Abonnez-vous Ă  nos contenus

Soyez informés par email de nos derniÚres publications pour ne rien louper.

✕

[RĂ©tro] 3 ans plus tard, comment le RGPD nous a fait grandir 🚀

[RĂ©tro] 3 ans plus tard, comment le RGPD nous a fait grandir

Fin 2016, nous entendons parler d’un texte europĂ©en qui allait bouleverser radicalement l’écosystĂšme du numĂ©rique : le RGPD. Seul un cercle d’initiĂ©s (avocats, juristes IT, consultants) comprend alors la signification et la portĂ©e de ces 4 lettres sur les annĂ©es Ă  venir... trĂšs, trĂšs loin du monde des TPE/PME.

À cette Ă©poque, Sellsy n’est dĂ©jĂ  plus une startup mais une entreprise comptant une quarantaine - cinquantaine de collaborateurs et des milliers de clients et utilisateurs.

Nos clients, des entreprises de toutes tailles, nous confient non seulement des donnĂ©es personnelles mais Ă©galement l’ensemble de leurs donnĂ©es business, stockĂ©es sur nos serveurs et sur lesquelles ils n’ont donc par dĂ©finition aucun contrĂŽle.

En tant qu’éditeur d’un service stockant de nombreuses donnĂ©es Ă  caractĂšre personnel, nous comprenons rapidement que le RGPD va devoir s’inscrire dans notre ambition de dĂ©veloppement :

  • Nous sommes dans le collimateur du RGPD
  • Nous sommes tiers de confiance et devons rassurer nos clients sur la bonne gestion de leurs donnĂ©es personnelles (et business)
  • Nos clients actuels et futurs vont trĂšs rapidement s'intĂ©resser au sujet

‍

Fin 2017, notre ambition de croissance venait de se concrĂ©tiser Ă  la faveur d’une belle levĂ©e de fonds. Nous avions embauchĂ© quelques mois plus tĂŽt Nathalie une juriste spĂ©cialisĂ©e IT, qui va rapidement prendre le sujet en main et devenir notre DPO (Data Protection Officer).

Le recrutement de Nathalie est d’ailleurs un de ces concours de circonstances incroyables qui fait tout le sel de la vie d’entrepreneur : en effet Nathalie, qui se spĂ©cialise Ă  l’époque dans la protection des donnĂ©es personnelles Ă  l’UniversitĂ© de La Rochelle aprĂšs une riche carriĂšre dans le juridique cherche
 un stage 🙂

C’est donc en tant que stagiaire qu’elle intùgre Sellsy. Inutile de dire que devant une telle valeur, le stage se transforme rapidement en CDI.

Depuis, avec patience et pĂ©dagogie, Nathalie a su conjuguer rigueur juridique et opĂ©rationnelle. Cet article a d’ailleurs Ă©tĂ© revu Ă  la virgule prĂšs 🧐

‍

La premiĂšre Ă©tape : on pose les bases pour le 25 mai 2018

‍

Pour notre DPO, il fallait ĂȘtre impĂ©rativement carrĂ©s Ă  cette date sur un “minimum syndical” de divers processus, mesures et documentation (le fameux “accountability'').

La tĂąche Ă©tant d’autant plus complexe que nous portons la double casquette de responsable de traitement (pour les donnĂ©es de nos salariĂ©s et nos clients) et de sous-traitant (pour les donnĂ©es que nous traitons pour le compte de nos clients).

Avant d’en arriver aux premiĂšres mesures concrĂštes, il a fallu commencer par bien expliquer aux managers et aux Ă©quipes les objectifs du texte et leur annoncer qu’on allait remettre en question une certaine façon de travailler.

Autant dire que fin 2017, le RGPD est à des années-lumiÚre des préoccupations des équipes business et R&D.

Pour cocher les cases de ce minimum syndical (ce qui nous a pris presque un an), il fallait :

  • Savoir qui traite quelles donnĂ©es personnelles, pourquoi et comment : c’est la fameuse “cartographie des traitements” qui liste nos flux de donnĂ©es
  • À partir de cette cartographie, Ă©tablir deux documents obligatoires, les registres des traitements (cĂŽtĂ© responsable de traitement, et cĂŽtĂ© sous-traitant)
  • RĂ©diger une politique de confidentialitĂ©, disponible sur notre site internet pour que nos utilisateurs comprennent pourquoi et comment nous traitons leurs donnĂ©es
  • Mettre Ă  jour nos formulaires en respectant leur droit Ă  l’information
  • Mettre nos CGV en conformitĂ© avec les exigences du RGPD.

‍

Mais pour ĂȘtre tout Ă  fait honnĂȘtes, nous n’avions pas mesurĂ© l’ampleur de ce qui restait Ă  faire. 😅

‍

En 2019, on commence Ă  y voir plus clair

Les bases Ă©tant posĂ©es, nous avons dĂ©marrĂ© les premiĂšres sensibilisations des Ă©quipes commerciales, afin que chacun soit suffisamment informĂ© pour accompagner nos clients et prospects, souvent confrontĂ©s eux-mĂȘmes Ă  leur propre mise en conformitĂ©.

TrĂšs rapidement, nous avons mis en place une procĂ©dure permettant de rĂ©pondre Ă  l’exercice des droits des personnes (salariĂ©s, clients, prospects) Ă  leurs informations personnelles. Le dĂ©lai pour rĂ©pondre - notamment aux droits d’accĂšs, d'opposition et Ă  la portabilitĂ© des donnĂ©es Ă©tant trĂšs court (1 mois), une petite Ă©quipe transverse s’est mobilisĂ©e autour de la DPO.

Chacun des mĂ©tiers s'est rĂ©signĂ© Ă  la tĂąche ingrate de rĂ©pertorier tous les contrats avec nos diffĂ©rents prestataires (et en passant, de faire beaucoup d’archivage).  

En parallĂšle nous nous attaquions au chantier “sĂ©curitĂ©â€, avec la mise en place d’une vraie politique de sĂ©curitĂ© (qui a bien Ă©voluĂ© depuis) et d’une procĂ©dure de gestion des violations de sĂ©curitĂ© - une des mesures phare du texte,

Les réflexes se mettaient en place, petit à petit


‍

En 2020 et 2021, on passe un vrai cap

Aujourd’hui, les rĂ©flexes nĂ©s du RGPD s’appliquent Ă  la data au sens large, pour en faire bĂ©nĂ©ficier l’ensemble de notre patrimoine informationnel.

Notre gestion de la donnĂ©e a plus qu’évoluĂ©, car Sellsy en 2021 c’est :  

✅  Un comitĂ© de gouvernance mensuel, qui supervise la gestion de la donnĂ©e

✅  Des rĂ©fĂ©rents RGPD dans chaque service

✅  Deux juristes spĂ©cialisĂ©s TIC, dont une DPO dĂ©signĂ©e

✅  Une maĂźtrise de nos flux de donnĂ©es

✅  Une sĂ©curitĂ© renforcĂ©e du SI et de l’appli

✅  Une attention renforcĂ©e quant au choix et Ă  la gestion de notre parc fournisseurs

✅  Une documentation Ă  jour et centralisĂ©e

Ce socle va nous permettre d'envisager sereinement l'augmentation de notre parc client et l’ambition de croissance qui est la nĂŽtre pour les 3 prochaines annĂ©es.

Mais il ne faut pas se mentir : le RGPD c’est beaucoup, beaucoup de contraintes. Changer certaines habitudes se fait souvent dans la douleur et, cĂŽtĂ© finances, pour une entreprise comme la nĂŽtre, le coĂ»t Ă©tait Ă©norme (recrutement de juristes, temps homme passĂ© sur le sujet, mise en place de mesures techniques de sĂ©curité ).

‍

Alors, le bilan ?

‍

S’il y a une tendance, bien française, Ă  rĂąler sur le RGPD, objectivement il est clair que le texte nous a sĂ©rieusement bousculĂ©s. Mais sans cette Ă©volution Ă  marche forcĂ©e, il n’est pas sĂ»r que nous en soyons lĂ  aujourd’hui.

DĂ©jĂ , notre capacitĂ© Ă  justifier de nos actions pour la protection des donnĂ©es, tant en tant que fournisseur que sous traitant, est devenue un argument commercial majeur, tout comme l’est le stockage des donnĂ©es sur nos serveurs situĂ©s en France.

Il est Ă©galement certain que nous aurions ratĂ© de nombreuses ventes sans avoir mis en place les actions Ă©voquĂ©es dans ce document. De plus en plus de prospects nous envoient des listes de questions trĂšs prĂ©cises, auxquelles nous savons rĂ©pondre, et c’est vital.

Au-delĂ , le respect du RGPD correspond Ă  notre Ă©thique de travail depuis le dĂ©part et nous a permis de fortement amĂ©liorer la sĂ©curitĂ© et le service rendu Ă  nos clients sur ce point. Au moins le RGPD a dĂ©fini un cadre clair, qui nous a permis d’avancer avec efficacitĂ©.

Qu’attendez vous pour enchanter vos Ă©quipes et vos clients ?

Essai gratuit 15 jours – Sans engagement

Essayer gratuitement