Actus légales
15/6/2021
- mis Ă jour le
[RĂ©tro] 3 ans plus tard, comment le RGPD nous a fait grandir đ
![[RĂ©tro] 3 ans plus tard, comment le RGPD nous a fait grandir](https://cdn.prod.website-files.com/610167bdec52d465db882881/638f1c6414b0f42930a915f9_612cd5bd3be64453c124be8f_20210615-Retro%2520-%2520Comment%2520le%2520RGPD%2520nous%2520a%2520fait%2520grandir.webp)
Sommaire
Fin 2016, nous entendons parler dâun texte europĂ©en qui allait bouleverser radicalement lâĂ©cosystĂšme du numĂ©rique : le RGPD. Seul un cercle dâinitiĂ©s (avocats, juristes IT, consultants) comprend alors la signification et la portĂ©e de ces 4 lettres sur les annĂ©es Ă venir... trĂšs, trĂšs loin du monde des TPE/PME.
Ă cette Ă©poque, Sellsy nâest dĂ©jĂ plus une startup mais une entreprise comptant une quarantaine - cinquantaine de collaborateurs et des milliers de clients et utilisateurs.
Nos clients, des entreprises de toutes tailles, nous confient non seulement des donnĂ©es personnelles mais Ă©galement lâensemble de leurs donnĂ©es business, stockĂ©es sur nos serveurs et sur lesquelles ils nâont donc par dĂ©finition aucun contrĂŽle.
En tant quâĂ©diteur dâun service stockant de nombreuses donnĂ©es Ă caractĂšre personnel, nous comprenons rapidement que le RGPD va devoir sâinscrire dans notre ambition de dĂ©veloppement :
- Nous sommes dans le collimateur du RGPD
- Nous sommes tiers de confiance et devons rassurer nos clients sur la bonne gestion de leurs données personnelles (et business)
- Nos clients actuels et futurs vont trÚs rapidement s'intéresser au sujet
â
Fin 2017, notre ambition de croissance venait de se concrĂ©tiser Ă la faveur dâune belle levĂ©e de fonds. Nous avions embauchĂ© quelques mois plus tĂŽt Nathalie une juriste spĂ©cialisĂ©e IT, qui va rapidement prendre le sujet en main et devenir notre DPO (Data Protection Officer).
Le recrutement de Nathalie est dâailleurs un de ces concours de circonstances incroyables qui fait tout le sel de la vie dâentrepreneur : en effet Nathalie, qui se spĂ©cialise Ă lâĂ©poque dans la protection des donnĂ©es personnelles Ă lâUniversitĂ© de La Rochelle aprĂšs une riche carriĂšre dans le juridique cherche⊠un stage đ
Câest donc en tant que stagiaire quâelle intĂšgre Sellsy. Inutile de dire que devant une telle valeur, le stage se transforme rapidement en CDI.
Depuis, avec patience et pĂ©dagogie, Nathalie a su conjuguer rigueur juridique et opĂ©rationnelle. Cet article a dâailleurs Ă©tĂ© revu Ă la virgule prĂšs đ§
â
La premiĂšre Ă©tape : on pose les bases pour le 25 mai 2018
â
Pour notre DPO, il fallait ĂȘtre impĂ©rativement carrĂ©s Ă cette date sur un âminimum syndicalâ de divers processus, mesures et documentation (le fameux âaccountability'').
La tĂąche Ă©tant dâautant plus complexe que nous portons la double casquette de responsable de traitement (pour les donnĂ©es de nos salariĂ©s et nos clients) et de sous-traitant (pour les donnĂ©es que nous traitons pour le compte de nos clients).
Avant dâen arriver aux premiĂšres mesures concrĂštes, il a fallu commencer par bien expliquer aux managers et aux Ă©quipes les objectifs du texte et leur annoncer quâon allait remettre en question une certaine façon de travailler.
Autant dire que fin 2017, le RGPD est à des années-lumiÚre des préoccupations des équipes business et R&D.
Pour cocher les cases de ce minimum syndical (ce qui nous a pris presque un an), il fallait :
- Savoir qui traite quelles donnĂ©es personnelles, pourquoi et comment : câest la fameuse âcartographie des traitementsâ qui liste nos flux de donnĂ©es
- à partir de cette cartographie, établir deux documents obligatoires, les registres des traitements (cÎté responsable de traitement, et cÎté sous-traitant)
- Rédiger une politique de confidentialité, disponible sur notre site internet pour que nos utilisateurs comprennent pourquoi et comment nous traitons leurs données
- Mettre Ă jour nos formulaires en respectant leur droit Ă lâinformation
- Mettre nos CGV en conformité avec les exigences du RGPD.
â
Mais pour ĂȘtre tout Ă fait honnĂȘtes, nous nâavions pas mesurĂ© lâampleur de ce qui restait Ă faire. đ
â
En 2019, on commence Ă y voir plus clair
Les bases Ă©tant posĂ©es, nous avons dĂ©marrĂ© les premiĂšres sensibilisations des Ă©quipes commerciales, afin que chacun soit suffisamment informĂ© pour accompagner nos clients et prospects, souvent confrontĂ©s eux-mĂȘmes Ă leur propre mise en conformitĂ©.
TrĂšs rapidement, nous avons mis en place une procĂ©dure permettant de rĂ©pondre Ă lâexercice des droits des personnes (salariĂ©s, clients, prospects) Ă leurs informations personnelles. Le dĂ©lai pour rĂ©pondre - notamment aux droits dâaccĂšs, d'opposition et Ă la portabilitĂ© des donnĂ©es Ă©tant trĂšs court (1 mois), une petite Ă©quipe transverse sâest mobilisĂ©e autour de la DPO.
Chacun des mĂ©tiers s'est rĂ©signĂ© Ă la tĂąche ingrate de rĂ©pertorier tous les contrats avec nos diffĂ©rents prestataires (et en passant, de faire beaucoup dâarchivage). Â
En parallĂšle nous nous attaquions au chantier âsĂ©curitĂ©â, avec la mise en place dâune vraie politique de sĂ©curitĂ© (qui a bien Ă©voluĂ© depuis) et dâune procĂ©dure de gestion des violations de sĂ©curitĂ© - une des mesures phare du texte,
Les rĂ©flexes se mettaient en place, petit Ă petitâŠ
â
En 2020 et 2021, on passe un vrai cap
Aujourdâhui, les rĂ©flexes nĂ©s du RGPD sâappliquent Ă la data au sens large, pour en faire bĂ©nĂ©ficier lâensemble de notre patrimoine informationnel.
Notre gestion de la donnĂ©e a plus quâĂ©voluĂ©, car Sellsy en 2021 câest : Â
â  Un comitĂ© de gouvernance mensuel, qui supervise la gestion de la donnĂ©e
â  Des rĂ©fĂ©rents RGPD dans chaque service
â  Deux juristes spĂ©cialisĂ©s TIC, dont une DPO dĂ©signĂ©e
â  Une maĂźtrise de nos flux de donnĂ©es
â  Une sĂ©curitĂ© renforcĂ©e du SI et de lâappli
â  Une attention renforcĂ©e quant au choix et Ă la gestion de notre parc fournisseurs
â  Une documentation Ă jour et centralisĂ©e
Ce socle va nous permettre d'envisager sereinement l'augmentation de notre parc client et lâambition de croissance qui est la nĂŽtre pour les 3 prochaines annĂ©es.
Mais il ne faut pas se mentir : le RGPD câest beaucoup, beaucoup de contraintes. Changer certaines habitudes se fait souvent dans la douleur et, cĂŽtĂ© finances, pour une entreprise comme la nĂŽtre, le coĂ»t Ă©tait Ă©norme (recrutement de juristes, temps homme passĂ© sur le sujet, mise en place de mesures techniques de sĂ©curitĂ©âŠ).
â
Alors, le bilan ?
â
Sâil y a une tendance, bien française, Ă rĂąler sur le RGPD, objectivement il est clair que le texte nous a sĂ©rieusement bousculĂ©s. Mais sans cette Ă©volution Ă marche forcĂ©e, il nâest pas sĂ»r que nous en soyons lĂ aujourdâhui.
DĂ©jĂ , notre capacitĂ© Ă justifier de nos actions pour la protection des donnĂ©es, tant en tant que fournisseur que sous traitant, est devenue un argument commercial majeur, tout comme lâest le stockage des donnĂ©es sur nos serveurs situĂ©s en France.
Il est Ă©galement certain que nous aurions ratĂ© de nombreuses ventes sans avoir mis en place les actions Ă©voquĂ©es dans ce document. De plus en plus de prospects nous envoient des listes de questions trĂšs prĂ©cises, auxquelles nous savons rĂ©pondre, et câest vital.
Au-delĂ , le respect du RGPD correspond Ă notre Ă©thique de travail depuis le dĂ©part et nous a permis de fortement amĂ©liorer la sĂ©curitĂ© et le service rendu Ă nos clients sur ce point. Au moins le RGPD a dĂ©fini un cadre clair, qui nous a permis dâavancer avec efficacitĂ©.
