En 2014, je monte une entreprise de consulting (SysStreaming), à l’origine surtout pour faire des captures d’invention dans le cadre de dépôt de brevets, des audits techniques dans le cadre de levées de fonds et plus généralement la production de documents à très forte connotation technique, à destination de lecteurs moins techniques (investisseurs, services de l’Etat, etc.). Je me suis rapidement découvert une appétence pour l’articulation entre le technique et le rédactionnel (légal et juridique).

De fil en aiguille, il s’est trouvé que le RGPD est arrivé et que ça correspondait à cette appétence. Je me suis donc naturellement retrouvé à gérer des projets de conformité RGPD pour des entreprises qui en avaient besoin. Depuis, je fais beaucoup de RGPD, ainsi que des projets technico-réglementaires (implications de la nouvelle norme sur la facturation électronique ou audits de premier niveau sur les questions de cybersécurité, par exemple).

Tout le monde essaye de s’y mettre, plus ou moins. Pour la plupart des entreprises, le Règlement Général de Protection des Données apparaît comme une épine dans le pied (ça les embête beaucoup au niveau de la conformité). Il y a très peu d’organismes qui sont totalement conformes aujourd’hui. Il y a encore énormément à faire.

Même si on entend souvent parler des GAFAM (parce qu’ils ont un gros problème de transfert des données vers les États-Unis, malgré le Data Privacy Framework actuel), le sujet du RGPD concerne toutes les entreprises. 

Dans le texte de la CNIL, il faudrait être conforme à 100 %. En pratique, c’est plus compliqué. On s’approche de la conformité autant que possible. Comme dans tout ce qui est réglementaire/juridique, on est plus dans la réduction des risques que dans la recherche de la conformité totale.

C’est plus facile pour des entreprises jeunes, qui sont nées avec le RGPD. Elles sont beaucoup mieux armées parce qu’elles ont pris le taureau par les cornes dès le début. Les entreprises que nous avons aidées avec CustUp sont parfois des sociétés ayant plus de 100 ans d’existence, avec des non-conformités structurelles. Des entreprises pour lesquelles il est urgent de réduire les risques.

Il y a un problème éthique, déjà. Si vous n’êtes pas conforme, ça veut souvent dire que vous traitez de la donnée à caractère personnel alors que vous ne devriez pas. 

Par exemple, imaginons que vous ayez de la donnée sur vos clients, et que vous transfériez votre fichier de données à un partenaire (sans l’accord des clients) pour qu’il les prospecte. C’est vraiment un problème éthique, puisque vous le faites alors dans le dos des clients. Ces derniers ne vont pas être contents et peuvent aller se plaindre auprès de la CNIL. Et si la CNIL trouve de la non conformité flagrante, là, il peut y avoir des sanctions administratives très lourdes.

On l’a vu récemment avec la sanction record de Meta en Irlande (mai 2023) : des milliards d’euros pour transfert de données non conformes aux États-Unis (à cause du défaut de garanties adaptées).

Il y a aussi un problème si vous n’effacez pas les données au bout d’un certain moment (notamment quand vous faites du marketing pour le compte de tiers). Si vous continuez à utiliser ces données, les gens peuvent se plaindre également. De plus, vous utilisez du stockage pour des données vieillissantes peu pertinentes (donc peu exploitables pour avoir un retour sur investissement). Il vaut mieux éviter de dépenser de l’argent pour du stockage qui ne sert à rien, tout en vous libérant du risque associé.

Surtout que plus vous avez de données non pertinentes, plus le risque que ces données s’échappent dans la nature est grand. Avec la crainte d’une publicité très négative derrière pour l’entreprise. 

Enfin, une utilisation non conforme des données (révélée par un audit de la CNIL ou pas) peut également justifier une rupture de contrats (avec des dommages et intérêts). Notamment dans le cadre de sous-traitants (en Marketing Automation par exemple) qui utilisent vos données de manière inappropriée.  

Il y a eu de nombreuses précisions de la CNIL, qui publie régulièrement des recommandations et des référentiels à suivre. Par exemple, l’un sur la gestion des recrutements, avec des réponses aux questions comme “combien de temps peut-on garder un CV inactif ?”.

Point important : dans la conformité, tout se justifie. Par exemple, via CustUp, je suis intervenu auprès d’un client qui fait du linge de maison, avec des produits haut de gamme qu’on ne renouvelle pas tous les 3 ans. Avec l’avocate du groupe, nous avons estimé une durée de conservation de 10 ans pour les données clients (en dehors des clous standards de la CNIL, qui préconise 2 à 3 ans d’inactivité). C’est justifié, compte tenu de la durée de vie des produits et du taux de renouvellement. Il faut bien sûr l’expliquer clairement aux clients dans la politique de confidentialité, avec la possibilité d’opt-out.

Pour encadrer les relations entre responsables de traitement et sous-traitants, il y a également eu des précisions importantes suite à l’arrêt SCHREMS 2. La Commission européenne a mis en place des clauses contractuelles types pour les acteurs européens.

Une des recommandations, notamment vis-à-vis de l’exploitation des données par des pays tiers (en particulier les États-Unis, où il y a beaucoup d’acteurs d’analytiques et de CRM), c’est de crypter toutes vos données et d’avoir un magasin de clés basé en Europe (entièrement contrôlé par le responsable de traitement). C’est technique. Mais c’est un moyen efficace de protéger la donnée. Car si un tiers accède à la donnée cryptée, mais pas au magasin de clés, il ne peut rien en faire.  

À la base, le but du RGPD (et de la loi Informatique et Libertés) est qu’on ne puisse pas faire n’importe quoi avec les données et que les consommateurs/citoyens puissent avoir un minimum de contrôle sur leurs données personnelles. 

C’est pourquoi le partage des fichiers de données entre partenaires, ça ne se fait plus sans le consentement de la personne à qui appartient ces données. Cela lui évite par exemple d’être sollicité 15 fois par jour par des vendeurs de fenêtres, de CPF ou de rénovation énergétique…

Donc oui, ça impacte directement le travail des équipes marketing/vente. Par exemple, tout le travail opt-in / opt-out doit aujourd’hui être très encadré.

Mais cet impact n’est pas nécessairement négatif. Car si vous faites bien les choses, vous serez étonné du retour sur investissement très positif de la conformité RGPD. Ne serait-ce qu’en termes d’image de marque et au niveau du cycle de vente qui peut en être fortement réduit. Et puis, avoir des données pertinentes de personnes véritablement intéressées par votre marque se traduit par des taux de transformation sans commune mesure (car ces personnes sont beaucoup plus engagées).

C’est créer et tenir à jour vos registres de traitement. Ces registres décrivent tous les traitements de données à caractère personnel que vous faites dans votre entreprise. 

Voici les 4 fiches principales, qui doivent être documentées a minima chez tout le monde :

1 – Gestion commerciale (commandes)

2 – Gestion marketing/communication (prospects)

3 – Gestion des RH (et des recrutements)

4 – Gestion technique des produits (données fictives, données anonymisées, données des contacts techniques, etc.).

Concrètement, renseigner ces 4 fiches de traitement, ça signifie documenter :

• Qu’est-ce qu’on fait ?
• Quelles sont les données traitées ?
• Qui est responsable de ces données ?
• Quelles sont les personnes concernées ?
• Quelles sont les mesures de sécurité mises en place ?
• Quels sont les destinataires à qui je vais transférer les données dans le cadre de ce traitement ?
  • Où ces destinataires sont-ils localisés ?
  • Où les traitements des données sont-ils localisés ?
  • Comment je fais pour contacter les destinataires ?
  • Quelles sont les garanties qu’ils apportent (certifications, sécurité, droit d’accès, droit à l’oubli, etc.) ?

Centraliser toute cette documentation dans un registre de traitement est le minimum de la conformité aujourd’hui. Il faut tout documenter ! En cas d’audit de la CNIL, dans les 7 jours, ils vont vous demander votre registre de traitement. Si vous ne l’avez pas, ça part mal (mise en demeure, sanctions, etc.).

Il faut commencer par faire un audit, ou au moins une première cartographie. Pour savoir :

• Quelles sont les données que vous avez ? 
• À qui elles appartiennent ?
• À quoi elles vous servent ?
• Combien de temps vous pouvez les garder ?
• Combien elles vous coûtent (en collecte, en stockage et en traitement) ?

À partir de cet audit, évaluez la pertinence des réponses à toutes ces questions, sans regarder les implications réglementaires au départ. Car vous pouvez faire ce travail de rationalisation des données hors du contexte RGPD. C’est pourquoi je vous encourage à jumeler ce travail avec un audit ROI, dans le but d’augmenter la productivité de votre entreprise en parallèle.

Pour cela, segmentez vos données. Demandez-vous quelles sont celles qui ont le meilleur ROI et celles dont vous n’avez pas besoin (peu pertinentes d’un point de vue marketing, risquées niveau conformité, coûteuses en stockage, etc.).

Ensuite, il est temps d’agir au niveau de la transparence. C’est-à-dire sur les informations que vous communiquez aux personnes dont vous traitez les données (clients, partenaires, etc.). La finalité ici, c’est d’augmenter la rassurance des personnes concernées. 

Par exemple, votre politique de confidentialité ou d’utilisation des données doit être bien rédigée. On peut recommander une rédaction à deux niveaux :

• Un niveau légal, avec des termes techniques et juridiques ;
• Et un niveau beaucoup plus accessible (avec des termes simples pour expliquer ce que vous faites avec les données, pourquoi vous le faites, etc.).

Oui. Autre bonne pratique : rendre attractive la communication autour de l’utilisation des données. Par exemple via des jeux concours et des communications promotionnelles vraiment utiles (“Comment utiliser au mieux notre produit ?” ; “Saviez-vous que… ?”).

Et le plus important : il faut suivre. Ce n’est pas parce que vous avez fait votre cartographie que vous êtes bon pour 10 ans. Car c’est toujours en évolution. Pensez aussi à former correctement votre personnel (notamment pour éviter les problèmes de Shadow IT et le scraping illégal de bases de données).

L’idéal est de faire travailler ensemble les spécialistes marketing avec les consultants RGPD et ne pas voir la conformité comme un empêcheur de faire du business. Car dans le RGPD, il y a toujours la notion de faisabilité économique et de faisabilité commerciale, au-delà d’une interprétation rigide de la conformité. Il est donc possible de “négocier” et d’adapter les mesures prises pour la conformité au RGPD.

Dernier conseil : faites un peu de veille technico-réglementaire pour anticiper la législation à venir (parce qu’en général, on est prévenu suffisamment à l’avance).

Dès que votre entreprise traite avec des gros clients (qui sont soumis à des contraintes réglementaires fortes, du type banques-assurances ou grande distribution), il faut avoir un DPO formé (interne ou externe). Par exemple, j’interviens auprès de clients ayant des juristes en interne pour les aider à répondre à des questions très spécifiques qui nécessitent une expertise réglementaire.

Un bon DPO sait articuler une augmentation de la conformité et une réduction du risque sans impacter négativement le business de l’entreprise (voire en permettant que le business se développe). 

Faire en sorte que mes clients ne fassent pas n’importe quoi avec les données des gens. Parce que ça m’a toujours énervé personnellement. J’aime aussi prouver (A/B testing à l’appui) que la conformité n’empire pas les choses d’un point de vue marketing. Au contraire même !

Autre élément qui me plait beaucoup aussi : le fait de travailler avec plein de clients différents, dans des contextes et des pays très divers. Par exemple, avec CustUp, nous sommes intervenus dans un groupe de vente par correspondance, deux groupes d’édition, un groupe qui fait du matériel de chauffage climatisation… C’est très diversifié. Car tout le monde est touché par le RGPD !