[Rétro] 3 ans plus tard, comment le RGPD nous a fait grandir 🚀

Fin 2016, nous entendons parler d’un texte européen qui allait bouleverser radicalement l’écosystème du numérique : le RGPD. Seul un cercle d’initiés (avocats, juristes IT, consultants) comprend alors la signification et la portée de ces 4 lettres sur les années à venir... très, très loin du monde des TPE/PME.

À cette époque, Sellsy n’est déjà plus une startup mais une entreprise comptant une quarantaine - cinquantaine de collaborateurs et des milliers de clients et utilisateurs.

Nos clients, des entreprises de toutes tailles, nous confient non seulement des données personnelles mais également l’ensemble de leurs données business, stockées sur nos serveurs et sur lesquelles ils n’ont donc par définition aucun contrôle.

En tant qu’éditeur d’un service stockant de nombreuses données à caractère personnel, nous comprenons rapidement que le RGPD va devoir s’inscrire dans notre ambition de développement :

  • Nous sommes dans le collimateur du RGPD
  • Nous sommes tiers de confiance et devons rassurer nos clients sur la bonne gestion de leurs données personnelles (et business)
  • Nos clients actuels et futurs vont très rapidement s'intéresser au sujet
 

Fin 2017, notre ambition de croissance venait de se concrétiser à la faveur d’une belle levée de fonds. Nous avions embauché quelques mois plus tôt Nathalie une juriste spécialisée IT, qui va rapidement prendre le sujet en main et devenir notre DPO (Data Protection Officer).

Le recrutement de Nathalie est d’ailleurs un de ces concours de circonstances incroyables qui fait tout le sel de la vie d’entrepreneur : en effet Nathalie, qui se spécialise à l’époque dans la protection des données personnelles à l’Université de La Rochelle après une riche carrière dans le juridique cherche… un stage 🙂

C’est donc en tant que stagiaire qu’elle intègre Sellsy. Inutile de dire que devant une telle valeur, le stage se transforme rapidement en CDI.

Depuis, avec patience et pédagogie, Nathalie a su conjuguer rigueur juridique et opérationnelle. Cet article a d’ailleurs été revu à la virgule près 🧐

La première étape : on pose les bases pour le 25 mai 2018

Pour notre DPO, il fallait être impérativement carrés à cette date sur un “minimum syndical” de divers processus, mesures et documentation (le fameux “accountability'').

La tâche étant d’autant plus complexe que nous portons la double casquette de responsable de traitement (pour les données de nos salariés et nos clients) et de sous-traitant (pour les données que nous traitons pour le compte de nos clients).

Avant d’en arriver aux premières mesures concrètes, il a fallu commencer par bien expliquer aux managers et aux équipes les objectifs du texte et leur annoncer qu’on allait remettre en question une certaine façon de travailler. 

Autant dire que fin 2017, le RGPD est à des années-lumière des préoccupations des équipes business et R&D. 

Pour cocher les cases de ce minimum syndical (ce qui nous a pris presque un an), il fallait :

  • Savoir qui traite quelles données personnelles, pourquoi et comment : c’est la fameuse “cartographie des traitements” qui liste nos flux de données 
  • À partir de cette cartographie, établir deux documents obligatoires, les registres des traitements (côté responsable de traitement, et côté sous-traitant)
  • Rédiger une politique de confidentialité, disponible sur notre site internet pour que nos utilisateurs comprennent pourquoi et comment nous traitons leurs données
  • Mettre à jour nos formulaires en respectant leur droit à l’information
  • Mettre nos CGV en conformité avec les exigences du RGPD.

Mais pour être tout à fait honnêtes, nous n’avions pas mesuré l’ampleur de ce qui restait à faire. 😅

En 2019, on commence à y voir plus clair

Les bases étant posées, nous avons démarré les premières sensibilisations des équipes commerciales, afin que chacun soit suffisamment informé pour accompagner nos clients et prospects, souvent confrontés eux-mêmes à leur propre mise en conformité.

Très rapidement, nous avons mis en place une procédure permettant de répondre à l’exercice des droits des personnes (salariés, clients, prospects) à leurs informations personnelles. Le délai pour répondre - notamment aux droits d’accès, d'opposition et à la portabilité des données étant très court (1 mois), une petite équipe transverse s’est mobilisée autour de la DPO.

Chacun des métiers s'est résigné à la tâche ingrate de répertorier tous les contrats avec nos différents prestataires (et en passant, de faire beaucoup d’archivage).  

En parallèle nous nous attaquions au chantier “sécurité”, avec la mise en place d’une vraie politique de sécurité (qui a bien évolué depuis) et d’une procédure de gestion des violations de sécurité - une des mesures phare du texte, 

Les réflexes se mettaient en place, petit à petit…

En 2020 et 2021, on passe un vrai cap 

Aujourd’hui, les réflexes nés du RGPD s’appliquent à la data au sens large, pour en faire bénéficier l’ensemble de notre patrimoine informationnel.

Notre gestion de la donnée a plus qu’évolué, car Sellsy en 2021 c’est :  

✅  Un comité de gouvernance mensuel, qui supervise la gestion de la donnée

✅  Des référents RGPD dans chaque service

✅  Deux juristes spécialisés TIC, dont une DPO désignée

✅  Une maîtrise de nos flux de données

✅  Une sécurité renforcée du SI et de l’appli

✅  Une attention renforcée quant au choix et à la gestion de notre parc fournisseurs

✅  Une documentation à jour et centralisée 

Ce socle va nous permettre d'envisager sereinement l'augmentation de notre parc client et l’ambition de croissance qui est la nôtre pour les 3 prochaines années. 

Mais il ne faut pas se mentir : le RGPD c’est beaucoup, beaucoup de contraintes. Changer certaines habitudes se fait souvent dans la douleur et, côté finances, pour une entreprise comme la nôtre, le coût était énorme (recrutement de juristes, temps homme passé sur le sujet, mise en place de mesures techniques de sécurité…). 

Alors, le bilan ?

 

S’il y a une tendance, bien française, à râler sur le RGPD, objectivement il est clair que le texte nous a sérieusement bousculés. Mais sans cette évolution à marche forcée, il n’est pas sûr que nous en soyons là aujourd’hui.

Déjà, notre capacité à justifier de nos actions pour la protection des données, tant en tant que fournisseur que sous traitant, est devenue un argument commercial majeur, tout comme l’est le stockage des données sur nos serveurs situés en France.

Il est également certain que nous aurions raté de nombreuses ventes sans avoir mis en place les actions évoquées dans ce document. De plus en plus de prospects nous envoient des listes de questions très précises, auxquelles nous savons répondre, et c’est vital.

Au-delà, le respect du RGPD correspond à notre éthique de travail depuis le départ et nous a permis de fortement améliorer la sécurité et le service rendu à nos clients sur ce point. Au moins le RGPD a défini un cadre clair, qui nous a permis d’avancer avec efficacité.

🚀 Essayez Sellsy pendant 15 jours