RGPD et Data-Privacy : rencontre avec Denis Levy-Rossi, Security Officer chez Loyalty Company

Denis Levy-Rossi
Muse Motivation
8 min de lecture

A quelques semaines de l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD), nous avons souhaité donner la parole à Denis Levy-Rossi, Security Officer au sein du groupe Loyalty Company afin qu’il nous explique les enjeux de cette nouvelle règlementation. Entretien.

Peux-tu nous expliquer ce qu’est le RGPD EN QUELQUES MOTS ?

Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence consacrant la protection des données à caractère personnel comme un droit fondamental pour l’ensemble des pays européens. Ce règlement redonne aux citoyens le contrôle de leurs données personnelles et bouscule donc le mode de fonctionnement des entreprises. Elles doivent désormais évaluer les risques encourus et les réduire en déployant les mesures humaines, organisationnelles et techniques nécessaires pour faire appliquer cette règlementation.

Néanmoins il faut comprendre que le RGPD n’est pas une préconisation de solutions techniques à mettre en œuvre. Il s’agit plutôt d’un cadre définissant ce que l’Union Européenne attend des entreprises en termes de protection des données.

Quel est son impact sur le plan commercial et marketing ?

Les entreprises doivent appliquer les principes définis par le RGPD sur toutes ses activités. C’est pourquoi chaque collaborateur doit être sensibilisé avec le même niveau de connaissances. Concrètement, dès qu’un collaborateur manipule ou exploite une donnée, il doit se poser les bonnes questions : « s’agit-il de données personnelles ? » « Quelle est la base légale pour l’utilisation de cette donnée ? », « Ai-je le consentement des personnes pour exploiter leurs données ? » « Et si oui, pour combien de temps ? » Etc.

Que ce soit sur le plan marketing ou commercial, la donnée doit être traitée de la même manière afin de respecter les droits des personnes concernées. Pour cela, il est important d’informer les personnes au moment de la collecte de leurs données notamment sur les finalités et la durée de conservation. Les commerciaux doivent tenir compte des données sensibles et ne surtout pas les saisir dans les zones de texte libre sur les CRM par exemple. Cela est vrai pour toute activité de suivi prospect ou client.

Quelle est ta vision sur cette réglementation ?

Pour moi, cette règlementation est une réelle évolution positive. Nous avons enfin un cadre juridique adapté aux transformations digitales et numériques !

Le RGPD peut être perçu par les entreprises comme une contrainte car sa mise en place nécessite beaucoup d’investissements humains et le respect de certaines obligations. Mais le texte fait preuve de pragmatisme : les conditions d’applications tiennent compte de la réalité des entreprises et des organismes. En cela, il ne faut pas voir le RGPD comme une contrainte mais comme une opportunité : celle de mettre en place une démarche qualité dans laquelle le citoyen se trouve véritablement au centre. C’est aussi l’occasion de rationaliser ses traitements, de faire le tri dans ses données voire du nettoyage. Finalement, se mettre en conformité avec le RGPD c’est assurer une transparence totale en tant qu’entreprise ou marque et donc reconstruire une relation de confiance avec ses clients.

Que fait Muse pour préparer sa conformité au RGPD ? Et pour aider ses clients ?

Chez Muse, nous aussi, nous devons traiter les données. A titre d’exemple, pour notre plateforme MAX, nous avons des traitements de données personnelles à faire car derrière, il y a des personnes physiques qui sont utilisatrices. Au niveau du Centre Relation Clients, nos équipes sont en contact direct avec les clients et manipulent leurs données.

Afin de sensibiliser les collaborateurs de Muse, nous avons donc déjà organisé deux vagues de sessions de sensibilisation dont la première a été animée par notre partenaire, Advens. Nous avons ensuite pris le relai en retravaillant nos supports de présentation afin que les collaborateurs puissent les réutiliser en cas de besoin. En ce moment, nous travaillons sur la cartographie des traitements afin qu’Advens puisse nous proposer par la suite un plan d’action détaillé des axes prioritaires à mettre en place.

En parallèle, nous avons créé le poste de Security Officer  pour répondre au cadre donné par le RGPD. Ce dernier a pour mission d’accompagner au-delà de l’interne nos clients et les sensibiliser à cette nouvelle règlementation. En effet, en tant que sous-traitant, nous avons l’obligation d’accompagner notre clientèle sur ce sujet (dans le cadre des projets que nous mettons en place pour eux), de répondre à leurs interrogations et de les conseiller dans la durée.

Alors justement, quel est ton rôle précisément en tant que Security Officer ?

Si le RGPD impose la nomination d’un Data Protection Officer (DPO), nous avons chez Loyalty Company, décidé d’ouvrir un poste de Security Officer. Celui-ci travaille sur un périmètre plus large puisqu’il englobe les missions du DPO définies par le RGPD mais occupe également d’autres rôles en lien avec la sécurité.

Dans le cadre de mes missions relevant directement du métier de Data Protection Officer, j’accompagne les équipes pour leur indiquer quelles sont les obligations et les exigences définies par le RGPD et comment les appliquer. J’interviens également dans le travail de centralisation de la documentation garantissant la mise en conformité et je suis le point de contact auprès de la CNIL.

D’autre part, mon poste de Security Officer m’a conduit à prendre en charge la gouvernance de la sécurité du Système d’information. En cela je dois animer et contrôler tous les sujets liés à la protection et à la sécurité de l’information. Par exemple, j’anime et je suis les projets qui sont menés par le Comité de la Sécurité de l’Information.

Comment expliques-tu que la plupart des entreprises ne seront pas prêtes dans la mise en application du RGPD le 25 mai prochain ?

Par rapport aux différentes études que j’ai pu lire sur le sujet, je réalise que beaucoup d’entreprises ont eu une prise de conscience tardive. A un an de l’échéance, seulement 9 % d’entre elles se déclaraient conformes et aujourd’hui, seulement un quart des entreprises européennes ce sont soumises aux exigences du RGPD.

En bref, les entreprises se rendent bien compte des impacts que cette réglementation peut avoir sur leur activité et la nécessité de se mettre en conformité, mais elles ne mesurent pas l’étendue des changements à opérer. Elles ne connaissent pas la méthodologie à appliquer et n’ont pas forcément une vision exhaustive de leurs données.

Quels conseils leur donnerais-tu alors ?

N’étant pas expert RGPD, nous ne pouvons que nous appuyer sur notre propre expérience. Ces entreprises doivent s’aider de la méthodologie décrite et formalisée sur le site de la CNIL. Elles doivent pour commencer désigner un DPO afin d’être accompagnées dans cette mise en conformité et ensuite cartographier les traitements, établir un plan d’action, évaluer et gérer les risques, organiser les processus internes et bien sûr documenter la conformité. Il faudra aussi sensibiliser les collaborateurs pour diffuser une culture interne « data privacy ». Du moment où l’entreprise a commencé à effectuer ces étapes, la mise en conformité au RGPD est lancée. Il ne faut pas oublier qu’il s’agit d’une démarche d’amélioration continue. Il n’est donc jamais trop tard à condition de commencer dès maintenant !

>> Vous pouvez également retrouver cet article sur le Blog de Kiss The Bride, l’agence conseil en marketing client du groupe Loyalty Company.

 

L'auteur - Muse Motivation

Agence conseil en motivation et solutions Reward du groupe Loyalty Company, Muse accompagne les entreprises dans l'organisation des challenges après de leur force de vente et de leurs réseaux, la mise en place de leurs programmes de programmes de fidélisation, la promotion des ventes et la sélection dotations.

Denis Levy-Rossi
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. En savoir plus