Logo Rouge chocolat

En vrai, la RGPD, ça sert à quoi ?

Table des matières

L’an dernier, j’ai participé à mon 1er Hackathon, à Saintes (17). Ceux qui me connaissent savent comme je suis toujours partante pour contribuer à des évents de partage de compétences et de mouvement collectif.

Ce jour-là, ma copine Juju m’a présenté son meilleur ami, spécialiste du RGPD, Axel Pousse-Maron. Tout de suite, le courant (PRO) est passé entre nous et on a décidé de caler un rendez-vous afin de mieux échanger autour de nos métiers. Évidemment, dans ma p’tite tête, y avait déjà une idée de travailler avec Axel, et ne plus me positionner sur des compétences que je ne maitrise pas plus.

En 2018, le RGPD était plus considérée comme une formalité dans le but de préserver les données privées des utilisateurs. Ces mêmes utilisateurs qui n’ont pas forcément compris que la préservation de leurs données personnelles était une bonne chose, ou qui ont cru que ce qu’ils partageaient sur internet était « privé »…

Lorsque vous dites « le droit à la vie privée ne me préoccupe pas, parce que je n’ai rien à cacher », cela ne fait aucune différence avec le fait de dire « Je me moque du droit à la liberté d’expression parce que je n’ai rien à dire », ou « de la liberté de la presse parce que je n’ai rien à écrire ».

Edward Snowden

Bref, depuis un ou 2 ans, les organismes, entreprises, les GAFAM (Google, Amazon, Facebook devenu Méta, Apple, Microsoft)… qui ne respectent pas la réglementation européenne se voient sanctionnés pour non-respect des données personnelles. Les amendes sont… hyper salées. C’est le jeu ! (le jeu du j’y pers, j’y gagne hein, je vous laisse méditer là dessus)

L’autorité luxembourgeoise de protection des données a prononcé à l’encontre d’Amazon Europe Core une amende de 746 millions d’euros
Source : CNIL

C’est là, qu’en tant que professionnelle du web, j’ai réalisé que lorsque je mets en ligne les documents officiels sur le traitement des données sur les sites de mes clients, j’engage ma responsabilité.

Et oui…

oops

Alors, rencontrer un spécialiste comme Axel, comment vous dire : c’est une super opportunité à saisir !

J’ai eu l’idée de faire un article Guest afin de pouvoir évoquer un sujet brulant auquel Axel a accepté de répondre. En plus, c’est plus fun à lire. Enfin, j’espère

lets go

Salut Axel, je suis heureuse de pouvoir réaliser cet entretien avec toi et j’ai hâte de partager cet échange sur la vague internet.

Peux-tu te présenter en quelques mots ? Qui es-tu ? Ton parcours ?

axel pousse maron cap rgpd

Je me présente, Axel POUSSE-MARON, Consultant RGPD et DPO externe en indépendant depuis un an et demi, basé en Charente-Maritime (17).

Passionné d’informatique depuis mon enfance, je me dirige naturellement vers une école d’informatique puis une école de commerce ou j’ai obtenu mon Master. Je suis également diplômé d’un Certificat de spécialisation Délégué à la protection des données du CNAM de Paris.

Qu’est-ce qui t’a mené à la RGPD ?

Le droit du numérique étant en perpétuelle évolution, mon emploi précédent en tant que salarié cadre nécessitait que je me tienne informé des évolutions législatives en la matière. En tant que responsable de la Business Unit E-commerce et en pleine transition d’outils informatique, il fallait que j’anticipe l’application des futures réglementations pour être pleinement conforme dès la sortie de notre nouveau site e-commerce. Cherchant à me faire aider par des experts dans le domaine, je n’ai trouvé aucun prestataire dans mon secteur, ce qui m’a amené à m’auto-former au départ sur le sujet.

image du héros

Comment as-tu franchi le pas de la « passion » à la carte de visite PRO ?

4 ans après l’expérience évoquée plus haut, après un départ de l’entreprise pour laquelle je travaillais à la suite d’une cession à un nouvel actionnaire et avec le désir de créer ma propre entreprise, j’ai décidé de me lancer à mon compte. J’ai pris cette décision lorsque j’ai remarqué, avec stupeur, qu’aucun expert dans le domaine de la règlementation de la protection des données ne s’est encore implanté sur le secteur de la Charente-Maritime.

Qui sont tes clients potentiels ?

Mes clients potentiels sont multiples. En effet, le RGPD s’applique à tous les organismes publics et privés qui collectent et traitent des données personnelles de citoyens européens. Néanmoins, je me consacre principalement à aider des TPE et PME qui n’ont pas les ressources en interne pour gérer ce type de projet.

D’ailleurs, avais-tu dressé ton ou tes persona ? Ta cible ?

Je n’avais pas dressé de persona à vrai dire comme ma cible client est multiple. J’avais plutôt dressé ceux de mes prescripteurs qui peuvent être amenés à recommander mes services à leurs propres clients.

Comment tu peux aider les entreprises ? Est-ce une démarche purement administrative ou s’agit-il d’un accompagnement ?

Au-delà de la simple « démarche administrative » pour se constituer sa documentation de conformité, j’accompagne réellement mes clients pour faire rentrer la protection des données personnelles dans leurs process au quotidien.

Le but est de réfléchir à protéger au mieux les données des personnes concernées (clients, salariés, fournisseurs, …) sans entraver le développement et la croissance de l’entreprise.

Le RGPD ne doit pas être un frein à cela.

Il peut même les aider à atteindre ces objectifs lorsque l’on se sert du RGPD comme un outil et que l’on ne le voit plus que comme une énième contrainte.

Les avantages du rgpd

La notion de prise de conscience fait-elle sens pour toi ? Pour tes clients ?

J’ai pris conscience de l’importance de protéger ses propres données très jeune. Je n’ai jamais partagé ni raconté ma vie sur les réseaux sociaux.

J’ai vite compris qu’une fois publiées, nos informations ne nous appartiennent plus et sont gravées à vie sur des serveurs quelque part dans le monde sans possibilité de réelle modification ou suppression.

Une fois arrivé dans le monde professionnel, ce n’est plus seulement mes données que j’étais amené à traiter, mais les données de clients, salariés, etc.

Ce sont des personnes qui nous font confiance en nous transmettant leurs données personnelles.

Nous avons donc une responsabilité envers eux pour les protéger et faire en sorte qu’elles ne soient pas divulguées et utilisées à mauvais escient contre eux.

cyber attaque


Beaucoup d’entreprises n’ont pas encore pleinement conscience de ces faits

Mais les mentalités sont en train de changer. On entend beaucoup plus d’affaires de cyberattaques aux informations avec des fuites de données, souvent des centres hospitaliers, des conseils départementaux, ….

À vrai dire, personne n’est complétement immunisé contre cela et des cyberattaques mettent à mal beaucoup de TPM/PME chaque jour.

Si ces organisations s’étaient intéressées au RGPD, au-delà de l’obligation légale qui s’applique à tous, elles auraient potentiellement pu éviter et limiter leur exposition en mettant en place des mesures techniques et organisationnelles appropriées.

Qu’est-ce qui te fait le plus vibrer dans cette activité ?

Ce qui me fait le plus vibrer est de pouvoir rencontrer et échanger avec énormément de personnes différentes.

sécurisation des données sensibles

Le sujet de la protection des données et de leur sécurisation est transversal.

Il touche tous les types d’entreprises et quasiment tous les postes.

Le fait de pouvoir aider à sécuriser le patrimoine informationnel d’une entreprise est important pour moi. On protège au mieux les personnes concernées de fuites de données et potentiellement d’usurpation d’identité et on protège l’entreprise elle-même qui pourrait connaitre des difficultés en se retrouvant sans aucune donnée informatique, avec des obligations juridiques et potentiellement des sanctions financières, civiles et pénales.

Peux-tu nous décrire ton ou tes services liés à la RGPD ?

Je propose différentes prestations d’accompagnement à la mise en conformité au RGPD jusqu’à la désignation officielle de DPO (Data Protection Officer) auprès de la CNIL et l’assistance en cas de fuite de données et de contrôle de la CNIL.
Je travaille avec plusieurs prestataires informatiques pour la partie sécurisation technique des systèmes d’information et avec une data-analyst pour aider mes clients à développer leur business tout en respectant le cadre du RGPD.
J’ai également développé plusieurs formations de sensibilisation à l’utilisation des données personnelles dans le cadre professionnel à destination de chefs d’entreprises et de collaborateurs.

audit de mise en confrmité RGPD

Comment se déroule une prestation RGPD ?

Très simplement, une prestation classique commence par un audit pour déterminer la maturité en protection des données de l’entreprise.

Par la suite, nous identifions les actions à mener pour se conformer aux obligations et rédigeons un plan d’action de mesures techniques et organisationnelles pour sécuriser les données.

Rédaction registre des données personnelles

Nous rédigeons les registres RGPD

  • Le registre des Activités de traitement pour les traitements dont l’entreprise a collecté elle-même les données,
  • le Registre de sous-traitance pour les traitements effectués pour le compte de tiers
  • et le Registre des violations de données, ainsi que tous les autres documents nécessaires à la documentation de conformité.

Pour rappel, la détention de registre RGPD est obligatoire, au même titre que le registre du personnel, le document unique, …

Pour terminer, nous intégrons les mentions d’informations à tous les points de collecte de données (formulaires, contrats, …) et déployons l’exercice des droits des personnes.

Concrètement, combien ça coute ?

Une prestation

La tarification varie en fonction du type, de la taille, du secteur d’activité de l’entreprise.

Etant une démarche d’amélioration continue, chaque étape peut être effectuée dans le temps afin de lisser le coût total. Certaines prestations débutent à 600€ jusqu’à 5 000€ pour un accompagnement complet à la mise en conformité.

Une mise en conformité par un non professionnel de la RGPD ?

Aucune idée de tarifs de personnes non professionnelles. Forcément moins cher qu’une vraie prestation effectuée par une personne diplômée ou certifiée dont c’est le métier. Le résultat à de fortes chances de différer également.

Par le fils du voisin qui a fait le site et qui croit avoir bien fait ?

Le fils du voisin a certainement de très bonnes connaissances en développement web et je serai incapable d’imiter ses réalisations. Connaitre et savoir appliquer les 99 articles de la réglementation RGPD, c’est un autre métier et il me parait difficile d’avoir plusieurs domaines d’expertises.

Appelles-tu un dentiste ou un boucher-charcutier si tu as mal aux dents ?

Réponse à chaud : sans vouloir faire de délation, j’ai connu un dentiste qui aurait mieux fait d’être charcutier.

Vav, Rouge chocolat

Combien de temps pour se mettre en conformité RGPD ? À la louche… Et dans la réalité ?

Tout dépend également de l’entreprise et du caractère d’urgence (fuite de données qui vient d’arriver et nécessité d’effectuer une déclaration CNIL par exemple). En 9 à 10 demi-journées de travail, réparties sur un trimestre, on arrive à avoir un premier résultat satisfaisant.

Et après, il se passe quoi ?

La conformité n’est jamais acquise à vie et nécessite un travail de fond chaque année pour vérifier les nouveaux process, les nouveaux projets, …
Une revue annuelle de la documentation de conformité est nécessaire pour apporter des modifications aux registres et procédures en fonction des changements opérationnels.

Comme tu le sais, je travaille beaucoup avec les outils de Google pour mes clients. Quel est ton point de vue sur Google ?

Google est aujourd’hui n°1 des recherches sur internet (94 % des recherches en France) :

  • son navigateur Chrome est un des navigateurs internet le plus utilisé au monde,
  • tout comme son Système d’Exploitation Android pour les smartphones qui a plus d’un milliard d’utilisateurs,
  • son logiciel Gmail ou il est le premier opérateur de messagerie email,
  • son logiciel de cartographie Maps qui est le plus utilisé au monde,
  • Youtube qui est la plus grande plateforme au monde de vidéos …

Et tout cela fourni gratuitement à ses utilisateurs.

Cependant, sa santé financière est très solide en étant 3ᵉ dans le top 10 des capitalisations boursières mondiales, derrière Apple et Microsoft. Les données personnelles et leur exploitation occupent aujourd’hui une place centrale dans l’économie et c’est sur cela qu’est basé leur business. Comme le dit l’adage :

Si c’est gratuit, c’est vous le produit ».

J’envisage de switcher vers des outils plus vertueux.

Je porte une attention particulière au monde du libre et Matomo, qui a toujours été une alternative à Google semble prendre beaucoup d’ampleur. J’ai même un cours magistral pour connecter Tag Manager à Matomo ! Même si ça me semble du non-sens.

Quel est ton point de vue, Axel ?

En effet, nos habitudes nous poussent à utiliser des outils que nous connaissons depuis fort longtemps. De même, la résistance aux changements est toujours forte chez l’homme.

Néanmoins, il faut maintenant se poser la question de la pertinence de certains outils compte tenu de leur politique de protection des données et de leur conformité au RGPD.

Il existe beaucoup d’alternatives françaises ou européenne à nos logiciels habituels, mais ces derniers sont encore peu connus.

Matomo fait partie de ceux-là.

C’est une réelle alternative à l’utilisation de Google Analytics et dont la CNIL a mis en demeure plusieurs organismes qui utilisaient cet outil, déclaré aujourd’hui non conforme suite à l’invalidation du Privacy Shield.

Quels outils pourrais-tu recommander à une entreprise qui souhaite réaliser une analyse du trafic ? De comportement des visiteurs sur ses supports digitaux ?

Matomo (anciennement Piwik) est aujourd’hui le réel challenger, c’est l’outil d’analyse le plus utilisé après Google Analytics. On peut également citer une entreprise française AT Internet qui stocke et traite les données des visiteurs au sein d’infrastructures localisées exclusivement en l’UE.

Aurais-tu quelques conseils à nous prodiguer ? As-tu quelque chose à ajouter ?

N’investissez pas que sur le RUN (la production) et le développement commercial, pensez également à investir pour protéger votre patrimoine déjà acquis.

Le budget de la sécurité informatique est encore trop faible dans la majorité des entreprises quant aux risques qui sont de plus en plus élevés.

Le RGPD est aussi là pour se poser les bonnes questions quant à la sécurisation de nos données, mais aussi de tous autres éléments du patrimoine informationnel qui permet à l’entreprise de gagner de l’argent.

Imaginez un instant toutes ces données (fichiers clients, dossiers R&D, secrets de fabrication, …) dans la nature, disponible librement sur le darkweb

Investir dans sa conformité RGPD est donc doublement gagnant pour éviter :

  • Les sanctions financières, civiles et pénales,
  • Le risque réputationnel en cas de fuite de données
  • et … ?

Comment peut-on te contacter ?

Très simplement depuis mon site internet www.cap-rgpd.fr via le formulaire de contact, par email contact[@]cap-rgpd.fr ou par téléphone au 06 xx xx xx xx. (J’ai volontairement censuré le numéro :D)

Quels sont tes délais d’intervention ?

Quelle est ta zone d’intervention ?

J’interviens principalement en Charente-Maritime et départements limitrophes, mais il m’est tout à fait possible de me déplacer sur toute la France.

Les outils numériques de communication étant rentré dans les mœurs, ils permettent aujourd’hui de gommer la distance.

Merci Axel

merci, piléa
Ceci est un piléa, plante de l’abondance

Tu es un professionnel du web (un vrai) et tu souhaites partager des bons tips sur ton métier, contacte-moi.

Crédit photos : Pixabay – freepik

Envie de partager ?

Ces articles pourraient également vous intéresser

Parlez-moi de votre projet

  • Votre objectif est de vous démarquer de vos concurrents
  • Votre site est l'image que vous véhiculez sur internet
  • Valorisez votre savoir, mettez vos compétences en avant.
Demander un devis
lunettes sur clavier
Logo Rouge chocolat

Contact :
+33 66 678 3704
Saintes (17)
Nouvelle Aquitaine

A propos
Mentions légales
Politique de confidentialité
CGV
Linkedin Facebook-f Twitter

Rouge Chocolat – Tous droits réservés