Contrainte légale ou opportunité pour les entreprises ?

Mathieu DARMET

Projet tutoré par
Thierry BONTEMS

soutenu le 25/06/2018

Business Manager 2018 Mémoire de fin d'étude

Mathieu Darmet Business Manager 2017-2018

Le RGPD : Contrainte légale ou opportunité pour les entreprises ?

Soutenance le 25/06/2018, auprès d'un jury composé de :

- Virginie Monvoisin,

Professeur Associé au département Homme, Organisations et Société Docteur en économie, Université de Bourgogne

- Thierry Bontems,

Chargé de mission, appui au pilotage, Laboratoire de sciences humaines et sociales Pacte

Grenoble Ecole de Management - Tuteur : Thierry Bontems

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

REMERCIEMENTS

En préambule de ce mémoire, je tiens à exprimer mes sincères remerciements à toutes les personnes qui ont joué un rôle ou apporté leur contribution à sa réalisation.

Je pense en premier lieu à mes filles, que j'ai dû quelque peu négliger pendant ma formation et lors de la rédaction de ce mémoire, ainsi qu'à mon épouse, qui m'a soutenu et qui a trop souvent dû assumer seule l'intendance.

Ensuite, je remercie bien sûr les interlocuteurs qui ont acceptés d'apporter leurs témoignages et m'ont permis d'enrichir ce mémoire de leurs expériences, Mme Céline Ambroise-Thomas d'AIRRIA, M. Alexis Dupic d'OPTIMEX Data, M. Romain Ivoy d'EVOS Infogérance, M. Guillaume Pourquié de GEM, M. Stéphane Bergerat de CINETIC IT et M. Cyril Bras de Grenoble Alpes Métropole.

Je dois également remercier mon employeur, M. Éric Véronèse dirigeant de SYDEV, qui n'apparait pas dans ce mémoire, mais qui m'a proposé des conditions de travail propices à sa réalisation et autorisé à présenter le cas de son entreprise lors de ma soutenance.

Je remercie bien entendu mon tuteur, M. Thierry Bontems, pour son soutient, ses conseils et sa bienveillance, ainsi que sa collègue, Mme Anne-Marie Benoit du laboratoire Pacte, qui a eu l'amabilité de m'aider à affiner ma problématique et mon plan.

Mes camarades de classe ont eux-aussi joué un rôle important, grâce à la cohésion que nous avons pu établir et à nos échanges sur l'avancement de nos travaux respectifs. Je pense en particulier à Laure Smail qui, en dépit de sa propre charge de travail, n'a pas hésité à m'apporter son aide précieuse pour structurer certaines de mes idées.

Enfin, je terminerai en remerciant Grenoble Ecole de Management et ses équipes pédagogiques, pour m'avoir admis au sein du cursus Business Manager et pour la qualité des enseignements qui m'ont été dispensés.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

TABLE DES MATIERES

INTRODUCTION 4

POURQUOI UN REGLEMENT GENERAL POUR LA PROTECTION DES DONNEES ? 10

La protection des données en France et dans l'Union européenne 10

Le RGPD : Un nouvelle réglementation européenne applicable au 25 mai 2018 16

Génèse 16

Le cadre de la réglementation : 17

Qui est concerné ? 17

Ce qui évolue : 19

L'exécution du traitement de données à caractère personnel : 25

Le rôle des autorités de contrôle : 27

Le règlement ePrivacy 28

UN CHANGEMENT DE PARADIGME POUR LES ENTREPRISES 30

Les données et l'information au coeur du fonctionnement des entreprises 30

De l'information aux données et des données aux informations stratégiques 30

Les données comme patrimoine de l'entreprise : 33

Risques et moyens de maitrise 35

Trois grandes familles de risques 36

D'autres formes de risques 37

La mise en place du RGPD 46

Méthode recommandée par la CNIL 46

Mettre en pratique le RGPD 50

« RDPG ready » ? L'état d'esprit des entreprises 53

DES CONTRAINTES QUI PEUVENT CACHER DES OPPORTUNITES ET D'AUTRES ENJEUX 56

Le RGPD, quelles opportunités pour les organisations ? 57

Une question d'état d'esprit 57

Améliorer la relation client 58

Adopter de bonnes pratiques 60

Améliorer la communication interne 60

Assainir et rééquilibrer le marché 61

Créer de nouveaux modèles économiques et de nouveaux métiers 62

Capitaliser sur les acteurs européens 63

Une dimension sociétale 65

De multiples dérives 65

Des différences culturelles 68

Une prise de conscience 70

Une responsabilité sociétale 74

CONCLUSION 80

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

INTRODUCTION

En engageant une réflexion sur la réalisation d'un mémoire visant à clôturer la formation « Responsable Opérationnel d'Unité » à Grenoble Ecole de Management, il apparaissait évident que son sujet devait avoir un lien avec la carrière professionnelle et les ambitions de son auteur. Dans cette logique, la réflexion s'est rapidement orientée vers un thème relatif au digital, lié aux logiciels de gestion, à la sécurité ou aux bases de données.

Après différentes recherches et lectures peu inspirantes, quand il s'agissait d'en dégager un sujet et surtout une problématique suffisamment intéressante pour entreprendre la rédaction d'un mémoire, c'est la rencontre avec un professeur de l'école, Thierry Bontems, dans le cadre de ses cours sur la gestion des risques et les systèmes d'information, mais aussi et surtout l'actualité, qui ont permis de mettre en exergue le sujet qui sera étudié dans le cadre de ce mémoire : Le Règlement Général sur la Protection des Données.

L'actualité des plus abondante autour du RGPD, peut-être un peu trop d'ailleurs, rendait le choix de ce sujet incontournable. Il devenait une évidence, répondant à l'ensemble des critères qui devaient être pris en considération : cohérence avec l'expérience professionnelle, responsabilité sociétale et conscience citoyenne, impacts directs sur le monde de l'entreprise et même une portée managériale, car nous le verrons, il impacte aussi bien les cadres dirigeants que leurs équipes et concerne l'ensemble des services des organisations.

Nous nous sommes donc attachés à collecter un maximum d'information, principalement dans les médias, presse écrite, site Internet d'actualité, livres blancs, fiches thématiques, conférences ou émissions télévisées et quelques extraits d'ouvrages, car peu de littératures s'intéressaient spécifiquement à notre sujet, ou nous emmenaient pour la plupart beaucoup trop loin et réclamaient un investissement temporel dont nous ne pouvions disposer. Il aura tout de même fallu s'intéresser au numérique en général et nous plonger dans l'évolution des technologies de l'information, en nous appuyant notamment sur les ressources académiques fournies par l'école.

Les médias proposaient de nombreuses informations et références dans lesquelles nous avons largement pu puiser, mais qui auront nécessité une sélection. Comme nous l'indiquions, les sujets relatifs aux numériques ont fait, et feront encore, couler beaucoup d'encre. Suivant le fil de l'actualité, nous avons dû écarter de nombreuses lectures, qui se révélaient redondantes ou n'apportaient pas grand-chose de plus sur le sujet que nous souhaitions traiter et illustrer. Mais nous avons aussi pu identifier des auteurs ou intervenants plus pertinents, sur lesquels nous avons engagé des recherches plus ciblées, au travers de leurs publications, interviews ou conférences.

L'une des principales difficultés résidait dans le fait que tout le monde évoquait, ou plutôt « surfait », sur le thème du RGPD, avec des approches qui se voulaient pédagogiques, mais dont la vocation se révélaient rapidement purement commerciale.

Nombre d'entreprises du secteur numérique ont ainsi édité des livres blancs, qui étaient davantage destinés à promouvoir leurs services, notamment en matière de prestations

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

informatiques ou d'audit de sécurité des systèmes, avec beaucoup plus de bruit que de solutions concrètes.

La lecture du règlement lui-même a été entamée, mais rapidement abandonnée. Car au-delà de sa complexité, nous recherchions des éléments plus synthétiques et l'objet de notre démarche ne consistait pas à en faire la transcription détaillée ou à mener une analyse juridique. Laquelle aurait nécessité une expertise qui n'est pas la nôtre et qui nous aurait écarté la finalité de notre démarche.

C'est avant tout la dimension sociétale du RGPD qui retenait notre attention et ce que ce règlement allait réellement apporter aux citoyens européens. Le nouveau règlement permettrait-il d'endiguer les dérives liées à la collecte massive des données personnelles des utilisateurs du numérique ? Nous partions sur cette piste, après avoir envisagées, puis finalement écartées, celles liées aux impacts du RGPD sur les entreprises, qui nous semblaient initialement trop évidentes.

Le temps consacré aux recherches et à l'actualité autour du RGPD, ainsi que sur les notions de responsabilité sociétale, ou encore d'éducation des utilisateurs, fut assez conséquent, avec un souci constant d'alimenter un journal de lecture sur lequel nous pourrions ensuite nous appuyer pour rédiger ce mémoire.

Nous avons récolté de nombreux des témoignages intéressants et des idées ou informations susceptibles d'étayer et d'ouvrir notre sujet. Cela nous a régulièrement amené à approfondir nos recherches sur des points particuliers, auxquels nous n'avions pas forcément pensé au départ, parfois bien au-delà du sujet qui nous intéressait. Ce travail d'enquête fut assez laborieux et éprouvant, tant ce sujet se révélait protéiforme. Car le RGPD, nous amène sur de nombreux terrains, qui pourraient en eux-mêmes faire l'objet d'un mémoire. Il a fallu faire preuve de pugnacité, mais aussi accepter que nous ne pourrions pas forcément aller au fond des choses. Cette expérience fut un travail de longue haleine, mais nous aura permis d'enrichir nos connaissances et d'apprendre à structurer notre manière de travailler.

Dès le départ, il nous paraissait indispensable de mener parallèlement une enquête de terrain, en rencontrant des professionnels, impliqués ou concernés par le RGDP. Nous avons donc sollicité quelque unes de nos relations, qui n'ont pas toujours donné suite ou qui n'ont pu nous répondre.

Certains interlocuteurs n'avaient effectivement que peu de choses à dire sur le sujet, dont ils ne s'étaient pas vraiment préoccupés, ou qu'ils avaient sciemment décidé de laisser de côté pour le moment.

D'autres, notamment dans des services informatiques et marketing, se montraient très au fait des implications du RGPD, mais ne pouvaient se permettre de nous répondre et d'être cités. L'un d'eux, adressant une clientèle de particuliers et ayant régulièrement recours à des actions marketing, avait vainement tenté de sensibiliser sa direction. Il ne pouvait officiellement déclarer ce manque d'intérêt manifeste, d'autant qu'il jugeait cette attitude particulièrement désinvolte.

Il semblait évident que la mise en place du RGPD était loin d'être une priorité pour les entreprises interrogées, petites et moyennes entreprises pour la plupart, comme le confirmait d'ailleurs les études que nous avions pu nous procurer.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

D'autres démarches n'ont malheureusement pu aboutir, faute d'avoir pu trouver des créneaux adaptés à nos emplois du temps respectifs

Nous sommes finalement parvenu à rencontrer plusieurs entreprises du secteur numérique pour recueillir leurs témoignages et leurs analyses, quant à l'appropriation du règlement par leurs clients et aux démarches qu'ils ont pu entreprendre.

Ensuite, nous avons décidé de démarcher des experts, intervenant dans la mise en place opérationnelle du RGPD ou dans le conseil juridique. En dépit de leur charge de travail conséquente, liée à l'échéance du 25 mai, ceux-ci ont eu l'amabilité de répondre à nos questions et de nous fournir de précieuses informations, que nous nous efforcerons de resituer dans le cadre de ce mémoire.

Après avoir explicité notre démarche et les objectifs de l'entretien, il nous a fallu préparer un guide, dont la trame devrait nécessairement être adaptée à chaque profil d'interlocuteur, mais également à son organisation et au contexte dans lequel il intervenait. Ces guides d'entretien ont été ajoutés en annexes, au début de chacune des interviews réalisées. Cet aspect terrain de nos recherches, fut évidement le plus passionnant et nous a permis d'apporter un éclairage concret à la réflexion que nous avions engagée.

Un ultime entretien informel, puisqu'il ne fait pas l'objet d'une retranscription, est intervenu in extrémis. Il mérite toutefois d'être cité, puisqu'il a remis en question la problématique vers laquelle nous pensions nous orienter. Il est à l'initiative de Thierry Bontems, qui supervise la réalisation de ce mémoire, par le biais duquel nous avons pu rencontrer Anne-Marie Benoit, juriste spécialisée en droit des données, enseignante et Ingénieur de recherche au sein du laboratoire PACTE du CNRS de Grenoble.

Cette discussion a permis de recentrer notre démarche vers la question qui nous intéresse aujourd'hui et qui s'avère finalement assez proche de celle que nous avions initialement envisagée : Le RGPD est-il une contrainte ou une opportunité pour les entreprises ?

Pour répondre à cette question, nous organiserons notre réflexion autour de trois chapitres, qui nous permettront de comprendre si le sentiment de subir une nième réglementation que nous avons perçu est effectivement justifié et en quelle mesure la portée de ce nouveau règlement ne va pas bien au-delà de sa dimension légale.

Dans un premier chapitre, nous nous intéresserons aux motivations de ce nouveau règlement, à ce qui a poussé les instances européennes à légiférer pendant 4 années pour aboutir à un nouveau texte de loi, qui devra être appliqué par l'ensemble des pays membre de l'Union.

Nous commencerons par remonter aux origines de la protection des données, plus particulièrement en France, puis en Europe. Cela nous permettra d'approfondir la notion de données personnelles et de comprendre les préoccupations qui ont conduit à vouloir les protéger. Nous poursuivrons en retraçant l'histoire des réglementations qui ont eu vocation à encadrer leur utilisation. Tout d'abord en France, avec l'introduction de la Loi Informatique et Liberté et la mise en place d'une autorité de contrôle, puis en Europe, dont les instances se sont concertées, dans une logique d'unification, pour établir des règles communes visant à faciliter, mais également à encadrer la circulation des données.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Cela nous permettra de suivre les évolutions de ces législations, nationales et européennes, qui ont permis d'aboutir à une nouvelle réglementation commune, visant à mieux les harmoniser, mais surtout à protéger les données à caractère personnel des citoyens et à préserver leur vie privée.

Nous en arriverons alors au Règlement Général sur la Protection des Données proprement dit, dont nous étudierons la génèse, au sein des instances européennes, pour comprendre ce qui a insufflé cette volonté de faire évoluer les textes existants.

Nous aborderons le cadre de la réglementation, dans la manière dont elle doit être appliquée par les pays européens et selon quelles conditions elles y seront transposées. Il s'agira aussi d'identifier les organismes qui doivent s'y conformer, les intervenants concernés et les pratiques qui se voient désormais encadrées.

Cela nous amènera au contenu du RGPD et à en détailler les 9 principes clés, qui constituent ses véritables enjeux , que les organisations sont tenues d'appliquer pour être en conformité.

Il conviendra ensuite d'aborder les conditions d'exécution des traitements de données à caractère personnel et la manière dont elles peuvent être collectées, utilisées et conservées, de manière licite par les organisations.

Ces conditions d'exécution et la conformité des organisations devant être contrôlées, nous nous intéresserons au rôle des autorités de contrôle, en particulier celui de la CNIL française et à l'évolution de ses attributions par rapport à la législation précédente.

Enfin, nous ferons une parenthèse sur le « ePrivacy », un autre règlement sensé lui aussi entrer en vigueur en mai 2018.

Dans le second chapitre, nous aborderons les répercutions concrètes du RGPD sur les entreprises et autres organisations, qui devront adopter de nouvelles dispositions pour s'y conformer.

Mais nous commencerons tout d'abord, par rappeler l'importance qu'ont pris les données au sein des organisations et qu'elles sont devenues pour elles une matière première indispensable à leur fonctionnement. Nous retracerons les origines des systèmes d'information et la manière dont ils ont évolué pour traiter et exploiter les données de manière pertinente et profitable pour l'activité des entreprises. Cela nous permettra de mieux comprendre la valeur et l'ampleur que représentent aujourd'hui ces données et pourquoi les entreprises veulent elles aussi les préserver.

Nous analyserons ensuite les conséquences de la réglementation pour les entreprises, avec les différentes formes de risques qu'elle peut présenter pour leur activité et leur organisation. Ce qui nous donnera l'occasion d'aborder les moyens de maîtrise qu'elles peuvent envisager pour en limiter les impacts.

Nous poursuivrons avec la mise en oeuvre du RGPD dans les entreprises, tout d'abord au travers de la méthode préconisée par la CNIL française, ainsi que les moyens qu'elle met à disposition des organisations pour les accompagner.

Puis nous aborderons les aspects pratiques et la manière dont les organisations se sont appropriées le règlement. Ce sera notamment l'occasion de mettre à profit les témoignages recueillis auprès des structures rencontrées lors de notre enquête de terrain.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Nous terminerons enfin ce chapitre, par une vision plus générale du niveau de conformité des entreprises, au travers des études publiées sur le sujet et pourrons également apprécier leur état d'esprit vis-à-vis de l'entrée en vigueur du RGPD.

Notre dernier chapitre sera consacré à une analyse qui nous permettra de répondre à la problématique que nous avons choisi d'étudier et sera logiquement le plus consistant.

Après avoir mis en évidence les contraintes que présente le RGPD, que nous aurons déduites des chapitres précédents, nous nous concentrerons sur les bénéfices que les entreprises pourraient en retirer.

Nous verrons ainsi que leur état d'esprit et la manière dont elles appréhendent leur mise en conformité joue un rôle essentiel dans leur capacité à changer cette réglementation en opportunité.

Nous pourrons constater que la manière dont elles se positionnent sur le sujet pourra directement influencer la perception de leurs clients. Ces derniers se montrent aujourd'hui plus attentifs au traitement de leurs données, en se préoccupant davantage des pratiques et de la position affichée par les entreprises auxquelles ils choisissent de faire appel. La confiance et la fidélisation deviennent ainsi d'autant plus capitales et nous démontrerons que le RGPD va pousser les entreprises à améliorer la qualité de leur relation client.

Le niveau de conformité induit par le règlement est aussi l'occasion d'adopter de bonnes pratiques, que ce soit en matière de sécurité ou de qualité des informations collectées et utilisées. Ce qui permettra par ailleurs d'assainir et de rééquilibrer le marché, en supprimant ou limitant certaines pratiques déloyales ou inappropriées.

La mise en place du RGPD au sein des organisations permet également d'améliorer la communication entre les différents services, en redynamisant les interactions et en renforçant la cohésion d'équipe, contribuant à l'efficacité des organisations.

Nous pourrons également observer que le RGPD a donné naissance à de nouveaux métiers et pousse au développement de nouveaux business model, tournés vers le respect de la vie privée des individus. Sur ce registre, ces nouvelles approches pourraient insuffler un nouvel élan à l'économie européenne et peut-être donner naissance à des challengers capables de se positionner sur la scène numérique mondiale.

Au-delà des opportunités que nous aurons mis en évidence, la seconde partie de ce chapitre sera consacrée à la portée sociétale du RGPD, car c'est avant tout pour protéger les citoyens et leur mode de vie que le règlement a été conçu.

Nous reviendrons d'abord sur la transformation digitale et les multiples dérives qu'elle a pu occasionner, qui conduisent aujourd'hui les société à s'interroger.

Nous nous intéresserons aux spécificités culturelles de nos sociétés, dans leur manière d'appréhender le monde numérique et plus particulièrement dans la différence d'approche entre l'Europe et les Etats Unis.

Mais nous verrons ensuite qu'une prise de conscience est aussi à l'origine du RGPD, que les individus commencent à se mobiliser et que nous observons que nous avons à faire à une véritable remise en questions de notre modèle sociétal.

Nous clôturerons ce chapitre et notre mémoire en nous intéressant aux moyens mis en oeuvre pour aborder les nouveaux enjeux de ce monde digitalisé.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Nous constaterons que le RGPD a une portée extraterritoriale et pas uniquement dans son pouvoir de sanction, mais dans la responsabilisation des sociétés, y compris celles qui ont conduit à l'élaboration de ce règlement.

Nous comprendrons que nous ne pouvons laisser la machine s'emballer, même si certaines innovations nous facilitent la vie. Que le numérique est un monde à part entière, sur lequel se joue des batailles et qu'il nécessite les mêmes moyens que ceux dont nous disposons dans la vie réelle, car les interactions entre les deux sont de plus en plus nombreuses et pourraient même devenir létales.

Nous insisterons enfin sur la nécessiter de nous approprier ces enjeux et d'éduquer les utilisateurs, pour qu'ils en prennent pleinement conscience et adoptent des pratiques plus responsables.

Afin d'organiser notre travail et de réaliser un tri pertinent dans les sources d'information collectées, nous avons utilisé un outil d'analyse qualitative de données, ou « CAQDAS » (pour Computer Assisted Qualitative Data Analysis).

Nous nous sommes appuyé sur le logiciel Nvivo, édité par QSR International, qui nous a permis d'effectuer des recherches combinées, à partir des textes que nous avons préalablement intégrés dans l'application.

Nous avons eu l'opportunité d'en appréhender les grands principes d'utilisation et le fonctionnement, grâce à Thierry Bontems. Nous avions déjà pu évoquer cet outil dans le cadre de son cours sur les systèmes d'information et la réalisation de ce mémoire constituait une excellente occasion d'en éprouver l'utilisation concrète.

Afin de structurer nos informations, nous avons commencé par créer des items dans lesquels nous pourrions ensuite les « ranger » de manière ordonnée. Ces points de jonction, appelés « noeuds » dans l'application, ont été constitués en fonction des sujets que nous comptions aborder, afin de pouvoir ensuite les intégrer dans le plan que nous avions défini.

Nous sommes loin d'en avoir exploité toutes les possibilités et ne sommes pas allé jusqu'à utiliser les cartes perceptuelles que le logiciel permettait d'obtenir. Mais cette méthode nous a permis de gagner un temps précieux dans l'organisation de nos sources et de mettre en évidence les idées les plus significatives.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

POURQUOI UN REGLEMENT GENERAL POUR LA PROTECTION DES DONNEES ?

La protection des données en France et dans l'Union européenne

Pour comprendre l'origine du nouveau Règlement Général sur la Protection des Données, il faut remonter au années 60 et 70, période à laquelle les logiciels et l'informatique commencent à s'imposer pour la centralisation et le traitement d'informations. A cette époque, de nouveaux supports numériques, cartes perforées et bandes magnétiques, permettent de stocker des données et fichiers, offrant de nouvelles perspectives aux organisations, confrontées à des volumes importants difficilement exploitables sur les supports papiers traditionnels (mécanographie).

S'agissant d'informations nominatives ou de données à caractère personnel, un article de Fleure Labrunie publié sur le site Numerama¹, nous ramène plusieurs siècles en arrière. S'appuyant sur le l'ouvrage de historien Vincent Denis², cet article nous apprend que dès la fin du 18^ème siècle, certains membres du Clergé et du Parlement se posaient déjà des questions d'ordre déontologiques, évoquant des notions de droit à l'anonymat, de respect du secret des individus, ou s'inquiétant du pouvoir arbitraire octroyé aux fonctionnaires de l'administration lors de la mise en place des documents individuels d'identité. A la fin de la seconde guerre mondiale, on prend ensuite conscience que le traitement de données peut être utilisé à des fins hégémoniques et se révéler être une puissante arme de destruction massive.

Mais c'est bien avec le développement des outils informatiques qu'émerge une réflexion sur un cadre juridique spécifique à l'utilisation des informations nominatives, d'abord dans les milieux professionnels, puis sur le plan légal et institutionnel. Les premiers pays à légiférer sur les traitements automatisés d'informations nominatives, sont l'Allemagne (1970), la Suède (1973) et les Etats Unis (1974). En France, le sujet commence à être abordé lors de débats parlementaires et l'on peut notamment citer les propos avant-gardistes du politicien français Michel Poniatowski dès décembre 1970 : « Dans quelques années, le citoyen sera totalement incapable de contrôler l'utilisation pratique et généralisée des renseignements fournis par le matériel informatique ».

C'est à cette période, plus précisément en 1973, qu'un projet visant à créer un fichier informatisé, regroupant l'ensemble des informations administratives des citoyens français dans une base de données centralisée, est initié par le ministère de l'intérieur. Porté par l'INSEE, le projet S.A.F.A.R.I (Système Automatisé pour les Fichiers Administratifs et Répertoires des Individus) permettait de croiser l'ensemble des fichiers administratifs au moyen d'un identifiant

1 De l'archevêque Boisgelin de Cucé au RGPD : brève histoire de la protection des données - Fleure Labrunie -

08/04/2018 https://www.numerama.com/politique/340664-de-larcheveque-boisgelin-de-cuce-au-rgpd-breve-
histoire-de-la-protection-des-donnees.htm

2 Une histoire de l'identité : France 1715-1815 - Vincent Denis - Champ Vallon Editions 22 février 2008

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

unique, le NIR (Numéro d'Inscription au Répertoire des personnes physiques). Lorsque ce projet fut révélé en 1974 par un article du Monde³, il généra un tollé dans l'opinion publique, scandalisée par une pratique rappelant les heures sombres du gouvernement du Vichy qui attribuait des numéros aux juifs et aux étrangers.

Face à la contestation massive de la population, le gouvernement de l'époque n'eut d'autre solution que d'abandonner ce projet et, pour apaiser la polémique, de constituer la commission « ad hoc », présidée par le conseiller d'Etat Bernard Tricot et chargée de réfléchir à une réglementation permettant d'encadrer l'utilisation de ces nouveaux outils. Cela donna lieu l'année suivante à la publication du rapport Tricot, qui servira de base à l'élaboration d'un projet de loi relatif « à l'informatique et aux libertés ». Ce texte devait constituer un « garde-fou contre les abus de l'informatique mal maîtrisé ».

La nouvelle loi N° 78-17 baptisée « Informatique et libertés » (LIL) fut votée par l'Assemblée nationale le 6 janvier 1978. Dans son article 1, elle stipule que « L'informatique doit être au service de chaque citoyen j...] Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». La loi fait ainsi référence aux « informations nominatives » permettant d'identifier des personnes physiques, lorsqu'elles sont exploitées dans un fichier ou utilisées dans le cadre de traitements automatisés, que ce soit de manière informatisée ou non. Elle prévoir également la constitution d'une commission indépendante, chargée de veiller à ce que les traitements informatisés ne soient pas préjudiciables aux libertés et à la vie privée des citoyens : La CNIL (Commission Nationale de l'Informatique et des Libertés).

La CNIL est une autorité administrative constituée de 18 membres issus de différentes instances : Députés, Sénateurs, membres du Conseil Economique et Social, du Conseil d'Etat, de la Cours de Cassation, de la Cour des Comptes, ainsi que d'experts en informatiques et de personnalités reconnues pour leurs compétences. Ces membres sont désignés, nommés ou élus pour une durée de 5 ans et ont la charge d'élire un président et deux vice-présidents.

Dans le cadre de ses prérogatives, la CNIL doit exercer différents rôles :

- veiller au maintien des principes de la loi et assurer son évolution

- émettre des avis ou recommandations lorsqu'elle est consultée

- établir un rapport annuel sur son activité, à destination de l'état et des citoyens

Elle possède le pouvoir réglementaire s'agissant :

- des droits des personnes

- de la sécurité des systèmes

- de la destruction d'informations

- d'enquête et de saisine de juridiction

La CNIL est chargée de vérifier que les traitements automatisés, publics ou privés, soient conformes à la loi. Pour ce faire, chaque organisation ayant recours à ces informations est tenue de faire une déclaration à la CNIL, qui peut émettre des réserves ou donner un avis négatif. Les responsables de fichiers ont l'interdiction, sauf pour des procédures particulières, de collecter des données à caractères « sensible », notamment sur les origines raciales des individus, leurs

3 « Safari » ou la Chasse aux français - Philippe Boucher - Le Monde - 21/03/1974

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

opinions politiques, philosophiques ou religieuses, leurs moeurs ou encore leur appartenance syndicale. Lorsque ces traitements ne portent ni atteinte à la vie privée, ni aux libertés, les entreprises peuvent se limiter à des déclarations simplifiées, sous réserve de respecter la finalité du traitement et de ne pas conserver les informations au-delà du délai nécessaire.

En dehors de quelques décrets, et de surtout l'application de la directive européenne 95/46/CE du 24 octobre 1995 visant à encadrer la libre circulation des données à caractère personnel et leur traitement par les grands acteurs économiques, la loi française ne subit pas de modifications fondamentales jusqu'en 2004. Il convient tout de même de s'arrêter sur le cadre commun de la directive européenne 95/46/CE, dans la mesure où elle introduit la notion de « données à caractère personnel » et donne naissance au groupe de travail G29. Le G29 rassemble les représentants de chaque autorité de protection des états membres. Cette organisation se réunit à Bruxelles en séance plénière tous les deux mois environ, pour contribuer à l'élaboration des normes européennes en adoptant des recommandations, rendre des avis sur le niveau de protection dans les pays hors UE et conseiller la Commission européenne sur les projets relatifs à la protection des données et des libertés individuelles.

Le 6 août 2004, l'entrée en vigueur de la « Loi Informatique et Libertés 2 » n°2004-801 (LIL2), renforce les droits des citoyens français en adoptant une définition commune : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. ». Si elle simplifie et harmonise les formalités administratives entre les secteurs public et privé, elle attribue surtout à la CNIL des pouvoirs de contrôle et de sanction en cas d'infraction. Ces nouvelles dispositions permettent non seulement à la CNIL de prononcer à l'égard du responsable de traitement fautif une injonction visant à retirer son autorisation, verrouiller les données et cesser le traitement, mais aussi d'appliquer des sanctions pécunières au contrevenant : 150 000 € maximum et jusqu'à 300 000 € en cas de récidive. La LIL2 prévoit en outre la possibilité de nominer au sein des organisations un Correspondant Informatique et Liberté (CIL), qui leur permet de s'affranchir des formalités de déclarations préalables de leurs fichiers informatiques. Ce qui implique pour ce correspondant de tenir à jour une liste des traitements, qui devront être présentés en cas de contrôle de la CNIL, et le cas échéant d'alerter la Commission en cas d'irrégularité constatée.

L'adoption de la directive 95/46/CE par l'Union Européenne et l'évolution de la Loi Informatique et Liberté en France, auront contribuées à nourrir une réflexion régulière sur les sujet de la protection des données et de l'utilisation du digital. A partir de 2007, la Commission Européenne planche sur un projet de loi visant à réglementer les communications électroniques, se penchant sur les droits fondamentaux, mais aussi les obligations des internautes et des acteurs du numérique. Ce projet donnera lieu à différentes réformes votées à partir de 2009 par le Parlement et regroupées sous l'appellation « Paquet Telecom », qui seront ensuite transposées dans les états membres. Ce sera le cas en France, notamment avec l'adaptation de la Loi pour la Confiance dans l'Economie Numérique (LCEN) en vigueur depuis 2004 ou la Loi Hadopi visant à sanctionner le partage illégal de fichiers sur Internet, adoptée en juin 2009.

Mais les dispositions en vigueur dans les pays membre ne se révélaient pas suffisamment contraignantes et les données numériques restaient une zone de non droit. Une manne dont profitaient largement les géants du numérique, en passant outre les lois de l'Union

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Européenne en matière de collecte des données numériques et de respect de la vie privée des individus. C'est l'analyse faite par l'écrivain et philosophe français Gaspard Koenig, cité par l'avocat Olivier Iteanu sur son blog personnel⁴, qui explique cette situation par des sanctions trop faibles et sans effet dissuasif, qui se révèlent d'ailleurs rarement appliquées, compte tenu du manque de moyens des pouvoirs publics européens.

Conscient de ces limites et après 4 ans de gestation, le Parlement Européen donnera naissance en avril 2016 au Règlement Général sur la Protection des Données (RGPD ou GDPR, pour « Général Data Protection Régulation »).

En France dès le 7 octobre 2016, la loi pour une République Numérique ou « Loi Lemaire », anticipe certaines des dispositions prévues par le RGPD.

Elle définit de nouveaux droits pour les personnes, en affirmant le principe de maîtrise par l'individu de ses données, en instaurant un droit à l'oubli pour les mineurs et la possibilité d'organiser le sort de ses données personnelles après la mort, ou la possibilité d'exercer ses droits par voie électronique.

Elle impose d'avantage de transparence aux responsables de traitements, qui doivent désormais informer les personnes de la durée de conservation des données traitées.

Dès le 7 octobre 2016, la loi Lemaire, ou « loi pour une République numérique », entre en application en France. Elle vise à anticiper le RGPD, en instaurant une obligation accrue d'information des personnes et en étendant les attributions de la CNIL, dans ses missions, mais également dans son pouvoir de sanction, dont le plafond maximal passe de 150.000 à 3 millions d'euros.

4 Patrimonialisation des données, que faut-il en penser ? - Blog d'Olivier Iteanu - 26/02/18 -

http://blog.iteanu.com/index.php?post/2018/02/26/Patrimonialisation-des-donn%C3%A9es%2C-que-faut-il-en-penser

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Chronologie de l'évolution de la réglementation européenne et française

Cahier technique AMRAE 27/02/2018 - RGPD : La protection des données du citoyen européen par l'entreprise http://amrae.fr/sites/default/files/fichiersupload/Cahier%20technique%20RGPD-%20v1.1%2027-02-20181.pdf

Le nouveau Règlement Général sur la protection des données était donc sur les rails. Il revenait aux pays membres de s'en imprégner et d'adapter leurs législation pour le mettre en application à compter du 25 mai 2018.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Sources utilisées et combinées :

- 1977-1978 : Le sénat invente les autorités administratives indépendantes - lesenat.fr - Dossier
d'histoire - http://www.senat.fr/evenement/archives/D45/context.html

- Historique de la protection des données en France - 27/10/2017 - dane-ac.fr https://dane.ac-
lyon.fr/spip/IMG/articlePDF/Historique-de-la-protection-des-donnees-en-Francea520.pdf

- Pouvoir de sanction de la CNIL - cil.cnrs.fr - 07/11/2011 - www.cil.cnrs.fr/CIL/spip.php?article1425

- Historique de la CNIL et la protection des données personnelles - cil.cnrs.fr - 16/01/2018 -

http://www.cil.cnrs.fr/CIL/spip.php?article2985

- Quelques repères juridiques pour les données à caractère personnel dans les banques de données de
langue parlée en interaction - cil.cnrs.fr - 24/05/2012 - http://www.cil.cnrs.fr/CIL/spip.php?article1646

- Le G29, groupe des "CNIL" européennes - cnil.fr - https://www.cnil.fr/fr/le-g29-groupe-des-cnil-
europeennes

- Le fonctionnement - cnil.fr - https://www.cnil.fr/fr/le-fonctionnement

- Paquet télécom - laquadraturedunet.fr - https://www.laquadrature.net/fr/TelecomsPackage

- Résolution sur le marché unique européen des communications électroniques - cyberdroit.fr - 09/11/2015

http://www.cyberdroit.fr/2015/11/resolution-sur-le-marche-unique-europeen-des-communications-electroniques/

- Décret de transposition du « Paquet Télécom » - cyberdroit.fr - 23/04/2012 -
http://www.cyberdroit.fr/2012/04/decret-de-transposition-du-«-paquet-telecom-»/

- Transposition du Paquet télécom - cyberdroit.fr - 13/09/2011 - http://www.cyberdroit.fr/themes/paquet-
telecom/

- La réforme du "Paquet Télécom" : le principe de subsidiarité au coeur des débats - Fondation Robert
Schuman - Question d'Europe n°118 - 24/11/2008 - https://www.robert-schuman.eu/fr/questions-d-europe/0118-la-reforme-du-paquet-telecom-le-principe-de-subsidiarite-au-coeur-des-debats

- Ce que change la loi pour une République numérique pour la protection des données personnelles - cnil.fr -
17/11/2016 - https://www.cnil.fr/fr/ce-que-change-la-loi-pour-une-republique-numerique-pour-la--protection-des-donnees-personnelles

- La Cnil précise le rôle du "correspondant informatique et libertés" - zdnet.fr - Estelle Dumont - 30/11/2004
- http://www.zdnet.fr/actualites/la-cnil-precise-le-role-du-correspondant-informatique-et-libertes-39186131.htm

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Le RGPD : Un nouvelle réglementation européenne applicable au 25 mai 2018

A compter du 25 mai 2018, le nouveau Règlement Général sur la Protection des Données est entré en application et remplace la directive européenne 95/46/CE de 1995. Son objectif consiste à harmoniser les législations des pays européens en matière de collecte et de traitement des données à caractère personnel. Le règlement instaure un cadre juridique unique applicable sur l'ensemble du territoire de l'Union Européenne, qui laissait subsister des spécificités et de fortes disparités entre les Etats membres⁵.

Génèse

Le film documentaire « Democracy » du réalisateur suisse David Bernet, sorti en 2015, retrace cette gestation, fruit d'un laborieux processus législatif. On apprend que l'élaboration de ce qui deviendra le RGPD a été confrontée à de nombreux obstacles, juridiques, bureaucratiques, mais également à l'influence des puissants lobbys que sont les géants du web et de l'industrie du big data.

Dans un article publié sur le site archimag.com⁶, le réalisateur confie qu'il souhaitait initialement observer les rouages du Conseil européens et le travail de nos représentants. C'est en s'intéressant aux différents projets de loi et au combat mené par le jeune eurodéputé franco-allemand Jan Philipp Albrecht, qu'il comprit dès 2010 que le digital et la protection des données constituaient des enjeux décisifs pour l'avenir et les droits fondamentaux des 500 millions de citoyens de l'Union Européenne.

A l'époque les débats sur le sujet n'intéressaient que quelques avant-gardistes, dont l'ardeur et la ténacité au sein de la Commission européenne permirent d'aboutir en 2012 à un projet de loi sur la protection des données à caractère personnel. Son adoption en mars 2014, aura nécessité deux ans de délibérations et 4000 amendements, mais doit aussi beaucoup aux retentissements médiatiques provoqués par les révélations d'Edward Snowden en 2013.

Il faudra encore deux ans pour que le nouveau Règlement Général sur la Protection des Données soit adopté par le Parlement Européen, le 27 avril 2016 et publié au journal officiel de l'Union européenne du 14 mai de la même année.

⁵ RGPD, Ce qu'il faut savoir d'ici 2018 - medef.com - téléchargé en mars 2018 http://www.medef.com/fr/content/guide-pratique-sur-la-protection-des-donnees-personnelles

6 Democracy : un thriller haletant sur la protection de nos données personnelles, par Clément Jost - le 24/11/2016 www.archimag.com/univers-data/2016/11/24/democracy-thriller-haletant-protection-donnees-personnelles

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Le cadre de la réglementation :

Dès son entrée en vigueur, le 25 mai 2018, le RGPD remplace non seulement la directive européenne 95/46/CE de 1995, mais supplante également les lois en vigueur dans les Etats de l'Union Européenne. Le texte peut être directement appliqué dans tous Etats membres, mais leur laisse la possibilité de légiférer de manière souveraine sur certains paramètres et de faire évoluer leurs législations, sous réserve qu'elles soient conformes au RGPD. Selon la CNIL, la marge de manoeuvre accordée aux législations nationales reste toutefois limitée à certaines dispositions, qu'elles pourront rendre plus spécifiques sur les aspects suivants :

- Traitements relatifs à la santé

- Traitements du numéro d'identification national

- Traitements de données en matière d'emploi

- Traitements nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique

- Traitements à des fins d'archivage, de recherche scientifique ou historique ou statistique

source : CNIL Atelier RGPD 30/11/2017- Règlement européen sur la protection des données, ce qui change - Cf Annexe)

D'après le cahier technique 2018 de l'Association pour le Management des Risques et des Assurances de l'Entreprise (AMRAE 27/02/2018 - RGPD : La protection des données du citoyen européen par l'entreprise), publié en février 2018, il apparait que seuls l'Autriche et l'Allemagne aient déjà adopté depuis juillet 2017 une législation nationale conforme au RGPD.

En France, en dehors de la loi Lemaire promulguée dès octobre 2016, aucune date de révision de la Loi Informatique et Libertés n'était annoncée. Mais le 22 mars 2018, le Sénat a approuvé en première lecture le projet de loi sur la protection des données personnelles⁷, visant à appliquer le droit européen, avec des adaptations permettant notamment de tenir compte des collectivités. Le projet de loi a ensuite été définitivement adopté le 14 mai 2018 par le Parlement, conformément au calendrier annoncé par Paula Forteza, députée LREM et rapporteur du projet de loi sur la protection des données, sur BFM TV en avril dernier⁸.

Qui est concerné ?

Le règlement européen concerne toute société, organisme public ou association qui collecte ou effectue des traitements liés à des données de citoyens européens, ce quelque-soit sa taille, son secteur d'activité ou la quantité de données traitées.

7 Le Sénat adopte le texte sur la protection des données personnelles - europe1.fr - La rédaction - 22/03/2018 - http://www.europe1.fr/technologies/le-senat-adopte-le-texte-sur-la-protection-des-donnees-personnelles-3605933

8 L'Invitech : le RGPD permettra-t-il un usage plus responsable des données ? - bfmtv.com - 24/04/2018 - http://bfmbusiness.bfmtv.com/mediaplayer/video/l-invitech-le-rgpd-permettra-t-il-un-usage-plus-responsable-des-donnees-2404-1064569.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Dans ce cadre, le RGPD introduit une notion de responsabilité de ces entités qui sont notamment tenues de vérifier la conformité de leurs traitements, de notifier les failles de sécurités les plus graves et peuvent s'exposer à des sanctions administratives significatives en cas de non-respect des dispositions.

Le traitement de données à caractère personnel est décrit de manière très précise par le règlement. Le guide publié par le MEDEF nous donne des définitions simples des différents termes utilisés :

- Le caractère personnel d'une donnée concerne toujours toute information se rapportant à une personne physique identifiée ou indentifiable, tel que le décrivait déjà la directive 95/46/CE.

- Le nouveau règlement introduit la notion de données sensibles, lorsqu'elles sont
susceptibles d'être discriminantes (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle...) ou propres à une personne donnée (santé, données génétiques ou biométriques)

- Un traitement est caractérisé par toute opération (automatisée ou non) réalisé sur des données à caractère personnel (collecte, enregistrement, organisation, stockage, conservation, adaptation, modification, extraction, utilisation, communication par transmission, rapprochement ou interconnexion...).

- Le Responsable du traitement (data controller) désigne la personne, le service ou
l'organisme (public ou privé : entreprises, administrations, associations...) qui détermine les finalités et les moyens du traitement. Il est considéré comme le donneur d'ordres.

- La responsabilité du sous-traitant, personne, service ou organisme (public ou privé) qui
traite des données personnelles pour le compte du responsable de traitement, se voit également engagée.

Le RGPD s'applique au traitement de données personnelles lorsque :

- le traitement a lieu sur le territoire de l'Union européenne,

- le responsable de traitement ou le sous-traitant sont établis sur le territoire de l'Union

européenne (même si le traitement est effectué hors de l'Union européenne), - les personnes concernées par le traitement sont des citoyens ou ressortissants européens.

Par rapport aux législations nationales, comme la Loi Informatique et Liberté, le champ d'application se voit donc élargi à l'ensemble du territoire européen, mais également à tous ses citoyens.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Le RGPD - Contrainte légale ou opportunité pour les entreprises ?

19

Source : CNIL Atelier Règlement européen sur la protection des données : ce qui change - 30/11/2017

Ce qui évolue :

Le nouveau règlement reprend largement les principes de la directive de 1995, mais renforce considérablement les obligations de transparence sur la gestion des données personnelles. Il répond d'une part à des nécessités politiques et humaines, de protection des citoyens européens, notamment vis-à-vis des GAFAM (Google, Amazon, Facebook, Apple et Microsoft) et de respect de leur vie privée. D'autre part, il vise à fiabiliser l'économie numérique à laquelle les citoyens doivent pouvoir faire confiance.

Le RGPD est un document de 88 pages, qui comporte de 99 articles et 173 considérants, qui permettent une interprétation des articles du texte.

Le texte est structuré autour de 9 principes clés :

Source : Cahier technique 2018 AMRAE -

http://amrae.fr/sites/default/files/fichiersupload/Cahier%20technique%20RGPD-%20v1.1%2027-02-20181.pdf

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Les articles et considérants sont répartis en 11 chapitres :

Source : Cahier technique 2018 AMRAE

http://amrae.fr/sites/default/files/fichiersupload/Cahier%20technique%20RGPD-%20v1.1%2027-02-20181.pdf

Notre démarche n'ayant pas une vocation juridique, nous ne détaillerons pas ici l'ensemble des articles du règlement et nous nous concentrerons sur les 9 principes clés du RGPD, qui constituent les véritables enjeux de la réglementation.

La sécurité du traitement

Le RGPD instaure l'obligation de garantir un niveau de sécurité approprié lors du traitement des données à caractère personnel. Pour ce faire, le responsable du traitement doit s'assurer que les mesures techniques et organisationnelles mises en oeuvre sont appropriées et garantissent un niveau de sécurité adéquat. Cette sécurisation portera non seulement sur les infrastructures, pour lesquelles une analyse d'impact devra être menée par les directions sécurité, informatique et risques, mais également sur le chiffrement (cryptage) des données, leur pseudonymisation ou leur anonymisation.

Le responsable de traitement devra par ailleurs assurer la disponibilité, l'intégrité, la confidentialité et la traçabilité des données manipulées lors du traitement.

La notification

En cas de violation des données personnelles, le responsable du traitement est tenu de le notifier à la CNIL dans les 72 heures à compter de la découverte de cette violation, sauf s'il est peu probable qu'il en résulte un risque pour les personnes.

Constitue une violation, toute faille de sécurité ayant entraîné la destruction, la perte, l'altération, la révélation ou l'accès non autorisé à ces données de manière intentionnelle ou accidentelle.

Le responsable du traitement devra par ailleurs avertir les personnes concernées de cette violation, lorsqu'elle peut constituer un risque majeur d'atteinte à leurs droits et libertés. Il pourra toutefois être exonéré de cette obligation s'il peut démontrer que les mesures de protection mises en oeuvre (chiffrement ou anonymisation notamment) ne permettent pas l'exploitation des données concernées par la violation. Il pourra également avoir recours à une

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

mesure de notification publique, si l'information individuelle des personnes concernées nécessite un effort disproportionné.

Le droit des personnes

Les droits des citoyens européens et les conditions d'utilisation de leurs données personnelles se voient renforcés et explicités par le règlement. Le RGPD s'inscrit dans la continuité des réglementations nationales dont il s'inspire, en réaffirmant certains des droits existants : Droits d'information, d'accès, de rectification, d'opposition et de transparence.

Mais il ajoute également des droits complémentaires :

- Le droits à l'effacement (ou droit à l'oubli)

- Le droit à la limitation de traitement (l'usage des données personnelles est limité au

traitement pour lequel elles ont été collectées).

- Le droit à la portabilité des données (vers un autre responsable de traitement).

Le responsable du traitement est tenu de mettre gratuitement à disposition des personnes un moyen d'exercer leurs droits et devra obligatoirement répondre à leur demande dans un délai maximum d'un mois.

Le DPO ou Délégué à la Protection des Données

Lorsque les responsables de traitements ou les sous-traitants ont une activité qui nécessite le traitement régulier de nombreuses données à caractère personnel, ils se trouvent dans l'obligation, sous peine d'être sanctionné, de désigner un référent qui veille au respect du règlement et à sa bonne application : Le Data Protection Officer (DPO).

Indépendamment de la taille de l'entreprise, le DPO est désigné sur la base de ses qualités professionnelles et sur sa connaissance du droit et des pratiques en matière de données personnelles. En France, son statut et ses responsabilités sont similaires à ceux du CIL (Correspondant Informatique et Liberté), mais ses missions et prérogatives sont renforcées.

Quel que soit la nature du traitement, sa nomination est également obligatoire dans les autorités et organismes publics (collectivité territoriales, Etats, établissements publics...).

Point de contact privilégié des autorités, il devra d'une part documenter et tenir à jour un registre des traitements de données à caractère personnel et d'autre part, sensibiliser et conseiller les acteurs impliqués dans ces traitements.

Il peut être extérieur à l'entreprise (juriste, consultant, organisme...) sur la base d'un contrat de service, ou salarié, qui pourra être mutualisé entre plusieurs structures, mais doit être à même d'exercer ses fonctions en toute indépendance vis-à-vis du responsable de traitement.

Le Privacy by Design& by Default

Le concept de « protection de la vie privée dès la conception » (Privacy by Design) doit être appliqué à toute technologie permettant de traiter des données à caractère personnel. Ces outils, applications ou sites internet doivent dans leur conception et leur utilisation garantir par défaut le plus haut niveau de protection des données.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Cette démarche s'appuie sur plusieurs grands principes :

- la protection de la vie privée.

- la pseudonymisation des données.

- la limitation au minimum des informations nécessaires au traitement lors de la collecte

des données.

- la définition d'une durée de conservation adaptée à la durée du traitement.

- une centralisation du stockage des données, dont l'accès sera restreint aux personnes habilitées .

Il s'agit donc d'intégrer des mesures proactives et préventives, garantissant une sécurité implicite des données personnelles collectées et des traitements réalisés.

Mise en oeuvre d'une démarche de Privacy by design :

Source : Cahier technique 2018 AMRAE

http://amrae.fr/sites/default/files/fichiersupload/Cahier%20technique%20RGPD-%20v1.1%2027-02-20181.pdf

Les sanctions

Pour responsabiliser les acteurs à l'égard des traitements de données à caractère personnel, les institutions européennes ont mis en place des sanctions administratives, civiles et pénales beaucoup plus dissuasives, qui pourront être appliquées par les autorités de contrôle nationales en cas de non-conformité, de dommage causé au traitement, ou d'atteinte aux droits et libertés des personnes qui font l'objet du traitement.

Ces sanctions sont proportionnées, en fonction de la gravité de l'infraction : - Avertissement

- injonction de mise en conformité

- retrait de certification

- effacement des données ou suppression du flux de données

- amendes dont le montant varie en fonction du niveau de violation des obligations et tient compte d'éléments atténuants ou aggravants.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Amandes : les facteurs atténuants ou aggravants

Source : Cahier technique 2018 AMRAE

http://amrae.fr/sites/default/files/fichiersupload/Cahier%20technique%20RGPD-%20v1.1%2027-02-20181.pdf

Le montant des amendes administratives est adapté à la taille des organisations incriminées et peuvent atteindre :

- 2 % du chiffre d'affaires annuel mondial de l'entreprise concernée (ou 10 000 000 € pour les autres entités)

- 4 % du chiffre d'affaires annuel mondial de l'entreprise concernée (ou 20 000 000 € pour les autres entités) pour les atteintes les plus graves (non-respect du consentement ou des droits des personnes, transfert illicite de données...).

Des sanctions civiles sont également infligées au responsable du traitement ou son sous-traitant pour indemniser les personnes ayant subies un dommage du fait de la violation du RGPD. Elles peuvent désormais être demandées dans le cadre d'une action de groupe, par l'intermédiaire d'une association ou organisation qui agira en justice pour demander réparation et la cessation du dommage.

Des sanctions pénales peuvent enfin être encourues en cas d'atteintes aux droits de la personnes résultant du traitement réalisé. Les personnes physiques reconnues coupables s'exposent à des sanctions pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende et jusqu'à 1 500 000 € pour les personnes morales (associations, entreprises...).

Le PIA ou l'analyse d'impact

Le Privacy Impact Assessment ou AIPD en français (Analyse d'Impact à la Protection des Données) doit être effectué par le responsable de traitement lorsqu'un traitement de données à caractère personnel est susceptible d'engendrer des risques élevés impactant les droits et libertés des individus concernés.

L'objectif du PIA est d'une part de s'assurer que le traitement est proportionné au regard de ses finalités et de l'impact sur les individus et d'autre part, d'évaluer la cohérence des mesures de sécurité mise en place pour traiter les risques inhérents à ce traitement.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Cette analyse d'impact doit être réalisée avant la mise en place du traitement, en lien avec le DPO si l'organisation en a nommé un et en cas de risque grave avéré, l'autorité de contrôle devra obligatoirement être consultée.

Source : Cahier technique 2018 AMRAE

http://amrae.fr/sites/default/files/fichiersupload/Cahier%20technique%20RGPD-%20v1.1%2027-02-20181.pdf

L'Accountability / Responsabilité

Si le RGPD ne prévoit plus de mesures de déclarations préalables des traitements, le responsable du traitement doit pouvoir justifier de la mise en oeuvre des mesures techniques et organisationnelles appropriées au regard des dispositions prévues par le règlement. C'est donc à l'organisation que revient la charge de la preuve de sa conformité, en documentant tous les processus et mesures mises en oeuvre.

Pour les organisations de plus de 250 salariés et celles qui réalisent au moins un traitement régulier, ou portant sur des données sensibles, ou comportant un risque pour le droit et les libertés des personnes concernées, le responsable de traitement et le sous-traitant ont l'obligation de tenir à jour un registre de leurs traitements. Ce registre devra notamment indiquer la finalité du traitement, la nature des données collectées, leurs destinataires, les éventuels transferts de données hors UE, la durée de conservation et une description des mesures de sécurité mises en place.

Cette obligation se voit ainsi étendue aux sous-traitants, dans le cadre des traitements qu'ils effectuent pour le compte de leurs clients, responsables du traitement. Dans ce cas, la mise en place d'un contrat de sous-traitance détaillant les obligations et responsabilités du sous-traitant devient obligatoire.

Accountability : 6 points à respecter pour le responsable du traitement

Source : Cahier technique 2018 AMRAE

http://amrae.fr/sites/default/files/fichiersupload/Cahier%20technique%20RGPD-%20v1.1%2027-02-20181.pdf

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

La licéité et le consentement

Selon le règlement, toute donnée à caractère personnel doit être « traitée de manière licite, loyale et transparente au regard de la personne concernée ».

Pour que le consentement soit loyal, seules les données adéquates, pertinentes et nécessaires au traitement doivent être collectées.

Ces données doivent en outre être collectées pour une finalité déterminée, explicite et légitime.

Pour prouver la licéité du traitement, le responsable du traitement pouvoir justifier d'un consentement formel et explicite, obtenu « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ». Il doit en conserver une trace écrite, attestant que chaque personne a consenti de manière libre, éclairée et non équivoque au traitement de ses données personnelles.

Le règlement prévoit toutefois des cas pour lesquels le recueil de consentement n'est pas obligatoire :

- Lorsqu'un contrat implique la réalisation de traitements nécessaires à son exécution.

- Lorsque le responsable du traitement est soumis à une obligation légale nécessitant le

traitement de données à caractère personnel (tel que la communication de données salariés pour l'administration fiscale ou la sécurité sociale).

- Lorsque l'intérêt vital de la personne concernée, ou celui d'une autre personne

physique, est en jeu.

- Lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de

l'exercice de l'autorité publique.

- Lorsqu'il relève de l'intérêt légitime du responsable du traitement, sous réserve qu'il

ne nuise pas aux intérêts ou aux droits fondamentaux de la personne concernée.

A noter qu'un consentement ne peut être considéré comme librement consenti en cas de déséquilibre dans le rapport de force entre la personne et le responsable de traitement. Par ailleurs, il reste également assujetti à des modalités particulières pour les mineurs de moins de 16 ans, dont le consentement relève du titulaire de la responsabilité parentale.

L'exécution du traitement de données à caractère personnel :

Lors de la réalisation du traitement, les données collectées sont sensée être utilisées uniquement pour les finalité prévues initialement. Cependant elles peuvent être réutilisées à d'autres fins, moyennant :

- Le consentement de la personne concernée.

- La compatibilité des nouvelles finalités envisagées avec celles initialement prévues par
le traitement.

Les notions « d'opt-in et d'opt-out »⁹, largement utilisées dans les campagnes de webmarketing et consistant à obtenir un consentement de l'internaute à recevoir des emailing,

9 Opt-in, opt-out, ça veut dire quoi ? - cnil.fr - https://www.cnil.fr/fr/cnil-direct/question/514

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

sont aussi remises en cause par le RGPD. L'opt-in consistant à accepter de recevoir une information ou une publicité, généralement en cochant une case, doit être plus explicite quant aux données qui seront collectées et les fins auxquelles elles seront utilisées. L'opt-out n'est plus toléré, dans la mesure où il présume de l'accord du destinataire quand il ne manifeste pas son opposition, avec une case à cocher s'il ne veut pas être sollicité, ou encore pré-cochée par défaut, ce qui revient à du « soft opt-in » ou opt-in passif.

Lorsque le traitement est achevé, les données personnelles ne peuvent être conservées au-delà de la durée strictement nécessaire aux objectifs poursuivis par le responsable du traitement. A l'issue du traitement ou de la durée prévue, ces données doivent être détruites ou restituées aux personnes concernées, sans qu'aucune copie ne soit conservée par l'organisme qui les a collectées, à moins d'être totalement anonymisées.

Sources combinées :

- Guide MEDEF - RGPD, ce qu'il faut savoir d'ici 2018 -

www.medef.com/uploads/media/node/0001/04/dee2f7573a2954deae7f0db435aec3470da86f55.pdf

- Le RGPD et le consentement - Ressources RGPD - mailjet.com -
https://fr.mailjet.com/rgpd/consentement/

- Cahier technique 2018 AMRAE

http://amrae.fr/sites/default/files/fichiersupload/Cahier%20technique%20RGPD-%20v1.1%2027-02-20181.pdf

- CNIL Atelier RGPD 30/11/2017- Règlement européen sur la protection des données, ce qui change

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Le rôle des autorités de contrôle :

Selon le règlement¹⁰, « Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'Etat membre dont elle relève ».

Dans chaque Etat membre, l'autorité de contrôle veille à ce que les organisations présentes sur son territoire ou traitant des données personnelles de ses citoyens, y compris en dehors du pays, se conforment bien au règlement européen.

L'autorité de contrôle intervient en cas de litige concernant les traitements de données personnelles réalisés par les organismes implantés sur son territoire. Dans le cas contraire, elle coopère avec l'autorité du pays où se trouve l'établissement principal du responsable de traitement, car le RGPD ne prévoit pas la création d'une autorité de contrôle supranationale.

En France, dans la continuité du dispositif existant, la CNIL reste l'autorité de contrôle nationale. Le site officiel de la CNIL¹¹ souligne que « les pouvoirs de contrôle de la CNIL restent inchangés. Elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces. Les modalités de déclenchement des contrôles restent les mêmes »

Le journal du net précise dans un article publié le 17 mai 2018¹² que les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d'impact...) feront également l'objet de contrôles, mais que dans un premier temps ils ne seront pas punitifs. Selon sa présidente, Isabelle Falque-Perrotin, qui préside également le G29, « il ne s'agit pas de gérer un tableau de chasse »¹³. L'objectif est avant tout d'accompagner les organismes dans la mise en oeuvre opérationnelle des nouvelles dispositions et de les aider à en comprendre les enjeux. Si l'entité contrôlée est à même de démontrer qu'elle est engagée dans une démarche de conformité, la CNIL n'appliquera aucune sanction durant les premiers mois qui suivront l'entrée en vigueur du règlement. Lorsque les contrôles porteront sur des acteurs internationaux, ils seront réalisés par plusieurs organismes afin que la décision ait une portée européenne.

En pratique, son rôle évolue quelque peu¹, dans le sens où il prend une dimension plus pédagogique. La CNIL se positionne comme le référent du DPO, assurant des missions de conseil et d'accompagnent des organisations, avec la mise à disposition de nouveaux outils : dossiers thématiques, guides pratiques, PIA, modèles de registres simplifiés, modèles-types de mentions d'information ou formulaires de recueil du consentement...

Un autre changement concerne l'attribution des labels (gouvernance, audit, formation), qui ne seront plus décernés par la CNIL à compter du 25 mai 2018. Comme le prévoit le RGPD, des mécanismes de certifications en matière de protection des données doivent être développés par les autorités de protection nationales. Ces certifications ne seront pas directement délivrées

10 RGPD : la Cnil ne veut pas « gérer un tableau de chasse » des retardataires - numerama.com - Fleur Labrunie - 11/04/2018 - https://www.numerama.com/politique/344166-rapport-cnil-2017-titre-a-def.html

11 RGPD : comment la CNIL vous accompagne dans cette période transitoire ? - cnil.fr - 19/02/2018 - https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

12 Le RGPD est là, mais êtes-vous (vraiment) au point ? - journaldunet.com - Charlie Perreau - 25/05/2018 - https://www.journaldunet.com/economie/services/1208625-rgpd-definition-texte-cnil/

13 RGPD : la position de la Cnil sera souple au début - latribune.fr - Reuters - 18/02/2018 - https://www.latribune.fr/technos-medias/internet/rgpd-la-position-de-la-cnil-sera-souple-au-debut-769003.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

par la CNIL, mais par des organismes certificateurs agréés ou accrédités par la COFRAC (Comité Français d'Accréditation). La CNIL indique que ces référentiels sont en cours d'élaboration et de validation, et qu'ils seront publiés sur son site¹⁴. Ce nouveau dispositif prévoie notamment une certification pour les DPO et une certification de formation RGPD agréée par la COFRAC.

Le règlement ePrivacy

Parallèlement au RGPD, un autre disposition était censée entrer en vigueur au 25 mai 2018, réformant la directive « vie privée et communications électroniques » ou « ePrivacy ». Quelque peu occultée par le battage médiatique autour du RGPD, le projet de règlement e-privacy lui est pourtant directement lié. Il s'agit d'une proposition publiée le 10 janvier 2017 par la Commission Européenne, visant à harmoniser la législation des Etats membres en matière de confidentialité des communications électroniques et à rendre les services numériques plus sûrs pour les utilisateurs. De la même manière que le RGPD abroge la directive européenne 95/46/CE de 1995 , le règlement ePrivacy est supposé mettre à jour la directive vie privée et communication électronique de 2002 et le Paquet Télécom de 2009.

Ce projet de règlement est en effet complémentaire, dans la mesure où il étend la protection de la vie privée des citoyens européens aux communications électroniques, ou plus précisément aux échanges d'information (métadonnées) qui transitent au sein des fournisseurs de services électroniques. Son application est donc assez large, puisqu'elle concerne les fournisseurs d'accès Internet, les acteurs de l'IoT (Internet of Things), les applications de messagerie (WhatsApp, Skype, Facebook Messenger...), les bornes d'accès Internet (Wifi), les éditeurs de sites et applications Internet, ainsi que les acteurs de la publicité digitale en général (adtech).

Selon Guillaume Coulomb¹⁵, Data Quality Lead chez fifty-five, les deux principaux enjeux résident aussi dans le consentement de l'utilisateur, s'agissant de l'installation des cookies (traceurs électroniques). Il ne pourra plus être obtenu par défaut (opt-out), mais de manière positive et explicite (opt-in). Par ailleurs, ce consentement pourra être délivré de manière globale par l'utilisateur, au niveau du paramétrage de son navigateur et non plus sur chaque site.

Isabelle Gavanon¹⁶, avocate associée du cabinet Fidal et membre du conseil d'administration de l'AFDIT (Association Française de Droit de l'Informatique et de la Télécommunication), ajoute que le grand apport du règlement réside dans l'encadrement du traitement des métadonnées collectées par ces fournisseurs de services électroniques, dans la mesure où leur exploitation permet de déterminer des informations précises sur les individus. Pour éviter les fraudes, les traitements réalisés seraient ainsi soumis à des conditions plus strictes, basées sur le consentement éclairé des utilisateurs.

14 Transition vers le RGPD : des labels à la certification - cnil.fr - 23/02/2018 - https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification

15 RGPD et ePrivacy : quelles différences ? - petitweb.fr - Guillaume Coulomb - 30/04/2018 - http://www.petitweb.fr/actualites/rgpd-et-eprivacy-quelles-differences/

16 Le règlement E-Privacy : quelles nouveautés? - affiches-parisiennes.fr - Thuy-My Vu - 06/03/2018 - https://www.affiches-parisiennes.com/le-reglement-e-privacy-quelles-nouveautes-7770.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Contrairement au RGPD qui se limite aux personnes physiques, le projet de règlement e-privacy couvre désormais les personnes morales, tout en prévoyant des sanctions identiques à celles prévues par le RGPD pour les contrevenants.

Deux récents articles de la journaliste Catherine Stupp¹⁷ , publiés sur le site Euractiv.com, indiquent qu'à ce jour, la nouvelle directive e-privacy n'a toujours pas été adoptée et fait toujours l'objet de débats houleux entre le Parlement, le Conseil et la Commission européenne. Certains Etats membres et les lobbys d'opérateurs souhaitent que la réglementation soit assouplie, estimant les mesures relatives à l'autorisation de traitement des données trop restrictives et revendiquant un « intérêt légitime » pour leurs activités. Les discussions étaient au point mort et l'échéance du 25 mai 2018 devenue irréaliste, d'autant que la plupart des Etats membres sont encore occupés à adapter leur législations au RGPD. Mais l'indignation publique suscitée par la collecte massive de données de millions d'utilisateurs Facebook devrait relancer les négociations, que la Commission espère voir aboutir d'ici la fin de l'année.

17 Bruxelles presse les Vingt-huit d'adopter le règlement ePrivacy - Catherine Stupp - Euractiv.com - 17/05/2018 - https://www.euractiv.fr/section/justice-affaires-interieures/news/commission-demands-eu-leaders-approve-deadlocked-eprivacy-bill/

Les États membres trouvent Bruxelles trop stricte sur la vie privée - Catherine Stupp - Euractiv.com - 17/05/2018 - https://www.euractiv.fr/section/economie/news/member-states-want-looser-data-rules-in-draft-eprivacy-bill/

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

UN CHANGEMENT DE PARADIGME POUR LES ENTREPRISES

La mise en application du RGPD constitue assurément un chantier d'envergure pour les entreprises, qui se voient impactées sur de nombreux aspects et doivent se réorganiser en conséquence.

Nous nous intéresserons dans ce chapitre aux risques et impacts auxquels elles seront confrontées dans le cadre du RGPD, puis à la méthodologie que les entreprises sont supposées appliquer pour se mettre en conformité avec ce nouveau règlement.

Mais dans un premier temps, il est important de rappeler l'importance et la valeur que représentent « les données » pour les entreprises, car elles sont devenues un véritable enjeu pour leur développement et leur pérennité.

Les données et l'information au coeur du fonctionnement des

entreprises

De l'information aux données et des données aux informations stratégiques

Origine du système d'information de l'entreprise

L'expert en système d'information d'entreprise Iain Dunn, Principle EIM Architect chez CGI Angleterre, nous propose une rétrospective de l'évolution de la gestion du système d'information en entreprise sur les trente dernières années¹⁸. Il souligne son évolution constante au sein des organisations qui se sont rapidement adaptés en adoptant des nouvelles stratégies et des outils permettant de gérer les informations collectées.

La gestion de l'information en entreprise remonte aux années 90, avec l'apparition de la gestion documentaire liée au concept d'un « bureau sans papier ». Au-delà de l'idée de supprimer le support papier, ces systèmes ont surtout permis aux utilisateurs de pouvoir accéder aux informations appropriées au moment où ils en avaient besoin. Ces outils ont ainsi constitué une véritable avantage concurrentiel pour les entreprises qui en étaient équipées, leur permettant de prendre rapidement des décisions en s'appuyant sur des éléments fiables.

Les années 2000 ont ensuite vues s'imposer la notion de « gestion de contenu d'entreprise », qui visait à mieux identifier les sources d'information et à les centraliser sur une plateforme unique. On commence à parler de systèmes de gestion intégrés ou ERP (Entreprise

18 La gestion de l'information stratégique à l'ère du numérique - Blog CGI - Iain Dunn - 22/12/2016 -

https://www.cgi.com/fr/blogue/analyse-donnees-massives/la-gestion-de-l-information-strategique-a-l-ere-du-numerique

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Ressource Planning), permettant d'intégrer l'information brute à des sources d'informations structurées dédiées à l'activité de l'entreprise.

Initialement centrées sur l'organisation de l'entreprise, les stratégies de gestion de l'information ont subit une inflexion avec le développement du numérique. Il ne s'agit plus seulement de gérer la propriété intellectuelle interne, mais également d'analyser le plus instantanément possible les informations du marché, afin d'accroitre son avantage concurrentiel et sa position.

Sur le plan marketing cela concerne désormais toute les entreprises, qui ont besoin d'être très réactives, qu'elles soient dans une position fortement concurrentielle dite « d'océan rouge », comme sur un marché vierge « d'océan bleu », pour reprendre la métaphore rendue célèbre par les chercheurs de l'INSEAD W. Chan Kim et Renée Mauborgne¹⁹. Dans ce contexte, les entreprises qui n'auront pas encore su tirer partie de la valeur de l'information auront du mal à s'imposer sur un marché devenu hautement concurrentiel.

Contextualiser les données pour obtenir des informations pertinentes

Les informations sont devenues des données, certes structurées dans des bases, mais comme l'indique Camille Bolzan, Social Media Analyst, dans un article publié par le Nouvel Economiste²⁰, ces données « ne sont rien sans la stratégie pour les trier, les outils pour les traiter et les experts pour les analyser ». Elle poursuit en ajoutant que nous arrivons à un stade où « trop de données tuent l'information ». Avec l'avènement du Big data, ces données ne peuvent être exploitées qu'avec de puissants outils techniques et l'expertise de spécialistes ; ces fameux « data scientists », pour reprendre l'une des nouvelles terminologies consacrées par le monde numérique, évoquées par Romain Ivoy, Responsable technique de la société Evos Infogérance, interviewé dans le cadre de nos recherches (cf. annexe 2). Ces statisticiens sont à même d'analyser cet amas de données et de le corréler avec les objectifs de l'entreprise, pour en tirer une stratégie marketing.

Stéphane Tufféry, responsable statistique du groupe CM-CIC et professeur à l'ENSAI, interrogé par Camille Bolzan insiste sur la nécessité de travailler la donnée brute et fustige certains intervenant du monde informatique, qui « incitent au stockage exponentiel de données, alors qu'il y a un défi scientifique bien plus important, qui est l'analyse pertinente de ces données ». Il fait un parallèle avec le pétrole qui ne peut être exploité qu'une fois raffiné et qu'il en est de même avec la donnée brute qui doit d'abord être contextualisée avant même d'envisager son utilisation dans des algorithmes informatiques.

Explosion du big data depuis les années 2010

L'article de Camille Bolzan nous donne également un idée de l'ampleur prise par le Big Data, en s'appuyant sur des chiffres émanant du Big Data Index. Il nous apprend que dès 2012, les entreprises françaises avaient déjà conscience du potentiel que représentait l'exploitation de ces données :

- 18 % des entreprises interrogées utilisent les solutions Big data en France.

19 Océan bleu/océan rouge - glossaire - http://www.e-marketing.fr/Definitions-Glossaire/Ocean-bleu-ocean-rouge-242620.htm#wFxdAEzQkkl6mDTz.97

20 Big data : comment passer de la donnée à l'information - lenouveleconomiste.fr - Camille Bolzan - 30/05/2013 https://www.lenouveleconomiste.fr/lesdossiers/big-data-comment-passer-de-la-donnee-a-linformation/

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

- 11 % de ces entreprises envisagent ou ont prévu d'investir dans le Big data

- 64 % des équipes IT estiment que le manque d'expertise technologique est le principal frein.

- 59 % de ces entreprises estiment qu'avec de tels équipements, elles pourraient accéder à des données inaccessibles.

En 2013, l'étude « Big Data, Bigger Opportunities: Investing in Information and Analytics » menée par le Gartner, confirme qu'au niveau mondial 42 % des 1000 plus grandes entreprises avaient déjà intégré que le Big data leur permettrait d'optimiser leurs pôles financiers et marketing.

A l'heure actuelle, le volume de données collectées est proprement colossal, comme le démontrent les chiffres évoqués lors des 25èmes Rencontres du Risk Management organisées par l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise)

en février 2017²¹ :

Source : Atelier-conférence A3 AMRAE - 25èmes Rencontres Risk Manager du 2 février 2017

Cette profusion de données est essentiellement liée à la multiplication des nouveaux canaux de collecte, avec la démocratisation des moyens de connexion Internet (smartphones, tablettes), l'usage généralisé des réseaux sociaux, le traçage quasi-systématique de l'activité des internautes, ou encore le développement de l'IoT (Internet Of Things) qui commence à connecter de plus en plus d'objets usuels. Autant de sources de données comportementales qui représentent de vraies mines d'or pour les entreprises.

21 Atelier-conférence AMRAE du 2 février 2017 - https://www.youtube.com/watch?v=OZwHgN-IHmM

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Les données comme patrimoine de l'entreprise :

L'exploitation des données comme outil stratégique et concurrentiel

La possibilité d'accéder à des données aussi précises que variées sur les usages et attentes des consommateurs a profondément modifié l'approche marketing des entreprises. Comme l'explique Samuel Mayol, auteur de Marketing 3.0, cité dans l'article de Camille Bolzan, « on pratiquait jusqu'ici un marketing de masse: il fallait vendre un produit à un maximum de clients et on harcelait les prospects qui nous le reprochaient. Aujourd'hui, partout sur Internet, les consommateurs donnent leur avis sans qu'on en fasse la demande, ce qui permet aux entreprises de s'adapter aux besoins de chaque client et de personnaliser l'expérience d'achat ».

Le recours à ces informations apparait donc assez légitime de la part des entreprises, qui doivent faire face et s'adapter à une concurrence exacerbée, en s'appuyant sur des solutions qui leur permettront de fidéliser leur clientèle et d'anticiper l'évolution du marché. D'autant que les résultats obtenus se révèlent particulièrement probants, comme le confirme Patrice Poiraud en charge du pôle business analytics et optimisation chez IBM dans ce même article. D'après lui, le recours au datamining, ou exploration de données, permet de réaliser des analyses prédictives dont le taux de retour est de l'ordre de 20 %, contre seulement 1 % sans de tels outils. L'entreprise passe ainsi d'une stratégie que l'on peut qualifier d'intuitive, à une réflexion basées sur des éléments tangibles, lui permettant de surcroît d'être beaucoup plus réactive dans ses prises de décision.

Avec de tels résultats, les entreprises doivent sans cesse réactualiser leurs données, dont la valeur est très volatile. Pour ce faire, elles doivent impérativement se doter de moyens techniques, mais aussi de compétences. Les besoins en la matière devenant de plus en plus importants, ces expertises sont extrêmement recherchées. Paradoxalement, elles sont particulièrement rares sur le marché français, qui manquent de formation et d'étudiants diplômés dans ce domaine. Selon Camille Bolzan, cela révèle un manque de promotion de ces filières, qui n'ont pas été suffisamment valorisées. Une réflexion partagée par Stéphane Tufféry, professeur à l'ENSAI de Rennes déjà cité dans ce même article, et par Guillaume Pourquié, DPO de Grenoble Ecole de Management interviewé le 7 mai dernier (cf. Annexe 3), pour lesquels le développement de formations consacrées au Big data est devenu indispensable et les grandes écoles l'ont pris en compte. Mais la demande est loin d'être satisfaite et il faudra attendre que ces cursus aient produits suffisamment de diplômés, ce qui laisse encore aux anglosaxons, Américains en tête, une bonne longueur d'avance.

Un patrimoine immatériel que les entreprises doivent préserver

Stéphane Tufféry, toujours dans l'article « Big Data : comment passer de la donnée à l'information », évoque un patrimoine informationnel, sur lequel l'entreprise a besoin de travailler de manière continu. Cette notion de patrimoine est un point important, car qu'elles soient instantanées ou statiques, personnelles ou anonymes, les données de l'entreprise sont devenu un bien précieux et ont donc de la valeur.

C'est précisément ce qu'Angela Merkel, Chancelière d'Allemagne, avait spécifié lors du dernier forum de Davos, en qualifiant les données de « matière première du XXIe siècle ». C'est sur cette citation que Nidam Abdi introduit son article « Pour une communauté européenne de la donnée numérique, après celle du charbon et de l'acier », publié le 5 mars 2018 par Le Cercle Les Echos. En établissant un parallèle entre la CECA et le RGPD, l'auteur attire notre attention

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

sur la notion de production de données numériques et de fait sur la création d'une valeur ajoutée qu'il nous appartient de protéger. Il cite d'ailleurs de nouveau la Chancelière Allemande qui ajoutait que « savoir qui les possède déterminera si la démocratie, le modèle social participatif et la prospérité économique sont compatibles ».

Cette notion de patrimoine informationnel est également largement abordée par Maître Olivier de Maison Rouge, avocat et membre de la commission permanente « secrets d'affaires » de l'Association Internationale pour la Protection de la Propriété Intellectuelle et du Comité scientifique de l'Institut de l'Intelligence Économique, dans un article publié sur le site Village de la Justice²². Dans cet article assez technique et nourri de nombreuses références juridiques, nous apprenons que le droit français ne délimite pas précisément le périmètre de ce patrimoine, qui peut être assimilé à un actif immatériel de l'entreprise. A l'heure de la globalisation et de la dématérialisation des échanges, il pourrait même se substituer à l'ancienne conception du fond de commerce. D'un point de vu concurrentiel, la possession de ces informations se révèle d'autant plus déterminante un contexte de compétition économique acharnée.

En dépit des recherches entreprises sur la législation récente relative à la protection de ce patrimoine informationnel, il apparait difficile de déterminer le niveau d'avancement de cet encadrement au niveau national comme européen. Si cet aspect se révèle crucial et éminemment stratégique pour les entreprises, le sujet reste épineux et difficile à harmoniser, tant les législations en la matière différent d'un pays à l'autre. Ce que confirme de nouveau Olivier de Maison Rouge dans une interview accordée en 2011 à Mag-securs.com²³, précisant qu'à ce jour, « au vu des textes applicables et des décisions des tribunaux, le vol n'est pas suffisamment reconnu par le droit s'agissant de l'appropriation de données exclusivement immatérielles ».

Dans ce même article², l'adjudant Laurent Frappart, spécialiste N'Tech de la cellule d'Arras, nous fait part de l'augmentation du vol de fichiers informatiques, qui concernent la clientèle, les secrets de fabrication ou encore les brevets des entreprises. Il évoque effectivement l'espionnage international, qui se heurte à des législations différentes. Il y a bien une cohérence des lois au niveau européen et des institutions françaises comme la CNIL ou l'INPI (Institut National pour la Propriété Industrielle) qui jouent un rôle important, mais le vol du patrimoine informationnel de l'entreprise n'est pas réprimandé en tant que tel.

Cet enjeu interpelle et les organisations professionnelles, experts et juristes se penchent régulièrement sur la question. Mais il apparait qu'à ce jour le seul recours des entreprises en la matière soit le code pénal et la loi Gaufrin de janvier 1988 qui sanctionnent l'intrusion ou la tentative d'intrusion dans un système d'information, mais avec un cadre relativement large et sujet à interprétation. Pour citer Olivier de Maison Rouge, « le vol se traduit dans les faits par la disparition du bien dans le patrimoine de la victime, et son transfert avec apparition corrélative dans l'actif du voleur. D'aucuns estiment ainsi que le vol ne peut porter que sur des biens matériels à l'exclusion, par opposition, de tout bien immatériel » 2.

22 Le patrimoine informationnel : Fonds de commerce du 21^ème siècle ? - villagejustice.com - Olivier de Maison Rouge - 06/05/2010 - https://www.village-justice.com/articles/patrimoine-informationnel-fonds,7827.html

23 La sécurité du « patrimoine informationnel » des entreprises (page 2) - la rédaction de Mag Securs - 31/05/2011 - https://www.mag-securs.com/dossiers/id/28579/pageid/28662/la-securite-du-patrimoine-informationnel-des-entreprises.aspx

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Nous ne nous attarderons pas d'avantage sur ces aspects légaux, qui restent encore mal définis, car notre propos est avant tout de mettre en évidence le capital que représent ces données pour l'entreprise. Sentiment partagé par Anne-Marie BENOIT²⁴, juriste spécialisée en droit des données, enseignante et Ingénieur de recherche au CNRS, dans le cadre de notre sujet. Ce qu'il faut avant tout retenir, c'est que ce patrimoine informationnel fait désormais partie intégrante de la valorisation d'une entreprise, notamment lors d'une cession, au même titre que son chiffre d'affaire et au-delà de son fichier clients.

En ce sens, l'entrée en vigueur du RGPD, met en évidence une contradiction entre les intérêts de l'entreprises et la valorisation toute relative d'un patrimoine en partie constitué de données à caractère personnel, qui sur le plan règlementaire ne lui appartiendraient que provisoirement et sous réserve du consentement des personnes concernées. De la même manière que la directive e-privacy dont la mise en application fait toujours débat, il y a fort à parier que les instances européennes et nationales soient prochainement amenées à légiférer sur la question.

Risques et moyens de maitrise

En matière de risques et d'impacts pour l'entreprise, le RGPD soulève d'ores et déjà un certain nombre de préoccupations nouvelles et concrètes pour les organisations, pouvant à leurs yeux constituer des contraintes liées au règlement.

Il convient de noter une modification fondamentale dans l'appréciation du risque par les organisations, qui réside dans le changement d'état d'esprit suscité par l'introduction du RGPD. C'est ce que met en évidence l'AMRAE lors de la 26^ème rencontre du Risk Management du 8 février 2018, en expliquant que les risques étaient jusqu'à lors appréciés du point de vu de l'entreprise et de son activité, alors qu'elle doit désormais aussi les prendre en compte en terme d'impact sur la vie privée des individus concernés par les informations qu'elle détient.

Cela met en évidence, la nécessité pour les organisations de bien évaluer les risques liés à leur sécurité informatique et aux traitements impliquants des données à caractères personnel, pour lesquels il convient de bien identifier et suivre la criticité au moyen de KRI (Key Risque Indicators) appropriés. L'approche par les risques est au coeur du règlement, dans lequel le terme risque est cité environ 70 fois²⁵.

²⁴ Propos recueillis lors d'un échange informel avec Anne-Marie BENOIT le 31 mai 2018

25 Atelier-conférence B2 - 26^ème Rencontres du Risk Management AMRAE 2018 - Comment mettre en place le RGPD - 08/02/2018 - https://www.youtube.com/watch?v=jkM2LJ6tzAA

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Trois grandes familles de risques

L'atelier-conférences A3 de l'AMRAE²⁶ met en évidence 3 types de risques à prendre en compte par les organisations :

Risques juridiques et financiers

Spontanément, les risques juridiques et financiers semblent les plus préoccupants et on pense en premier lieu aux amandes significatives auxquelles s'exposent les organisations en cas de non-respect de la règlementation, que nous avons déjà détaillées dans notre première partie.

Cyril Bras, Responsable de la Sécurité des Systèmes d'Information de Grenoble Alpes Métropole, rappelle que « la CNIL a changé d'étiquette et n'est plus là pour enregistrer des déclarations, mais pour faire du contrôle et c'est sur le contrôle qu'ils seront financés. Ils ont donc intérêt à en faire beaucoup ». Il ajoute que si la CNIL a indiqué qu'elle se montrerai clémente dans un premier temps, elle devra aussi faire des exemples pour être prise au sérieux.

Les organisations seront aussi confrontées à des actions de groupe ou individuelles, nécessitant non seulement des modifications importantes de leurs processus, mais également le risque d'être attaquées en justice, mobilisant des ressources opérationnelles et pouvant occasionner le versement de dommages et intérêt aux intéressés. Le site comarketing.com évoque ainsi une étude récente de Pegasystems²⁷, selon laquelle 82 % des consommateurs

26 Atelier-conférence B2 - 25^ème Rencontres du Risk Management AMRAE 2017 - 02/02/2017 - https://www.youtube.com/watch?v=OZwHgN-IHmM

27 RGPD : Les consommateurs comptent bien en profiter - comarketingnews.com - 09/01/2018 - https://comarketing-news.fr/rgpd-les-consommateurs-comptent-bien-en-profiter/

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

européens ont l'intention de faire valoir leurs nouveau droits, notamment en demandant la suppression de leurs informations personnelles.

C'est une inquiétude partagée par Céline Ambroise-Thomas, chargée du développement commercial de la société AIRRIA et de la communication liée au RGPD (cf. Annexe 4), qui craint une forme de dérive des demandes formulées par les salariés ou les clients, lesquels, au-delà de se préoccuper de leurs données personnelles, verraient surtout le moyen de faire des procès et d'obtenir des dédommagements.

Risques organisationnels

Il en va de même sur le plan organisationnel, car les contrôles de conformité exigeront une importante disponibilité de la part des collaborateurs, avec le risque de se voir sanctionné, ce qui, indépendamment des amendes encourues, pourrait donner lieu à l'interdiction de réaliser des traitements indispensables à leur activité.

Les organisations devront préalablement investir du temps pour établir leurs registres de traitement et documenter leur conformité, ce que nous aurons l'occasion de détailler lorsque nous aborderons la mise en application du règlement.

Risques réputationnels

En terme de réputation, le simple fait de devoir déclarer un sinistre, lié à un logiciel malveillant, un rançongiciel ou autre brèche de données, peut avoir de lourdes conséquences sur le capital confiance accordé par les clients, accentué par la concurrence qui ne manquera pas de relayer une telle information.

Une étude réalisée par Wavestone, participant à l'atelier A3 des rencontres AMRAE de février 2017, précise que 83 % des victimes de fuite de données pensent que l'entreprise n'est pas digne de confiance.

D'autres formes de risques

En pratique, les trois grandes familles de risques que nous venons d'aborder constituent un premier niveau d'analyse, mais il apparait que d'autres risques ont une dimension beaucoup plus globale, qui ne se limite pas à l'une de ces catégories. Nous les aborderons donc sous des angles différents.

La sécurité

Les risques liés à la sécurité sont assez nombreux, en particulier concernant la protection des informations collectées. La chasse aux données est ouverte depuis longtemps, car leur valeur n'a pas échappé aux cyber délinquants. Cela concerne bien entendu la sécurité physique des locaux, mais aussi la protection numérique des organisations. En l'espèce, on constate que le nombre de cyber-attaques a suivi une évolution exponentielle depuis 2010, comme en témoigne l'étude SYMANTEC ISTR ci-dessous, présentée lors de l'atelier A3 organisé par l'AMRAE.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

En adoptant une règlementation plus contraignante en matière de collecte, la difficulté à obtenir ces précieuses informations de manière légale pourrait potentiellement encourager le recours aux détournements et cyber-attaques en tout genre, accentuant les risques pour les organisations. Cela s'avère d'autant plus critique dans les entreprises qui s'exposent à des risques affectant directement leur capacité de production (supply chain) et leurs activités commerciales.

L'atelier B2, organisé par l'AMRAE en février 2018, évoque les différents types de cyberattaque au niveau mondial et nous donne une estimation de leur répercussions économiques en 2015. L'illustration utilisée, émanant de l'AFP, indique que son coût serait multiplié par 5 à l'horizon 2019. Cela permet de mesurer l'ampleur du phénomène et d'imaginer l'impact que cela aura sur les organisations.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Interrogé sur les risques cyber, Cyril BRAS, RSSI de Grenoble Alpes Métropole (cf. Annexe 1), est très alarmiste sur la situation des administrations : « Je suis persuadé que si nous sommes confrontés à un problème de sécurité, qu'il touche des données personnelles ou pas, il risque d'y avoir un effet domino ou un effet miroir. Un pirate peut s'apercevoir que telle cible est facile à attaquer, donc il va faire aussi celle d'à côté, etc... ». Il explique que dans leur cas, ce n'est pas qu'une question de moyens, mais aussi de communication entre services et confrères. Il évoque également la sensibilisation des utilisateurs, dont le niveau de culture informatique et de responsabilisation est loin d'être à la hauteur des enjeux.

Les moyens de maitrise pour ce type de risques sont en premier lieu la sécurisation des infrastructures informatiques. Il conviendra pour les services informatiques et les prestataires d'adopter une politique de sécurité adaptée au niveau de risque encouru et de mettre en place les moyens appropriés : réalisation des mises à jour système et antivirus, administration des droits et mots de passe utilisateurs, paramétrage du firewall, contrôle des sauvegardes, audit d'intrusion, plan de reprise d'activité... La liste est loin d'être exhaustive.

Les contrats de maintenance souscrits auprès de prestataires informatiques devront être étudiés en détail. Le niveau d'engagement doit être clairement défini, voir réévalué, notamment quant au délai d'intervention en cas de sinistre, de supervision et de continuité de service.

Toujours sur le plan informatique, les logiciels métiers devront aussi être conformes au RGPD, en intégrant notamment un chiffrement des données, la possibilité de les anonymiser ou de les pseudonymiser, voire de les supprimer. Les sociétés utilisatrices devront s'assurer que ces fonctionnalités soient intégrées dans les applications qu'elles utilisent et les éditeurs devront potentiellement les intégrer si elles n'ont pas été prévues initialement. Stéphane Bergerat, dirigeant de CINETIC IT, mentionne la difficulté de trouver des solutions adaptées sur le marché, car la plupart ne traitent que partiellement les besoins, « entre ceux qui cryptent les disques, ceux qui cryptent les bases de données, ceux qui cryptent les PC, ceux qui cryptent les flux, c'est quand même très compliqué et je ne veux pas avoir 50 outils à gérer » (cf. annexe 6).

Le cas des prestataires nous permet d'aborder la notion de sous-traitance, sur lequel le RGPD insiste lourdement. En matière de risque, le règlement stipule que le sous-traitant intervenant sur un traitement s'en trouve de fait coresponsable. Un risque mis en évidence par l'AMRAE, car il peut concerner des sociétés de toute taille et tout type d'activité. Dans cette situation, il conviendra de réévaluer l'ensemble de ses contrats et engagements, en tenant compte des recours des tiers, qui pourront demander réparation en cas de préjudice (traitement inapproprié, fuite de données, cyberattaque). Le but est de bien identifier les responsabilités et le partage de risque. Un point également abordé par Alexis DUPIC, dirigeant de la société OPTIMEX Data, expert juridique en protection des données, interrogé le 4 mai 2018 dans le cadre de notre étude de terrain (cf. Annexe 5). Il insiste cette responsabilité conjointe du sous-traitant dans la réalisation des traitements qui lui sont confiés et qui lui imposent de tenir un registre de traitement. Ce qui se révèle particulièrement difficile à assumer pour les petites structures qui ne sont pas organisées pour gérer de telles obligations.

Sur la base de ces éléments, l'AMRAE préconise la prise en compte des coûts liés à une non-conformité au RGPD et l'intérêt de bien contractualiser les relations et obligation liées au traitement de données à caractères personnel, que l'entreprise se trouve en position de

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

responsable de traitement, de donneur d'ordre ou de sous-traitant. Cet aspect est d'ailleurs bien identifiés par les prestataires informatiques interrogés. La société EVOS Infogérance indique qu'elle a déjà soumis l'ensemble de ses contrats à son juriste et CINETIC IT a bien compris qu'elle devrait très certainement ajouter des clauses supplémentaires dans ses contrats de sous-traitance.

Si l'adaptation des contrats permet de mieux définir les responsabilités respectives des parties, cela porte logiquement sur la notion de couverture et d'assurance. L'AMRAE aborde bien entendu cette question en terme de risque et d'impacts financiers, au travers d'un article publié par Les Echos en juillet 2017²⁸.

L'article s'appuie sur une étude commandée par le Lloyd's of London (cf. illustration ci-après), le grand marché de l'assurance du monde, visant à évaluer les répercussions économiques dans le cas de cyberattaques majeurs et à sensibiliser sa clientèle sur l'ampleur du risque cyber. Les résultats sont édifiants et comparables aux répercutions de l'ouragan Sandy de 2012, considéré comme le plus coûteux de l'histoire.

28 Les entreprises trop peu couvertes contre le cyber-risque - lesechos.fr - Jérémy Bruno - 17/07/2017

https://www.lesechos.fr/17/07/2017/LesEchos/22487-098-ECHles-entreprises-trop-peu-couvertes-contre-le-cyber-risque.htm

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Pour maitriser ce risque, les organisations devront donc s'intéresser à leurs polices d'assurance et réexaminer la couverture dont elles bénéficient, en envisageant la souscription de contrats adaptés au niveau des risques qu'elles encourent, en particulier dans le cas de cyber-attaques ou de sanctions réglementaires.

L'AMRAE fait référence à de nouveaux contrats spécifiquement adaptés aux risques cyber. Selon l'Observatoire des Produit d'Assurance¹, la souscription de cyber-assurances est en forte progression depuis 2017, compte tenu de l'entrée en vigueur du RGPD, mais également de la recrudescence des attaques visant des entreprises de toute taille.

Une étude réalisée par le CESIN (Club des Experts de l'Information et du Numérique), mentionne que 40 % de leurs adhérents ont souscrit un contrat de ce type, 15 % sont en cours de souscription et 22 % l'envisagent sérieusement. Ces chiffres sont disparates sur le plan géographique, puisque la grande majorité de ces organisations sont de grands groupes basées aux Etats Unis (85 %), alors que ce type de couverture est encore peu développé en Europe (9 %). Paradoxalement, cette étude observe que les attaques concernent principalement les petites structures (60% de PME et TPE), qui sont peu assurées. Mais il est certain qu'avec l'arrivée du RGPD, ces proportions sont appelées à évoluer et le marché mondial de la cyber-assurance est évalué entre 3 et 3.5 milliards d'Euros.

La communication externe

Vis-à-vis de leurs clients, adhérents ou partenaires, les organisations ont tout intérêt à mettre en avant leur conformité. La réalisation d'un audit RGPD, permettra entre autre d'être accompagné dans le processus d'évaluation des risques et à terme d'obtenir une certification. Les conditions d'obtention sont en cours d'élaboration, comme l'évoquait Alexis Dupic d'OPTIMEX Data (cf. interview en annexe 5) et comme le mentionne encore le site de la CNIL², mais une telle certification sera de nature à rassurer les interlocuteurs et pourra pondérer le risque réputationnel évoqué précédemment.

Dans leur communication, les organisations devront désormais prendre en compte l'obligation de notification des individus en cas de sinistre impactant leurs données personnelles. Cette nouvelle obligation peut s'avérer coûteuse selon les mesures à prendre pendant et après le sinistre.

Un risque de submersion des canaux de communication de l'entreprise par les clients est probable. Le temps qu'il faudra consacrer à chaque demande est évalué entre cinq et vingt minutes par appel selon Laurent Hesnault, Director Security Strategist de Symantec, intervenant lors de l'atelier B2 de l'AMRAE.

D'après une étude réalisée par la société SENZING, évoquée dans un article publié sur le site L'ADN³, une entreprise recevra en moyenne 89 demandes par mois liées au RGPD. Ce chiffre leur permet d'en déduire une surcharge de travail mensuelle de l'ordre de 172 heures, soit 8 heures par jour, nécessitant l'embauche d'un salarié supplémentaire. Cela dépend de la

1 La cyberassurance décolle progressivement en France - Liorah Benamou - L'Observatoire des Produits d'Assurance - 01/03/2018

2 Transition vers le RGPD : des labels à la certification - cnil.fr - 23/02/2018 https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification

3 Une entreprise recevra 89 demandes liées au RGPD chaque mois ! - ladn.eu - Yann Pierolo - 19/02/2018

http://www.ladn.eu/nouveaux-usages/etude-marketing/etude-les-entreprises-francaises-ne-sont-pas-pretes-pour-la-rgpd/

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

taille de l'entreprise, mais ces chiffres sont forcément exponentiels plus elle est importante. En se basant sur cette moyenne et partant du principe que les sources de données sont plus nombreuses, dans les grands groupes cela prend des proportions démesurées, évaluées à 1259 heures mensuelles, soit 7,5 employés supplémentaires !

En outre, Laurent Heslault extrapole un risque de malveillance de la part de cybercriminels qui pourraient utiliser des techniques visant à noyer les centres d'appel pour les rendre inopérants, occasionnant en prime une frustration accrue des clients.

Selon la probabilité d'être confrontées à une telle situation, les organisations devront anticiper ces flux entrants, pour disposer des ressources suffisantes pour les prendre en charge. Il conviendra parallèlement de prévoir une communication proactive visant à rassurer tous les clients, en leur apportant la garantie que les dispositions nécessaires ont bien été mises en oeuvre, lesquelles seront de surcroît, plus ou moins lourdes à assumer pour l'entreprise.

Un autre aspect de la communication concerne les dérives observées autour du RGPD, comme l'ont décrit la plupart des professionnels interrogés sur le terrain. Cyril Lebras de Grenoble Alpes Métropole évoquait des démarches commerciales douteuses misant sur la méconnaissance du sujet des personnes sollicitées. Romain Ivoy d'EVOS Infogérance ironisait sur cet effet RGPD, caricaturant l'opportunisme de ces sociétés qui pourraient même proposer des souris ou des imprimantes « RGPD ready ».

Un article publié sur le site Numerama¹ confirme que la CNIL a bien conscience de ce dévoiement, puisqu'elle a lancé une campagne « #StopArnaque » pour contrer l'assaut des pseudo-experts malveillant qui surfent sur le thème du RGPD. La CNIL remarque : « L'objectif est de vous faire appeler un numéro surtaxé, de vous faire signer un engagement coûteux, en vous envoyant ensuite une documentation générale déjà accessible en ligne ». Encore plus grave, il peut aussi s'agir « de collecter des informations sur votre organisation pour préparer une escroquerie ou une attaque informatique. »

Comme le préconise l'article, le meilleur moyen d'éviter de se faire piéger est d'être à même de distinguer les experts compétents des charlatans. Cela renforce l'intérêt de nommer un référent RGPD, à défaut d'un DPO, vers lequel pourront être redirigées ces démarches.

Des populations à risque

Une autre forme de risque peut être identifiée, dans la capacité des organisations à assumer leur mise en conformité, que ce soit les entreprises et autres associations ou les institutions elles-mêmes.

Les entreprises

Au grés de nos lectures et des retours d'expérience que nous avons pu collecter, nous avons constaté que l'appréhension et la capacité à assumer la mise en conformité se révèle plus

1 La CNIL met en garde : attention aux « experts RGPD » qui préparent des escroqueries - Corentin Duval - Numerama - 22/01/2018 - https://www.numerama.com/politique/323257-la-cnil-met-en-garde-attention-aux-experts-rgpd-qui-preparent-des-escroqueries.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

complexe pour les petites structures. Elles ne disposent pas des mêmes moyens, humains comme financiers, pour gérer la mise en place du RGPD.

De manière générale, le risque de non-conformité est particulièrement prégnant pour les PME et TPE, comme le constate Romain Ivoy d'EVOS Infogérance (Cf. Annexe 2) auprès de ses clients, qui sont accaparés par l'opérationnel et ont du mal à appréhender le règlement, « ils n'ont eu aucune réflexion et la plupart ne savent même pas ce que c'est ». Il ajoute que ces structures ont déjà du mal à assurer leur charge de travail quotidienne et qu'elles considèrent qu'il s'agit d'une contrainte parmi d'autres, voire d'un sujet subalterne. Stéphane Bergerat de CINETIC IT (cf. Annexe 6) fait le même constat, « je pense que la petite PME du coin, qui gère ses 30 ou 40 clients, cela lui passe largement au-dessus de la tête ». Alexis Dupic d'OPTIMEX Data déplore lui aussi un manque d'accompagnement adapté à ces entreprises et que l'application du règlement ne fasse aucune distinction entre un artisan et un géant du numérique. Il cite notamment le cas d'une entreprise individuelle qui a dû recourir à ses services d'audit et conseil, pour espérer conserver ses marchés publiques, qui exigeaient une preuve de conformité des logiciels qu'il développe.

La CNIL l'a bien compris et précise qu'elle entend faire preuve de « souplesse et de pragmatisme », comme le mentionne je journaliste Florian Debes dans un article paru dans Les Echos High-Tech le 25 mai 2018¹. Le régulateur aurait bien conscience de « la hauteur de la marche à franchir pour les sociétés les plus fragiles, notamment les PME ». La mise en application du nouveau règlement ayant engendré une « peur du gendarme » virant à la panique générale, les autorités de contrôle françaises ont confirmé que dans un premier temps, elles se limiteraient à sanctionner les manquements aux obligations qui étaient déjà en vigueur dans les lois françaises précédentes.

Ce même article des Echos High-Tech, stipule que l'enjeu du RGPD est surtout de ne pas manquer sa cible. Cette phrase fait précisément référence à la disproportion des obligations qui s'imposent aux petites structures, qui constituent « un nième bâton mis dans leur roue par l'administration », pour reprendre le propos de Jean-Marc Vottori dans un éditorial également paru dans Les Echos du 25 mai dernier².

Ces deux articles sont d'ailleurs assez convergents dans leur analyse, évoquant les géants du numériques américains et chinois, qui à l'opposé sauront s'adapter beaucoup plus facilement au RGPD et risquent surtout d'en profiter pour assoir leur position sur le marché. Ce sera au détriment des entreprises européennes, qui ne comptent aucun géant du numérique. Etienne Drouard, avocat du cabinet K&L Gates, insiste sur le fait que « ces entreprises savent très bien inventorier les données présentes dans leurs systèmes et ont donc déjà une vue centrale sur toute les informations personnelles qu'elles détiennent ». ¹ Ce qui permet à l'auteur¹ de conclure que sur ce point, « le RGPD leur demande simplement d'exceller là où elles sont les meilleures... », ce qui va à l'encontre du but recherché par le règlement, d'autant que les systèmes d'informations des entreprises européennes sont loin d'être aussi structurés que chez leurs homologues anglosaxons et asiatiques.

1 L'Europe lance son big bag de la protection des données - Florian Debes - Les Echos High-Tech - 25/05/2018

2 RGPD, un fort bel outil à double tranchant - Editorial de Jean-Marc Vottori - Les Echos 25/05/2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Un dernier aspect concerne l'application du règlement dans les différents Etats européens, qui n'ont pas le même historique, ni la même sensibilité, en matière de protection des données. Certains n'avaient tout bonnement aucune réglementation nationale et doivent désormais transposer le texte dans leur législation ou l'appliquer tel que les instances européennes l'ont défini, ce qui implique notamment la création d'une autorité de contrôle qui n'existait pas et donc un processus d'adaptation plus laborieux. C'est une difficulté évoquée lors des rencontres de l'AMRAE, qui met en évidence un risque supplémentaire auxquels sont confrontées les entreprises.

La position de ces Etats membres ne leur permet pas de se conformer complètement à la nouvelle législation et ils peuvent en retirer un certain profit par rapport aux autres. L'AMRAE cite le cas de l'Espagne qui cherche à attirer les entreprises en mettant en avant une réglementation nationale moins stricte vis-à-vis de son retard. Une telle situation leur donne un avantage concurrentiel par rapport aux autres Etats de l'Union et il faudra que les instances européennes trouvent le moyen d'endiguer cette dérive qui sera potentiellement source de conflit.

Les institutions

Pour être plus exhaustif concernant les risques, il convient aussi de s'intéresser aux institutions elles-mêmes, qui contrairement à ce qu'elles pensaient sont tout aussi impactés par le RGPD que les autres organisations.

C'est ce que Cyril Bras de Grenoble Alpes Métropole (cf. Annexe 1) nous a confié lors de notre échange. Il observe que les administrations ont seulement découvert la problématique RGPD il y a quelques mois et a le sentiment qu'elles pensaient ne pas être concernées par le volet sanctions. Mais cela leur a été bien été confirmé, « même si il y aura certaines adaptations liées au fait qu'elles ne sont pas des entreprises et qu'il n'y a pas de notion de business ». C'est assez contraignant, car elles ont du retard sur la protection des données et la culture de la sécurité en général était parfois inexistante. Il estime que c'est justement une bonne chose, car l'application du règlement les responsabilise. Les informations qu'elles collectent, sont certes nécessaires à leur fonctionnement, mais se révèlent particulièrement sensibles. Et même si elles n'ont pas vocation à en tirer profit, les risques auxquelles elles s'exposent n'en sont pas moins importants. Elles disposent d'informations personnelles très précises sur la situation des administrés, que ce soit en terme de revenus, de situation familiale ou encore de santé. Le retard qu'elles ont accumulé, même vis avis des réglementations précédente est considérable et il était temps qu'elles se montrent plus proactives en matière de gestion des risques. Il illustre ces risques au travers de plusieurs exemples d'attaques cyber qui pourraient paralyser les collectivités, avec toutes les incidences que cela implique en terme d'accès aux services publiques qu'elles sont censées garantir. Le cas de la ville d'Atlanta qui a récemment été victime d'un rançongiciel en est la parfaite démonstration. L'ensemble des services de la ville ont été interrompus et au-delà de la somme réclamée par les pirates informatiques, la mise en conformité du système d'information a nécessité un investissement de 2.7 millions de Dollars. Des impacts financiers considérables, mais également une atteinte à l'image pour la ville et ses élus. Cyril Bras voit dans l'adoption du règlement l'occasion de mettre en place de bonnes pratiques et de ne plus attendre d'être confronté à un problème pour réagir.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Un article de David Legrand publié en avril 2018 sur le site Next Inpact¹, met aussi en évidence le retard des administrations françaises. Il parle même du laxisme de nombreux sites publics qui diffusent leurs vidéos via des plateformes d'hébergement telles que YouTube ou Dailymotion, comme le site des impôts, ou qui intègrent des liens Instagram et Facebook ( Service-public.fr, Hadopi, le site du CSA), qui sont loin de garantir un niveau de protection approprié en matière de collecte des données personnelles des usagers.

S'agissant des institutions et pouvoirs publiques qui sont censés montrer l'exemple, le propos d'Alexis Dupic (cf. Annexe) prend tout son sens, car effectivement « ce serait un comble qu'ils ne soient pas eux-mêmes en conformité avec ce qu'ils nous demandent ».

Cela nous permet d'aborder un dernier risque, qui réside dans la capacité de nos institutions, nationales et européennes à appliquer les dispositions prévues par le règlement. Stéphane Bergerat de CINETIC IT s'interrogeait sur la capacité des intervenants de la CNIL à pouvoir reconnaitre les données qui seraient strictement nécessaires pour un traitement, car cela nécessite une connaissance métier et les besoins diffèrents d'une organisation à l'autre.

L'application des sanctions est également source de questionnement pour Florian Debes², car un groupe américain contrevenant reconnu coupable par la justice européenne, pourrait simplement fermer ses comptes en Europe pour ne pas se conformer à la décision.

Cela reflète bien l'approche très européenne évoquée par Romain Ivoy d'EVOS Infogérance, qui consiste à « légiférer avant de faire ». Un travers mis en exergue dans l'éditorial de Jean-Marc Vottori³, qui reprend une boutade lancée par Emma Marcegaglia, à l'époque où elle dirigeait le patronat italien : « D'une innovation, les américains font un business, les chinois une copie et les européens une réglementation... ».

1 Collecte de données via les sites de l'État : avant les impôts, le précédent de l'Élysée - NEXT INPACT - David Legrand - 17/04/2018 - https://www.nextinpact.com/news/106478-collecte-donnees-via-sites-etat-avant-impots-precedent-lelysee.htm

2 L'Europe lance son big bag de la protection des données - Florian Dèbes - Les Echos High-Tech 25/05/2018

3 RGPD, un fort bel outil à double tranchant - Editorial de Jean-Marc Vottori - Les Echos 25/05/2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

La mise en place du RGPD

Pour la mise en oeuvre du RGPD, les entreprises peuvent s'appuyer sur une méthodologie structurée publiée par la CNIL⁴, qui leur permettra de préparer leur mise en conformité. Cette méthode repose sur 6 points que nous allons détailler et illustrer par les retours d'expérience que nous avons pu collecter au travers de notre revue littéraire et de l'enquête de terrain réalisée auprès de professionnels.

Méthode recommandée par la CNIL

4 RGPD, se préparer en 6 étapes - https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ETAPE 1 : Désigner un pilote

La CNIL rappelle que la désignation d'un DPO n'est obligatoire que dans certains cas, que nous avons détaillés en première partie, mais recommande fortement la désignation d'une personne en interne qui pourra s'assurer de la mise en conformité au règlement.

Ce référent sera le « chef d'orchestre de la conformité en matière de protection des données au sein de son organisme »⁵. Le DPO ou le référent qui aura été désigné sera chargé des missions suivantes :

- Informer et conseiller les responsables de traitement ou les sous-traitants, ainsi que

les employés ;

- Contrôler le respect du règlement et du droit national en matière de protection des données ;

- Conseiller l'organisme et vérifier la bonne exécution des études d'impact ;

- Coopérer avec l'autorité de contrôle et être leur interlocuteur ;

Il lui incombe de se tenir informé du contenu et de l'évolution des obligations imposées par le RGPD, de mettre en place des actions de sensibilisation, notamment à destination des décideurs quant aux impacts liés au règlement, de réaliser l'inventaire des traitements de données de l'organisme et de piloter la conformité dans le temps.

ETAPE 2 : Cartographier les traitement de données personnelles

Un recensement précis des traitements impliquant des données personnelles doit ensuite être réalisé, pour établir le registre des traitements qui sera exigé lors des contrôles et qu'il faudra ensuite réactualiser régulièrement.

Ce registre permet de référencer ces différents traitements, d'identifier les catégories de données personnelles traitées et de préciser les objectifs poursuivis par ces opérations. Les acteurs impliqués dans ces traitements doivent être clairement identifiés, qu'il s'agissent de salariés de l'organisation ou d'intervenants externes (sous-traitants), avec les clauses de confidentialité que cela suppose. Pour obtenir une cartographie, les flux entrants et sortants, permettant d'identifier la provenance et la destination de ces données, doivent bien entendu être spécifiés, à fortiori s'ils impliquent des transferts en dehors de l'Union Européenne.

La CNIL synthétise cette démarche par quelques questions simples que les organisations doivent se poser lorsqu'elles engagent leur recensement :

- Qui ? : Identification du ou des responsables du traitement, des responsables de services opérationnels et des sous-traitants impliqués.

- Quoi ? : Identification des catégories de données traitées, de leur niveau de sensibilité
et des risques soulevés.

- Pourquoi ? : Finalité de la collecte de ces données.

- Où ? : Lieu(x) d'hébergement ou de transfert de ces données

- Jusqu'à quand ? : Durée pendant laquelle chaque catégorie sera conservée.

- Comment ? : Mesures de sécurité adoptées pour les protéger, au regard des impacts

sur la vie privée des personnes concernées en cas d'un accès non autorisé.

5 Désigner un pilote - 29/03/2018 - cnil.fr - https://www.cnil.fr/fr/designer-un-pilote

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ETAPE 3 : Prioriser les actions à mener

En s'appuyant sur le registre des traitements, les organisations devront prioriser les actions à mener pour se conformer à leur nouvelles obligations. Cette priorisation dépendra d'une part de leur impact sur les droits et les libertés des personnes concernées et d'autre part de leur complexité. Au-delà de cette notion de risques, la CNIL conseille de traiter les actions les plus simples à réaliser, afin de progresser plus rapidement.

Quelque soient les traitements, l'organisation doit se montrer attentives aux aspects suivants :

- S'assurer que la collecte se limite aux données strictement nécessaires à la poursuite

de ses objectifs

- Identifier la base juridique sur laquelle ses traitements sont fondés (consentement des
personnes, intérêt légitime, contrat, obligation légale...).

- Envisager la révision de ses mentions d'information pour être conforme aux exigences règlementaires.

- Vérifier que les clauses contractuelles de ses sous-traitants soient adaptées au niveau de sécurité, de confidentialité et de protection des données qui leurs sont confiées, tout en s'assurant qu'ils soient conscients de leurs obligations et responsabilités.

- Prévoir les modalités d'exercice des nouveaux droits que les personnes sont susceptibles d'exercer : droit d'accès, de rectification ou d'effacement, retrait de consentement ou droit à la portabilité.

- S'assurer que les mesures de sécurité appropriées aient été mises en place.

Une vigilance particulière devra être accordée à certains types de traitements :

- Comportant des données sensibles concernant des mineurs, les opinions, les origines raciales ou ethniques, les orientations sexuelles, la santé, la génétique, la biométrie, ou encore les infractions et condamnations pénales.

- Ayant pour objet ou pour effet une surveillance systématique à grande échelle de lieux publiques, un profilage pouvant donner lieu à des décisions juridiques ou qui affecteraient significativement les individus considérés.

- Impliquant un transfert des données hors de l'Union Européenne, qui devra être encadré de manière contractuelle, ou par des accords internationaux, ou à défaut de garanties appropriées, faire l'objet d'une dérogation soumise à l'approbation des autorités de protection des données.

ETAPE 4 : Gérer les risques

Pour les traitements comportant un niveau de risque identifié comme élevé pour les droits et libertés des personnes concernées, une analyse d'impact sur la protection des données (PIA) doit obligatoirement être réalisée. Ce PIA est une analyse d'impact sur la vie privée qui s'appuie sur 2 points essentiels :

- Le respect « non négociable » des principes et droits fondamentaux fixés par le règlement.

- La mise en place de mesures techniques et organisationnelles appropriées pour protéger les données personnelles et la vie privée des personnes concernées.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

En plus du descriptif du traitement et de ses finalités, un PIA doit comporter une évaluation de sa nécessité et de sa proportionnalité, ainsi que des risques encourus par les personnes concernées.

Pour s'assurer de la conformité d'un traitement, le PIA devrait être réalisé avant sa mise en oeuvre, qu'il soit supposé engendrer un niveau de risque élevé ou non. Il s'agit d'un processus itératif, qui devra être réévalué régulièrement et en particulier en cas de modification des modalités du traitement.

Le G29 a défini 9 critères permettant d'évaluer la criticité d'un traitement et préconise vivement la réalisation d'un PIA lorsque le traitement en rencontre au moins 2.

Une analyse d'impact doit mobiliser les équipes métier de l'entreprise, le(s) sous-traitant(s), le responsable du traitement et le DPO, mais également solliciter l'avis des personnes concernées.

Pour accompagner les organisations dans la réalisation d'un PIA, la CNIL met à leur disposition une méthode et un catalogue de bonnes pratiques, ainsi qu'un logiciel permettant de formaliser cette analyse, qui sont accessibles et directement téléchargeables sur son site.

ETAPE 5 : Organiser les processus internes

La mise en place de procédures internes permet aux organisations de garantir le haut niveau de protection des données personnelles exigé par le RGPD, en tenant compte de l'ensemble des évènements qui pourront intervenir au cours de la vie du traitement (brèches de sécurités, demandes d'accès ou de rectification, modification du traitement, changement de prestataire...).

L'organisation de ces procédures porte sur différents points, notamment :

- Le privacy by design ou by défaut, soit la prise en compte de la protection des données personnelles dès la conception d'une application ou d'un traitement, sur la base des fondamentaux du RGPD.

- La sensibilisation des collaborateurs de l'entreprise, afin qu'ils puissent faire remonter
les informations au responsable du traitement et au DPO.

- La prise en compte des réclamations et des demandes formulées par les personnes concernées qui souhaiteront exercer leur droit.

- L'anticipation des mesures permettant d'informer les autorités et les personnes
concernées en cas de violation des données.

Concernant la notification de violation, en attendant qu'un téléservice en ligne soit opérationnel, la CNIL met à disposition un formulaire téléchargeable sur son site.

ETAPE 6 : Documenter la conformité

En cas d'inspection par l'autorité de contrôle, l'organisation doit pouvoir justifier de sa conformité. Il lui appartient donc de formaliser et de regrouper dans un dossier l'ensemble des dispositions mises en oeuvre dans le cadre du RGPD, à savoir :

- La documentation relative aux différents traitements de données personnelles (registres de traitement, analyses d'impact, encadrement des transferts de données hors Union Européenne).

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

- Les mentions d'information des personnes concernées (consentements, procédures leur permettant d'exercer leurs droits).

- Les contrats définissants les rôles et responsabilités (sous-traitants, preuve de
consentement, procédure de notification).

Mettre en pratique le RGPD

L'ensemble de ces dispositions étant relativement lourdes à apprécier pour les entreprises et en particulier pour les petites structures, la CNIL et BPIFRANCE Le Lab (Laboratoire de la Banque Publique d'Investissement) ont publié conjointement un « Guide pratique de sensibilisation au RGPD » à destination des PME et TPE. L'objectif est d'aider ces structures à s'approprier le règlement, en vulgarisant ses objectifs et ses conditions d'application.

Pour piloter la conformité, l'AMRAE⁶ préconise la nomination d'un chef de projet, qui ne sera pas forcément le DPO ou le CIL, mais un expert de la transformation capable de faire bouger le structure.

6 Rencontres du Risk Management AMRAE 2017 - Atelier A3 du 02/02/2017 - https://www.youtube.com/watch?v=OZwHgN-IHmM

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Ce chef de projet sera chargé d'organiser la mise en conformité de la manière suivante :

- Travailler au niveau du client : Processus, canaux de relation avec client.

- Travailler avec les RH sur les données salariés en leur possession.

- Concevoir les nouveaux services ou solutions pour la conformité du système d'information (intégrer privacy by design, privacy impact assessment), avec des mesures de chiffrement des données, d'anonymisation, de surveillance et sécurisation pour la DSI.

- Construire la filière du DPO (avec qui, comment...)

- Etablir un plan d'audit et de contrôle à intégrer au process interne

- Mettre en place des indicateurs (KPI) adaptés.

Les prestataires informatiques que nous avons pu interroger confirment que la conformité avec le RGPD est avant tout un sujet juridique et organisationnel. Certaines ESN (Entreprises du Secteur Numérique) ont pu voir dans le nouveau règlement l'occasion de proposer des services supplémentaires à leurs clients et ont engagé des démarches de sensibilisation ou de prospection, obtenant parfois de bons résultats. Mais tous nos interlocuteurs s'accordent à dire que l'informatique n'intervient qu'à la fin du processus, dans la mise en place de moyens adaptés à la criticité des traitements réalisés par les organisations.

S'agissant d'un sujet juridique, les organisations doivent en premier lieu se rapprocher d'un expert compétent sur le sujet, qui peut être leur conseil habituel ou d'un cabinet plus spécialisé.

C'est le cas d'OPTIMEX Data qui a accepté de nous rencontrer et de nous faire part de son expérience (cf. annexe 5). Alexis Dupic, créateur et co-dirigeant de l'entreprise, est issu d'une formation de juriste et s'est spécialisé dans la protection des données. Constatant qu'il n'existait pas sur la région de structure spécialisée dans conformité RGPD, il a décidé l'année dernière avec son associée de proposer des services d'accompagnement pour les organisations, au travers d'audits, de formations ou de prestations de DPO externalisé. Le changement majeur avec le RGPD est qu'il « renverse la charge de la preuve ». En cas d'incident ou de réclamation, l'organisme doit pouvoir démontrer « que ses traitements sont légitimes , que les moyens utilisés sont proportionnels, que les traitement sont sécurisés ».

C'est justement vers OPTIMEX Data que la société AIRRIA a choisi d'orienter ses clients et partenaires, ayant compris qu'un tel partenariat pourrait se révéler vertueux pour leurs deux structures. Céline Ambroise-Thomas, chargée du développement commercial et de la communication liée au RGPD (cf. Annexe), explique qu'ils ont préféré orienter les demandes vers un expert juridique, à même de les conseiller et de les accompagner. Cela leur a également permis d'organiser conjointement des réunions d'informations pertinentes, puis en fonction des besoins exprimés par les clients ou des recommandations d'OPTIMEX Data, d'intervenir sur leur coeur de métier pour adapter le niveau de service ou de moyens mis en oeuvre.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Nous avons ensuite eu l'opportunité d'interroger Guillaume Pourquié, DPO de Grenoble Ecole de Management (cf. annexe 3), qui a pu nous livrer un précieux témoignage sur l'exercice opérationnel de cette fonction.

La mise en place du RGPD au sein de l'école nécessite d'engager un travail de cartographie, qui concerne l'ensemble des entités pouvant adresser le système d'information, afin d'identifier ce qu'ils manipulent et comment ces informations sont sécurisées. Cela passe par une mission d'information et de sensibilisation des utilisateurs, pour s'assurer de leur coopération et leur « délivrer un minimum de bagage pour qu'ils puissent faire leur métier en conscience et en connaissance de cause ». C'est l'occasion de mettre en place les appuis nécessaires dans chaque service et entité, afin de référencer et documenter les traitements qu'ils réalisent.

En amont, il a pu compter sur la mobilisation et le répondant des services Juridique, Informatique et Qualité, ce qui est essentiel. Au niveau des utilisateurs, ils s'impliquent également volontiers, ce qui est en partie lié à la jeunesse et la philosophie de l'école, consciente qu'il en va de sa responsabilité sociétale. Il estime également avoir la chance de pouvoir échanger avec des interlocuteurs ouverts sur ces questions, en particulier avec certains enseignants, pour lesquels il est même amené à intervenir dans le cadre de cours liés au numérique.

Pour la tenue des registres de conformité et la documentation, il s'appuie sur les outils existants, qu'il utilisait déjà en tant que CIL et sur la trame Excel proposée par la CNIL. Mais il a déjà pu identifier des outils de gestion de projet adaptés au métier de DPO (Ricil, DPMS, DPO Consulting, Captain DPO...), qu'il compte sélectionner dans un second temps.

A ce stade, une cartographie générale a déjà pu être réalisée et un fichier partagé, permet un travail collaboratif avec les relais identifiés dans chaque entité, qui deviendront potentiellement les futurs responsables de traitement.

Selon lui, la partie la plus contraignante est la modification des bases de données existantes, lorsqu'il faut mettre en place la portabilité ou la suppression des données, qui n'est pas un processus anodin quand cela n'a pas été pris en compte lors de la conception : « Je travaille à identifier ce qui est de l'ordre de l'archivage ou de la donnée de conservation ».

Pour le moment, le nombre de DPO nommés est assez faible, mais il peut s'appuyer sur l'AFCDP (Association Française des Correspondants à la Protection des Données), ce qui lui permet d'échanger avec d'autres DPO et de participer à des ateliers ou conférences.

Pour Guillaume Pourquié ce qui a été mis en place est juste un point de départ, car « il est impossible d'être en conformité au 25/05 ». Il ajoute « qu'être en conformité ne veut malheureusement pas dire grand-chose, car le RGDP est un processus d'amélioration continu ». En l'état actuel, il se montre assez serein et précise qu'en cas de contrôle des autorités, il est à même de démontrer que GEM est vraiment impliqué pour maîtriser ce sujet et s'est doté des moyens qui permettront de le piloter.

Nous terminerons ce témoignage par une considération empreint de bon sens : « Le RGPD doit être une préoccupation quasi permanente pour tout le monde, mais ce n'est pas le fond du métier, qui consiste à dispenser des cours et de former des étudiants. Il faut donc un certain talent pour conjuguer les deux ».

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Du côté de Grenoble Alpes Métropole, la nomination de Cyril Bras au poste de RSSI (Responsable de la Sécurité du Système d'Information) est très récente. il est encore en phase d'audit pour répertorier les moyens mis en oeuvre en terme de sécurité et pendre les contacts nécessaires dans les différentes entités que compte la communauté de communes. Il n'a pas vocation à devenir DPO, la collectivité ayant décidé d'avoir recours à un prestataire, mais en attendant il travaille déjà en étroite collaboration avec celui de la ville de Grenoble.

En fonction des organisations et indépendamment des enjeux, il apparait que la mise en place du RGPD en soit encore à ses balbutiements.

« RDPG ready » ? L'état d'esprit des entreprises

La date fatidique du 25 mai étant échue, il semble que les entreprises aient été quelques peu rassurées par la position de la CNIL, qui même si elle fera certainement des exemples dans les mois qui viennent, elle se concentrera d'abord sur la bonne volonté que pourront démontrer les organisations et sur l'applications des dispositions qui devaient déjà être en place avant l'entrée en vigueur du RGPD.

Mais globalement, il apparait que la France est loin du compte et comme l'indiquait Romain Ivoy d'EVOS Infogérance (cf. Annexe 2), qui estimait que les entreprises feraient des efforts, mais n'allaient probablement pas « s'énerver plus que ça ».

En février 2017, une première étude réalisée par les entreprises SERDALAB et ARONDOR, publiée sur le site INfluencia⁷, donnait une tendance d'une niveau de maitrise du sujet par les organisations.

7 Protection des données : gros retard pour beaucoup d'organisations françaises - INfluencia - Florence Berthier - 26/04/2017 - http://www.influencia.net/fr/actualites/media-com,etudes,protection-donnees-gros-retard-pour-beaucoup-organisations-francaises,7364.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

A la même période, l'atelier A3 organisé par l'AMRAE⁸ fournissait, sur la base d'un rapport de SYMATEC, une vision plus générale de l'état d'esprit des entreprises françaises comparé au reste de l'Europe.

En préambule de son dossier thématique sur le RGPD et les données personnelles, le site leslivresblancs.fr⁹ nous apporte des éléments complémentaires émanant d'une étude menée par Senzing début 2018. Bien qu'elles aient eu 2 ans pour se préparer, 60 % des entreprises interrogées avouent qu'elle ne seraient pas prêtes pour l'application du RGPD et 40

% des grandes entreprises estimaient qu'elles ne le seraient pas totalement. Concernant
les risques financiers ou réputationnels encourus, les entreprises se révélaient également peu sensibilisés : 50 % des grands groupes les mesurent à leur juste valeur, contre 38 % des PME et seulement 29 % des TPE et microentreprises.

Un sondage plus récent réalisé par NetApp auprès de sociétés basées aux États-Unis, Royaume-Uni, France et Allemagne et employant plus de 100 employés, est évoqué dans un article du site Numerama¹⁰. Il ressort qu'en mars 2018, 67 % d'entre elles estiment qu'elles ne seraient pas prêtes pour le RGPD. L'article révèle par ailleurs que 35 % de ces sociétés

8 Rencontres du Risk Management AMRAE 2017 - Atelier A3 du 02/02/2017 - https://www.youtube.com/watch?v=OZwHgN-IHmM

9 RGPD : Les astuces pour être en conformité avec le règlement - Les livresblancs.fr https://www.leslivresblancs.fr/dossier/rgpd-les-astuces-pour-etre-en-conformite-avec-le-reglement

10 67 % des entreprises estiment ne pas être prêtes pour le RGPD - Numerama - Fleur Labrunie - 13 avril 2018 - https://www.numerama.com/business/345119-rgpd-approche-67-entreprises-reculent.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

s'inquiètent des répercussions économiques que pourraient occasionner leur non-conformité et que 51 % se préoccupent des retombées en terme de réputation.

Comme le soulignait l'étude du site INfluencia¹¹, il convient de s'interroger sur ce manque d'anticipation et de mobilisation de la part des organisations. L'enquête Deloitte publiée sur ce site nous donne quelques éléments de réponse :

- 29% estiment manquer d'information.

- 25% manquent de temps ou de ressources pour s'en occuper.

- 56% déplorent une méconnaissance des outils ou des compétences susceptibles de les accompagner sur le sujet.

Des chiffres qui, toujours selon cette étude, apparaissent assez logiques, dans la mesure où 50% des organisations n'avaient pas de CIL en interne, qui aurait pu les aider à s'approprier le sujet. Par ailleurs, seules 30% d'entre elles ont intégré un DPO et 27% seulement se disaient inquiètes des sanctions dont elles pourraient faire l'objet, faute d'être en conformité.

Pour Florence Berthier, cela traduit un manque de curiosité et une désinvolture surprenants, qui frise même l'absence de professionnalisme.

Cela reflète bien la difficulté des organisations à s'approprier le RGPD, leur manque d'accompagnement et plus globalement un problème de perception quant aux enjeux du règlement. Nous verrons dans le chapitre suivant, que ces enjeux vont bien au-delà du règlement et que les contraintes perçues par les organisations recèlent également de vraies opportunités qu'il leur appartient de saisir.

11 Protection des données : gros retard pour beaucoup d'organisations françaises - INfluencia - Florence Berthier - 26/04/2017 - http://www.influencia.net/fr/actualites/media-com,etudes,protection-donnees-gros-retard-pour-beaucoup-organisations-francaises,7364.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

DES CONTRAINTES QUI PEUVENT CACHER DES OPPORTUNITES ET D'AUTRES ENJEUX

Nous avons abordé dans le chapitre précédent, au travers des risques et impacts, ou de état d'esprit des entreprises vis-à-vis du RGPD, que ces nouvelles obligations sont surtout vécues comme des contraintes.

Compte tenu de la complexité du texte, son interprétation, sa transposition et ses répercutions nécessitent des compétences dont peu d'organisations disposent en interne.

Cela nécessite d'être accompagnés par des experts juridiques et la mobilisation de ressources internes (chef de projet ou référent, responsables de traitement), voire la création de nouveaux postes (DPO, fonctions support). Ces ressources devront être formés ou à minima sensibilisés sur les aspects légaux et pratiques, pour pouvoir assurer l'interface avec les conseils, les autorités de contrôle et toutes les personnes impliquées dans les traitements.

L'ensemble des contrats devront être réétudiés, avec les clients ou adhérents (conditions générales de vente, contrats de services, demandes de consentement), les fournisseurs (conformité, modifications de leurs propres contrats) et sous-traitants (responsabilités et obligations respectives), les salariés (contrat de travail, clauses de non divulgation, charte informatique)...

Comme l'indiquait Guillaume Pourquié, DPO de GEM (cf. Annexe 3), c'est bien l'ensemble des services de l'organisation qui devront être impliqués dans la durée, ce qui demande une réorganisation significative pour mettre en place et suivre les processus nécessaires.

En fonction des obligations et du niveau de sécurité nécessaire, la niveau de sécurité, les moyens techniques et le système d'information de l'entreprise devront être réévalués et potentiellement modifiés. Ce qui pourra occasionner des investissements ou la souscription de services supplémentaires : Matériels, logiciels et maintenance informatiques, assurances, embauche de nouveaux collaborateurs...

Le fait d'être limitées dans l'utilisation et la procession des données personnelles nécessaires à leur activité est également une réelle entrave au développement de l'activité des entreprises.

Cette liste qui est loin d'être exhaustive et a surtout un coût pour l'entreprise, avec des répercutions sur son organisation, compte tenu du temps qu'il faudra consacrer à cette mise en conformité, mais également des budgets qui devront être investis et qui n'ont souvent pas été anticipés.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Bien entendu, il faut ajouter les sanctions et amendes auxquelles s'expose l'organisation en cas de contrôle, si les autorités estiment qu'elle n'a respecté les dispositions requises par le règlement et qu'elle n'est donc pas en conformité.

Le fait de se voir limitées dans l'utilisation et la procession des données personnelles nécessaires à leur activité est aussi difficile à accepter et remet dans certain cas en cause leur business model et leur profitabilité.

La plupart des organisations ont donc le sentiment de subir le nouveau règlement et les contraintes auxquelles elles se trouvent confrontées ne leur permettent pas toujours de percevoir les bénéfices qu'elles pourraient en retirer.

Le RGPD, quelles opportunités pour les organisations ?

Les articles, livres blancs, réunions, séminaires, mooks , guides d'information et autres offres d'accompagnement en tous genres pullulent autour du nouveau règlement et nous avons vu qu'il peut être difficile de s'y retrouver pour les organisations. Elles ont certes besoin d'être informées, mais « trop d'information tue l'information » et ce tapage vire à la cacophonie.

Mais un point revient régulièrement dans toutes ces communications, c'est qu'en dépit de l'aspect obligatoire et de la peur du gendarme, le RGPD présente aussi des opportunités pour les organisations. Tout le monde s'accorde à dire, y compris les autorités de contrôle, que l'appropriation du règlement nécessite de faire preuve de pédagogie. Mais nous sommes en droit de nous demander si cela ne tourne pas à la démagogie, pour faire « passer la pilule »...

Comme nous l'évoquions avec Céline Ambroise-Thomas d'AIRRIA (cf. Annexe 4), il semble que ce brouhaha autour du RGPD se soit quelque peu apaisé, ce qui permet à chacun de reprendre ses esprits. Les chiffres sont là, la plupart des organisations sont loin d'être en conformité et le sentiment de contrainte reste assez persistant. Il semble donc nécessaire d'étudier plus en détail les fameuses opportunités que l'on nous fait miroiter et de vérifier quels bénéfices les organisations pourraient effectivement en retirer.

Une question d'état d'esprit

Romain Ivoy d'EVOS Infogérance (cf. Annexe 2) assimile le RGPD à une procédure qualité. Elle entraine évidement des contraintes, mais selon lui « la vraie question, c'est comment l'utiliser à des fins pertinentes dans l'entreprise. Est-ce qu'on le fait juste pour être certifié, ou est-ce qu'on essaie d'améliorer nos process. Pour moi, cela doit être abordé sous forme de valeur ajoutée. Nous l'utilisons nous aussi au travers de nos clients, pour valoriser nos prestations ». En tant que prestataire informatique, il souligne que le niveau de qualité ainsi

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

obtenu pourra ensuite être valorisé par les clients dans leur propre activité et constituer une avantage concurrentiel différentiateur.

Alexis Dupic d'OPTIMEX Data (cf. Annexe 5) constate aussi que beaucoup d'entreprises qui lui font appel voient dans le RGPD une occasion d'améliorer leurs processus et la sécurité, de faire le tri dans leurs fichiers et de gagner en rentabilité, avec une meilleure cohésion entre équipes en prime.

Mounir Mahjoubi, le secrétaire d'Etat en charge du numérique a rappelé lors de la conférence Big Data Paris¹² que le RGPD devrait d'avantage être pris comme une opportunité pour les PME que comme une contrainte. « L'Opportunité de faire preuve de transparence, de cartographier et de valoriser ses données, pour mettre en place une stratégie structurée autour des données , en concevant des offres qui tireront profit des informations collectées ». Il ajoute qu'elles pourront être fières d'arborer et de revendiquer un label RGPD, « garant de leur engagement client pour un service augmenté mais adapté à leurs attentes et par lequel sera établi une relation de confiance ».

Au travers de ces quelques témoignages, nous constatons que des opportunités existent et qu'il s'agit souvent de faire preuve de bon sens. Comme l'évoque Olivier Martineau de la société SPREAD dans une de ses vidéos pédagogiques sur le RGPD¹³, il s'agit bien d'une question d'état d'esprit et de « voir son verre à moitié plein ».

Nous nous proposons donc de regrouper par thèmes, les différents bénéfices que les organisations pourront retirer de leur mise en conformité au RGPD.

Améliorer la relation client

Un des aspects qui revient le plus fréquemment avec la mise en oeuvre du RGPD, c'est l'image des organisations et la confiance qui leur sera accordée par les consommateurs. Le fait de se montrer plus transparent sur ce qui est fait de leurs données personnelles est désormais au coeur de leurs préoccupations. C'est justement le propos du règlement et il est important que les organisations ne l'oublient pas.

Pour Loïc LEYMARIE, Cybersecurity Senior Manager de la société ADEO, intervenant lors de l'atelier A3 de l'AMRAE¹⁴, cette compliance au RGPD, dans la gestion des données clients et dans le respect des leurs attentes, permet de rassurer les consommateurs. Une transformation numérique est en cours, avec un parcours client qui doit se baser sur la confiance. Une telle démarche permettra de les fidéliser et d'en attirer de nouveaux, voir même de recruter de nouveaux collaborateurs.

12 Le RGPD est une opportunité pour les PME françaises - Cyrille CHAUSSON - lemagit.fr - 12/03/2018

https://www.lemagit.fr/actualites/252436671/Mounir-Majouhbi-le-RGPD-est-une-opportunite-pour-les-PME-en-France

13 RGPD épisode 2 : la cartographie des données - SREAD - 27/11/17 - Olivier MARTINEAU https://www.youtube.com/watch?v=quvAZSuigGE&list=PLuQRA2ya9-BluC6w8rsfd2U9ykxixwp&index=2

14 Rencontres du Risk Management AMRAE 2017 - Atelier A3 du 02/02/2017 - https://www.youtube.com/watch?v=OZwHgN-IHmM

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Une étude réalisée par SYMANTEC confirme que la conformité des données devient un point déterminant dans le choix des consommateurs.

L'AMRAE¹⁵ ajoute qu'engager une communication client est aussi l'occasion de leur rappeler que, dans la majorité des cas, les données personnelles utilisées sont nécessaires pour exercer le contrat qu'ils ont souscrit et qu'il est normal que l'organisation les ait collectées.

Olivier Martineau de SPREAD¹⁶ évoque une occasion d'apporter de la transparence dans la relation et d'engager ses clients de manière plus forte, « de leur dire ce qu'on va faire et de faire ce qu'on a dit ».

Guillaume Pourquié de GEM (cf. Annexe 3) estime « dans l'histoire du RGPD, il arrivera un temps où l'on identifiera les entreprises véritablement labelisées, avec des traitements qui le justifient, qui se détacheront des autres car elles l'auront intégré dans leur démarche ». Alexis Dupic (cf. Annexe 5) ajoute sur ce point que les marchés publics vont aussi devenir plus exigeants et demanderont un certain niveau de conformité aux entreprises désirant répondre aux appels d'offres.

15 Rencontres du Risk Management AMRAE 2018 - Atelier B2 - Comment mettre en place le RGPD - 08/02/2018 - https://www.youtube.com/watch?v=jkM2LJ6tzAA

16 RGPD épisode 3 : Grosse galère ou réelle opportunité d'engager ses clients ? SPEAD - 12/12/17 - O. MARTINEAU https://www.youtube.com/watch?v=1A7PQzgVttY&index=3&list=PLuQRA2ya9-BluC6w8rsfd2U9ykxixwp

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

L'adoption du RGPD permet aussi de trouver de nouveaux leviers marketing pour dynamiser la relation client. C'est ce que défend Guillaume Pourquié, qui estime qu'il s'agit de trouver des arguments qui permettront de réengager les clients et de leur demander leur consentement. L'obtention de ce consentement doit être porté par une volonté de faire du business avec eux, de leur proposer de nouveaux services. Il serait effectivement peu pertinent de solliciter les individus uniquement pour leur demander leur consentement, ou simplement pour mettre à jour les informations les concernant. Il définit cette approche comme « le cercle vertueux de la relation client ».

Adopter de bonnes pratiques

L'objet du RGPD reflète notamment une volonté d'endiguer les dérives liées à une utilisation massive du numérique, avec une utilisation déraisonnée des informations collectées et des problèmes liés à leur sécurité. Cette nouvelle législation est donc l'occasion de définir des normes, comme le souligne Romain Ivoy d'EVOS Infogérance (cf. Annexe 2).

Céline Ambroise-Thomas d'AIRRIA a pour sa part hâte que la réglementation prenne de la maturité, car elle permettra de mettre en place de bonnes pratiques auprès des utilisateurs (cf. Annexe 4). La sensibilisation du personnel fait aussi parti des chantiers que Cyrile Bras de Grenoble Alpes Métropole souhaite mettre en place, indiquant que même si cela réclame un investissement au départ, « il faut le ramener à ce que coûterai un incident lié à une mauvaise utilisation » (cf. Annexe 1). Dans cette optique, L'AMRAE¹ préconise le recours au e-learning, pour sensibiliser et former les salariés.

Guillaume Pourquié s'en félicite également, « c'est un retour au bon sens et à une maîtrise que l'on avait perdue ». Le RGPD va permettre aux organisations de redevenir professionnelles, de rationnaliser les pratiques, « de ne plus collecter pour collecter, ni de trop collecter, mais de collecter pour rendre un service ». Il rappelle que le règlement impose de ne pas stocker des informations erronées ou inutiles et voit dans le RGPD l'occasion de rafraîchir les bases de données et de demander aux individus s'ils souhaitent poursuivre leur relation. Dans le cas contraire, leur suppression permettra « de ne plus s'embarrasser avec des gens avec lesquels on a pas lieu d'être en contact. S'ils n'ont pas vocation à faire quelque chose avec nous, ce n'est pas la peine de les garder » (cf. Annexe 3).

S'agissant des bases marketing, Olivier Martineau de SPREAD¹⁷, ajoute que cela s'inscrit dans une démarche qualitative, car même si l'entreprise va perdre une partie de ses contacts, « c'est une part de notre cible qui n'aurait pas été intéressés ».

Améliorer la communication interne

La mise en conformité exigeant une synergie entre les différents services des organisations, il devient nécessaire de mettre en place des processus impliquant d'avantage de communication interne.

17 RGPD Episode 4 : Que faire de vos bases marketing ? - SPREAD - 15/03/2018 - Olivier MARTINEAU https://www.youtube.com/watch?v=9wCFgd9uUHg

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Etant déjà impliqué en tant que CIL de Grenoble Ecole de Management, Guillaume Pourquié a pu constater que sa nouvelle fonction de DPO l'amène à intervenir de manière plus systématique et proactive auprès de chaque entité. Il s'agit de mettre en place un processus collaboratif, avec une dimension pédagogique concernant le règlement et les outils de partage qui devront être documentés et mis à jour. Cette approche requière une certaine subtilité, puisqu'il ne faut pas que ses interlocuteurs « perçoivent la démarche uniquement comme une contrainte et qu'ils ne soient pas entravés pour faire leur métier ». A son sens, cela constitue un vrai challenge, impliquant des aspects réglementaires, de l'amélioration continue, de la créativité et de l'innovation, « mais quand les choses auront avancé, ce sera très gratifiant » (cf. Annexe 3).

Pour Loïc LEYMARIE d'ADEO¹⁸, la ré-implication des fonctions support de l'entreprise est également une bonne chose, « car le RGPD doit devenir un basic métier pour toute l'entreprise ».

Sur ce sujet, Alexis Dupic estime que « le règlement est empreint de bon sens, car il nécessite une certaine mobilisation et une cohérence entre les services » (cf. Annexe 5).

Un avis partagé par Céline Ambroise-Thomas d'AIRRIA, qui voit elle aussi l'opportunité d'améliorer la communication entre les différents service de l'entreprise, qui ne sont pas toujours informés de ce que fait l'un ou l'autre. Elle ajoute, « maintenant, le DPO va être au coeur de l'organisation, des actions, garant des bonnes pratiques et il va falloir le tenir informé » (cf. Annexe 4).

Assainir et rééquilibrer le marché

Nous avons bien compris que le RGPD a une portée internationale, avec en ligne de mire les géants du numérique, GAFAM et BATX en tête. Sa mise en place devrait non seulement limiter la collecte intempestive des données personnelles de leurs utilisateurs, mais également instaurer un certain équilibre entre les acteurs du digital. C'est la thèse défendue par Jean-Baptiste Rudelles, Président et fondateur de CRITEO, dans une article publié dans Les Echos¹⁹. Il va même plus loin en préconisant la mise en place d'un consentement universel qui serait applicable sur l'ensemble des sites consultés par les internautes, à l'instar de ce que prévoit le règlement e-Privacy, si toutefois il est adopté. Cela permettrait de limiter la position dominante des géants, en mettant les petit sites indépendants sur un pied d'égalité.

Toujours dans Les Echos²⁰, Florian Dèbes souligne cette « ambition de favoriser l'émergence d'une innovation respectueuse de la vie privée au vu des standards européens ».

A l'échelle européenne, Alexis Dupic d'OPTIMEX Data (cf. Annexe 5) estime que le RGPD est plus qu'une simple directive, car chaque pays membre va devoir appliquer le même cadre, ce qui sera plus équitable pour les entreprises.

18 Rencontres du Risk Management AMRAE 2017 - Atelier A3 du 02/02/2017 - https://www.youtube.com/watch?v=OZwHgN-IHmM

19 Données personnelles : l'Europe ne doit pas se tromper de guerre - Jean-Baptiste Rudelle - Les Echos 15/01/2018

20 L'Europe lance son big bag de la protection des données - Florian Dèbes - Les Echos High-Tech - 25/05/2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Avis que partage Romain Ivoy d'EVOS Infogérance (cf. Annexe 2), en rappelant que le règlement a aussi vocation à créer un levier de compétitivité pour les entreprises européennes. Il ajoute qu'à son niveau, la règlementation a aussi le mérite d'assainir leur marché, en éliminant un certain nombre d'acteurs, qui n'ont pas forcément de bonnes pratiques, ou de leur créer des difficultés.

Créer de nouveaux modèles économiques et de nouveaux métiers

Comme l'indiquait l'étude SYMANTEC citée précédemment, il apparait que la protection des données est devenue la priorité pour 88% des consommateurs, lorsqu'il s'agit de choisir une entreprise.

Comme l'évoquait Romain Ivoy d'EVOS Infogérance (cf. Annexe 2), il semblerait que le bruit fait autour du RGPD puisse se révéler plus efficace que le règlement lui-même.

Cela ouvre la voie vers une approche plus responsable et des business model orientés vers un développement numérique durable.

C'est le point de vue d'Eric Léandri et Guillaume Champeau, respectivement fondateur et directeur juridique de Qwant, dans un article publié par Les Echos²¹. Et pour cause, c'est précisément sur le positionnement revendiqué par le moteur de recherche français, qui prône le respect de la vie privée des internautes en ne conservant pas leurs historiques. Selon eux, on ne pourra plus continuer cette quête effrénée pour avoir toujours plus de données que la concurrence. Ils se félicitent que les pouvoirs publics et les consommateurs aient compris que cette exploitation déraisonnée des données personnelles donnait lieu à un phénomène de pollution sociale. Grâce au RGPD, les entreprises européennes ont l'opportunité « de s'inscrire dans une démarche d'écologie numérique, basée sur une approche éthique sincère et de regagner la confiance des consommateurs ».

Invitée de l'émission C'dans l'Air « Données personnelles, le grand hold-up »¹, Christine KERDELLANT, journaliste Directrice de la rédaction de L'Usine nouvelle et L'Usine digitale, évoque également la start-up française SNIPS qui a développé un assistant vocal embarqué, à l'image de SIRI d'Apple , qui intègre la notion de privacy by design et ne collecte aucune information personnelle.

Alexis Dupic estime lui aussi, que ce changement de paradigme va donner naissance à un nouveau type de business, à l'instar de celui de LinkedIn, qui s'est engagé à ne pas revendre les données personnelles de ses utilisateurs : « Ils ont saisi le RGPD comme une opportunité de renforcer la confiance client en mettant en avant leur politique de confidentialité. Contrairement à Google, ils ne sont pas rémunérés sur les données, préférant le faire sur les post sponsorisés, ou les comptes Premium et autres fonctionnalités additionnelles. Je crois à un nouveau business modèle qui proposerait des services respectueux des données. Je trouve que c'est un bon compromis par rapport à ce qui se passe actuellement » (cf. Annexe 5).

Le cas de la société OPTIMEX Data démontre que le RGPD a également permis le développement de nouveaux métiers, comme il l'indiquait lors de notre échange : « Je n'ai pas

21 Les données personnelles ne sont ni à prendre ni à vendre - Le Point de vue de Eric Léandri (fondateur Qwant) et Guillaume Champeau (dir juridique QWANT) - Les Echos 23/03/18

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

trop de vision sur l'avenir, car c'est trop tôt, mais nous sommes en train de créer un métier ». Lorsqu'il a décidé de créer la société, cette activité n'existait pas en dehors de quelques entreprise en région parisienne. « c'était surtout traité par des avocats, plus sur la partie conseil juridique : rédaction d'actes et contrats, qui ne sont pas des choses sur lesquels nous intervenons. On fait de la mise en oeuvre opérationnelle » (Cf. Annexe 5). Son rôle de conseil est une vraie valeur ajoutée pour les entreprises dans l'interprétation du règlement pour le transformer en actions concrètes. A terme, ils pourront mener des audits pour certifier la conformité des organismes, ce qui laisse entrevoir une certaine pérennité dans leur activité, dans laquelle ils ne sont désormais plus les seuls, car de nombreuses structures ont-elles aussi senti le potentiel de ce nouveau marché, tel que Bureau VERITAS qui propose des formations de DPO et devrait à terme devenir un organisme certificateur.

Le métier de DPO est aussi en train de se développer, que ce soit dans le cadre de prestations de services, de missions en freelance, ou de créations d'emplois dans les entreprises. D'autant que, comme le souligne Guillaume Pourquié de GEM, les DPO devront être formés tout au long de leur carrière : « Il y a donc un business pour les écoles de management et j'en parle d'ailleurs en interne » (Cf. Annexe 3).

Capitaliser sur les acteurs européens

Le retard de l'Europe en matière de numérique est une évidence, c'est en filagramme l'un des enjeux du RGPD, qui, au-delà des dérives constatées dans la collecte des données personnelles de ses citoyens et de l'atteinte à leurs libertés individuelles, traduit la volonté des états membres de contrer la suprématie des géants du digital.

Gilles Babinet, entrepreneur et Représentant de la France pour le numérique auprès de la Commission européenne, également invité de l'émission C'dans l'Air du 21 avril dernier²², rappelle que l'Europe a raté ce virage vis-à-vis de sa réglementation et n'a pas l'équivalent de ces géants. Dans les années 2000, l'Europe était pourtant leader dans le domaine du télécom, avec des entreprises telles que NOKIA, SIEMENS ou ERIKSON, mais les GAFAM aux Etats Unis (Google, Amazone, Facebook, Apple et Microsoft), les BATX en Chine (Baidu, Alibaba, Tencent et Xiaomi) ou encore les NATU (Netflix, Airbnb, Tesla, Uber) ont pris le dessus sur le numérique.

L'Europe dispose pourtant du capital humain, poursuit Gilles Babinet, mais faute de politiques publiques harmonisées, il est logique qu'elle soit en retard.

Romain Ivoy d'EVOS Infogérance fait le même constat, en précisant que les compétences existent « sur des domaines pointus et techniques du traitement des données, avec des mathématiciens et de hautes compétences universitaires ». (Cf. Annexe 2)

Selon Guillaume Pourquié de GEM, l'Europe « n'a jamais eu la notion du business que cela représenterai. On n'a pas voulu soutenir les entreprises qui à un moment pouvaient le faire, les américains nous rachètent très facilement ». Il évoque le cas du site Dailymotion qui à la base était une chaine française. Mais il se dit convaincu que l'Europe a encore beaucoup de choses à

22 C dans l'Air - Données personnelles : Le grand hold-up ? - France 5 - 21/04/2018 https://www.youtube.com/watch?v=UGEXJb5nzEQ

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

proposer dans le domaine du numérique, mais que jusqu'ici elle ne disposait pas d'une règlementation qui permettait aux entreprises de se s'imposer. (cf. Annexe 3)

Cyril Bras de Grenoble Alpes Métropole, estime aussi que l'Europe a vendu tous ses fleurons à l'international, tels que l'entreprise slovaque ESET, éditeur d'antivirus, ou encore l'entreprise VUPEN, avec un outil d'analyse de données développé par des chercheurs montpelliérains, vendu à la NSA. Il déplore que la finalité de ces start-up innovantes consiste à être rachetées par une multinationale. Il ajoute qu'il faudrait « avoir une réflexion globale à l'échelle européenne et dire stop ». (cf. Annexe 1)

Jean-Marc Vottori²³ soutient quant à lui que cette situation est liée à notre histoire et à notre culture, mais ajoute que « pour une fois nous sommes en avance par rapport aux Etats Unis et à l'Asie en matière de protection de notre vie privée ». Il poursuit en citant Michael Porter, gourou du management, qui expliquait qu'une bonne réglementation « constitue une composante majeure de la compétitivité d'un pays ou d'une région. Si elle balise efficacement un terrain du futur, elle pousse les entreprises locales à adopter de bonnes pratiques avant leurs concurrents venus d'ailleurs ».

Alexis Dupic d'OPTIMEX Data, comme Guillaume Pourquié de GEM espèrent qu'à terme l'équivalent d'un GAFAM européen verra le jour.

Pour reprendre Gilles Babinet dans l'émission C' dans l'Air²⁴, c'est une opportunité de reprendre la main dans ce domaine stratégique : « le pétrole du 21^ème siècle ».

23 RGPD, un fort bel outil à double tranchant - Editorial de Jean-Marc Vottori - Les Echos 25/05/2018

24 C dans l'Air - Données personnelles : Le grand hold-up ? - France 5 - 21/04/2018 https://www.youtube.com/watch?v=UGEXJb5nzEQ

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Une dimension sociétale

Nous avons constaté qu'au-delà de la protection des données personnelles des citoyens européens et de ses conséquences sur les organisations, le RGPD peut aussi présenter de vraies opportunités pour celles qui sauront s'en saisir et le tourner à leur avantage. Mais la véritable portée de ce nouveau règlement ne réside-t-il pas également dans sa capacité à mettre en évidence la mutation de nos sociétés qui se sont fortement digitalisées et dans lesquelles la place de ces données est devenue prépondérante ?

Le monde a subi une véritable transformation digitale, nécessitant une certaine capacité d'adaptation, qui diffère selon les pays, les cultures ou leur niveau de développement. L'Europe est en train de mener sa « DT » pour Digital Transformation » ou « DX » pour Digital eXpension, comme l'indique Laurent Heslault, Director Security Stratégiste chez SYMANTEC, lors de l'Atelier A3 organisé par l'AMRAE²⁵ en février 2017, et se confronte à de nouveaux enjeux.

De multiples dérives

L'abondance des canaux de collecte

La maîtrise et l'utilisation des données constitue désormais un enjeu majeur pour ceux qui les possèdent et l'exposition des individus est d'autant plus importante avec le développement des nouveaux moyens de collecte.

Notre capacité de traitement s'est également vu largement renforcée par l'évolution des technologies, ce que prédisait déjà le mathématicien John von Neumann dès les années 50, évoqué par Gilles Babinet dans un ouvrage intitulé « L'ère numérique, un nouvel âge pour l'humanité »²⁶. Selon le mathématicien, les machines finiraient par devenir si puissantes qu'elles finiraient par influencer le cours de l'humanité, sans retour possible. Cette thèse se voit étayée par l'entrepreneur et philosophe Ray Kursweil dans les années 80, qui précisait que si la loi de Moore se vérifiait, selon laquelle la puissance des ordinateurs serait multipliée par 2 tous les 18 mois, la puissance de ces machines pourrait augmenter jusqu'à l'infini.

Comme le rappelle Camille Bolzan dans Le Nouvel Economiste²⁷, déjà citée précédemment, entre l'accès à internet facilité par des interfaces utilisateurs multiples tels que nos ordinateurs, tablettes ou smartphones, les sites qui tracent l'activité des internautes, la démocratisation des nouveaux objets connectés qui remontent des données sur le Cloud, l'usage des réseaux sociaux, des blogs internet, de plateformes en ligne, ou encore l'explosion massive de la communication par voies électroniques, les sources de données sont partout et il

25 Rencontres du Risk Management AMRAE 2017 - Atelier A3 du 02/02/2017 - https://www.youtube.com/watch?v=OZwHgN-IHmM

26 Extraits de L'ère numérique, un nouvel âge pour l'humanité - Gilles Babinet Editions Le Passeur 2014 - page 2 - GQ Magazine 2017 - https://www.gqmagazine.fr/uploads/freepages/Ere-numerique.pdf

27 Big data : comment passer de la donnée à l'information - Le nouvel économiste.fr - 30/05/2013 - Camille BOLZAN - https://www.lenouveleconomiste.fr/lesdossiers/big-data-comment-passer-de-la-donnee-a-linformation/

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

suffit de se servir pour récolter ces précieuses informations. Selon Laurent Heslault¹, aujourd'hui « on connecte tout et à peu près n'importe comment ».

Le volume d'informations généré est devenu colossal, nous rendant cyberdépendants et d'autant plus sensibles aux cyber incidents.

Des problèmes de sécurité et d'utilisation des données

L'exposition de ces données et la sécurité numérique sont devenu des sujets de plus en plus présents, mis en lumière de nombreux scandales. Nous pensons forcément à l'aspiration des données de millions d'utilisateurs du réseau social Facebook et de leurs contacts par l'entreprise Cambridge Analytica en 2013, ou, toujours en 2013, aux révélations d'Edward Snowden, ancien informaticien de la NSA, sur les fichiers détenus par le gouvernement américain. Les cas de piratages ou de rançon logiciels se multiplient et défrayent également la chronique. Ces dérives ont immanquablement été évoquées dans la plupart de nos lectures et par les interlocuteurs rencontrés dans le cadre de nos recherches.

Les applications internet, même les plus inoffensives, peuvent elles aussi présenter des problème de sécurisation inadmissibles, comme le révèle un article de Perrine Signoret publié par Le Monde le 18 avril dernier²⁸. Des chercheurs en science informatique américains et canadiens ont découvert que des milliers d'applications Android destinées aux enfants , disponibles en téléchargement sur GooglePlay, comportent des outils de traçage. Elles récoltent impunément des coordonnées, adresses IMEI (identifiants des appareils mobiles) ou des données de géolocalisation. Ces informations sont ensuite revendues à des fins publicitaires, sans que l'utilisateur en soit informé et alors même que les conditions d'utilisation spécifient qu'elles ne seront pas diffusées.

De manière générale, les informations personnelles alimentent un vrai marché, sur lequel elles peuvent être revendues instantanément. L'émission C' Dans L'Air du 24 avril 2018²⁹ fait référence à ce système de mise aux enchères auprès des annonceurs susceptibles d'être intéressés par ces profils, avec des transactions de l'ordre du quart de seconde. Guillaume Pourquié, DPO de Grenoble Ecole de management, évoque la valeur que peut représenter un simple numéro de téléphone mobile, qui se revend désormais quasiment plus cher qu'un numéro de carte de crédit, puisqu'il s'avère plus utile en terme d'usurpation d'identité (cf. Annexe 3).

La sécurisation des objets connectés, ou IoT (Internet of Things), est aussi préoccupante, car leur niveau de sécurité apparait des plus aléatoire, lorsqu'il n'est pas inexistant. Un article publié sur le site internetprotection.fr³⁰ nous donne la mesure de la situation, rappelant que ces objets sont essentiellement conçu par des fabricants de matériels qui n'ont aucune culture de la sécurité ou de la mise à jour des applications qu'ils embarquent. Frédéric Donck, président de l'ISOC Europe (Association Internet Society), interrogé dans cet article, estime que la sécurité est resté au second plan, car considérée comme négligeable par ces fabricants, avant tout

28 Des applications accusées de ne pas suffisamment protéger les données des enfants - Le Monde - Perrine Signoret - 18/04/2018

29 C' dans l'Air - Données personnelles : Le grand hold-up ? - France 5 - 21/04/2018 https://www.youtube.com/watch?v=UGEXJb5nzEQ

30 Le long chemin pour sécuriser les objets connectés - INFO PROTECTION - 18/04/18 - http://www.infoprotection.fr/?IdNode=2511&Zoom=bf5dba8ffeaa7af1d0db880b64374135&xtor=

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

séduits par l'opportunité de suivre le comportement des clients et d'optimiser la maintenance ou la consommation d'énergie de leurs produits. Ils ont donc un gros retard sur ce sujet et le témoignage de Céline Ambroise-Thomas d'AIRRIA en atteste, puisque l'arrivée du RGPD n'a suscité aucune communication particulière de leur part ou de celle de leurs distributeurs (cf. Annexe 4). L'article nous interpelle pourtant sur le niveau de risque qu'ils représentent, car ils constituent une « porte ouverte » sur les réseaux pour les cyberpirates, tant le niveau de protection de ces objets est faible. La délinquance se spécialise et peut compter sur des moyens techniques très accessibles, avec l'utilisation de simples brouilleurs à 30 euros ou les nombreux tutoriels publiés sur internet.

S'agissant de la cybercriminalité, le colonel Éric Freyssinet, chef de la mission numérique crée en mai 2017 par la Gendarmerie Nationale, également interviewé dans l'article d' internetprotection.fr, nous donne quelques chiffres pour illustrer l'ampleur de la menace cyber en France. Leur cellule traite environ 5 500 dossiers par mois, soit +26% par rapport à 2016, pour un préjudice évalué à 150 millions d'euros par an. Il constate qu'avec le nombre croissant de citoyens et professionnels connectés, la surface d'attaque a considérablement augmenté et que les pirates se sont professionnalisés. Ils exploitent les moindre failles numériques pour introduire des cryptovirus et extorquer le paiement d'une rançon aux utilisateurs, qui n'ont d'autre choix que de s'exécuter pour espérer pouvoir accéder de nouveau à leurs données. Partant du principe que les victimes ne portent pas forcément plainte, le préjudice serait selon lui plutôt de l'ordre de 750 millions d'euros par an.

Des problèmes de comportement

Si les moyens de collecte et les acteurs qui utilisent ces données peuvent être incriminés, il ne faut pas oublier qui fournit ces précieuses informations. Les plateformes en déduisent des habitudes de consommation et des profils, mais n'inventent pas la matière première, qui est bien diffusée par les utilisateurs eux-mêmes. Certes ils n'en sont pas toujours conscients et les méthodes de recueil ne sont pas toujours évidentes à appréhender ou déontologiques, mais ils en sont bien à l'origine.

Les bonnes pratiques liées à l'utilisation des outils numériques sont effectivement assez mal maîtrisées par les personnels et les organisations. Cyril Bras de Grenoble Alpes Métropole estime qu'il s'agit là d'un chantier énorme en terme sensibilisation des individus aux risques cyber, que ce soit dans la protection de leurs ordinateurs ou du chiffrage des données qu'ils contiennent (Cf. Annexe 1). Il constate que leur niveau de responsabilisation est également assez aléatoire, beaucoup ayant tendance à sous-estimer le risque, pensant que « ce qu'ils font n'intéresse personne », y compris dans le secteur de la recherche. Il rappelle que 80% des incidents proviennent des utilisateurs. Il déplore une vision en silo, dans laquelle chacun fait son travail dans son coin, sans avoir de vision d'ensemble. Tous comprennent bien qu'une machine peut être dérobée, mais les utilisateurs ont peu conscience que c'est aussi ce qu'elle contient qui peut être convoité par les criminels.

En tant que prestataire informatique, Romain Ivoy d'EVOS Infogérance est lui aussi très loquace sur ce sujet (cf. Annexe 2), évoquant un réel manque d'éducation au numérique et des dérives plus pernicieuses de la part des utilisateurs.

Il évoque en premier lieu une responsabilité parentale et le fait que les enfants doivent être accompagnés dans l'utilisation du numérique. Laisser de jeunes enfants utiliser sans surveillance un tablette connectée à internet revient à ne pas assumer son rôle de parent. C'est

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

un peu le même problème qu'avec la télévision, qui a le mérite de les occuper pour pouvoir vaquer à d'autres occupations, mais qui peut amener l'enfant à regarder des contenus inappropriés ou dans le cas du numérique à effectuer des manipulations inconsidérées.

Il réfute par ailleurs une croyance collective selon laquelle les nouvelles générations nées avec le numérique seraient mieux à même de maitriser ces outils. Certes ces jeunes utilisateurs s'en servent massivement, mais pour la grande majorité « ils ne sont pas plus éclairés sur le sujet que leurs parents. Ils ne savent ni comment ça fonctionne, ni comment se dépanner eux-mêmes, ni si leurs données sont exposées, par contre ils sont usagers et dépendants ». Il argumente en ajoutant que si cette théorie était valable, étant tous nés avec l'automobile, nous devrions donc tous maîtriser le fonctionnement de la mécanique !

Il note ensuite l'apparition d'autres dérives modernes, avec la propagation de ce que nous appelions autrefois des rumeurs, qui se voient amplifiées au travers des réseaux sociaux, pouvant aller jusqu'à contaminer les médias. On parle désormais de « fake news », qui font régulièrement la une, le fameux « buzz », pour être ensuite démenties, mais qui auront entre temps influencé les opinions. Il souligne le danger que cela représente pour les démocraties, auquel il faut ajouter d'autres phénomènes comme la discrimination, le « bashing » ou la diffamation. Ces délits sont certes encadrés par le code civil et les victimes ont des recours, mais le préjudice est à la hauteur du niveau de diffusion. Il devient difficile d'obtenir réparation, car sur le plan psychologique ou en terme de réputation, le mal est fait et dans des proportions considérables.

Romain Ivoy soulève enfin un problème fondamental dans la préhension des outils informatiques au sein des entreprises. Beaucoup d'utilisateurs se sont vu équipés d'applications avec lesquelles ils ont tendance à exercer des activités qu'il qualifie de « manuelles ». Ils ne se rendent pas compte qu'ils ne les utilisent pas de la bonne manière et qu'ils ne gagnent pas forcément du temps. Cela relève d'un problème de culture et de formation, mais également d'un travers humain qui consiste à se réfugier dans des travaux répétitifs donnant un sentiment rassurant de productivité. Mais c'est précisément l'inverse, car Romain Ivoy rappelle que « par définition l'informatique consiste à automatiser des traitements ».

Des différences culturelles

Si l'Europe accuse un certain retard dans son développement numérique, tant en terme de bonnes pratiques que d'activité économique, il faut tenir compte de son histoire et de ses particularités culturelles.

D'un point de vu historique, nous avons déjà évoqué des réticences légitimes liées au fichage des individus, qui, comme le rappelle Guillaume Pourquié de GEM (cf. Annexe 3) nous ramène à la seconde guerre mondiale, avec l'occupation et la déportation. De fait le niveau de sensibilité sur ce sujet et nécessairement plus exacerbé que sur d'autres continents. A contrario, pour les américains, c'est avant tout une question de business et à ce titre les individus assument parfaitement leur identité numérique.

Selon Romain Ivoy d'EVOS Infogérance, les anglosaxons en général, n'ont pas du tout la même approche du numérique. Contrairement au vieux continent, ils ont une vraie conscience du monde numérique et de ses enjeux, « il est palpable, tangible et a une valeur monétisable » (cf. Annexe 2). Ce n'est pas du tout le cas de européens qui ont du mal à percevoir cette

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

dimension et ne voyaient donc pas l'intérêt de protéger ou de s'intéresser à quelque chose qui n'a pas de valeur.

L'émission C' Dans l'Air du 21 avril 2018³¹, s'intéresse également à ces différences et nous livre l'analyse des invités sur la manière dont sont appréhendées les notions de vie privée et de données personnelles entre ces deux cultures.

Olivier Iteanu, avocat à la Cours d'appel de Paris spécialiste du droit numérique, évoque une différence dans le concept de données personnelles entre l'Europe et les Etats Unis. Les européens les considèrent comme un attribut de leur personnalité et estiment qu'ils doivent impérativement en conserver la maîtrise. Les américains, ne voient quant à eux aucun problème à les échanger contre un service et à en perdre la propriété. Ils n'ont d'ailleurs pas de loi sur ce sujet, donnant aux plateformes comme Facebook toute légitimité à disposer comme bon leur semble des données qu'elles ont collectées.

Christine Kerdellant, Directrice de la rédaction des magazines L'Usine Nouvelle et L'Usine Digitale, précise que les américains n'ont pas la même conception de la vie privée, considérant qu'il s'agit d'une dérive liée à l'urbanisation, où les gens ne se connaissent plus. Cela ne posait pas de problème quand tout le monde vivait dans les petits villages. Elle cite Vinton Cerf, l'un des pères fondateur d'Internet qui estime que la vie privée est une anomalie.

Nicolas Baverez, Docteur en histoire, agrégé de sciences sociales et éditorialiste au Point , ajoute que Mark Zukerberg, le fondateur de Facebook, considérait même en 2010 la vie privée comme une norme sociale appartenant au passé.

Nicolas Baverez trouve toutefois paradoxal que les Etats Unis soient à l'origine de l'économie numérique et n'aient pas prévu de mécanisme de régulation. Leur volonté de compétitivité économique et d'innovation a toujours été la priorité, mais le fait que le dirigeant d'un GAFAM (Mark Zukerberg) soit auditionné par le Congrès américain démontre qu'ils commencent à s'interroger.

31 C' dans l'Air - Données personnelles : Le grand hold-up ? - France 5 - 21/04/2018 https://www.youtube.com/watch?v=UGEXJb5nzEQ

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Une prise de conscience

Au fil de nos recherches et de notre analyse, nous avons pu nous rendre compte que la mise en place d'une Réglementation Générale sur la Protection des Données Personnelles résulte d'une prise de conscience de la transformation qui s'opère dans notre société. Gilles Babinet considère que cette révolution numérique a changé le cours de l'humanité, dont elle constitue « une des trois grandes inflexions », à l'instar de l'écriture issue de la civilisation sumérienne et de l'invention de l'imprimerie par Gutenberg.

A son sens, le développement des technologies de l'information est même « à l'origine de la révolution la plus radicale qu'ait connue l'humanité ». Il était donc temps que les individus, les organisations et les sociétés en prennent toute la mesure.

Pour voir émerger une mobilisation des individus et une volonté de mettre en place des jalons, comme l'ont engagé les instances européennes avec le RGPD, il aura fallu toucher les limites de ces nouvelles technologies.

Les révélations d'Edward Snowden, que nous avons déjà mentionnées, ont joué un rôle capital dans cette prise de conscience. Elles ont mis en évidence une surveillance globale de la part des Etats, certes au nom de la sécurité nationale et pour contrer les recrudescence d'actes terroristes, en particulier suite aux attaques du 11 septembre 2001.

Dans un article intitulé « La surveillance globale dans un monde post-Snowden »³² , le sociologue David Lyon nous explique que c'est cette surveillance de masse qui interpelle. L'instrumentalisation des données personnelles des individus, donne aux quelques pays qui les détiennent, Etats Unis en tête, un pouvoir géopolitique considérable. Ces pratiques étaient pourtant connues de tous, nourries du spectre de « Big Brother » issu du livre « 1984 » de Georges Orwell.

Personne ne pouvait, ou ne voulait, imaginer que cette surveillance était d'une telle ampleur et l'opinion publique a subi une véritable électrochoc. D'autant que ces instances gouvernementales ont largement recours aux données collectées par les géants du numériques, qui, au nom de la raison d'Etat, n'ont d'autre choix que de les laisser accéder à leurs fichiers. C'est tout l'effet pervers de cette situation, qui crée une forme d'impunité pour ces plateformes. Même au détriment des individus, les gouvernements ont tout intérêt à les laisser faire, puisque les données collectées constituent une matière indispensable pour nourrir les algorithmes permettant d'identifier les menaces potentielles.

Une mobilisation des individus

Invité de l'émission C' Dans l'Air³³, Gilles Babinet déclare qu'à moins de vivre en hermite, il est devenu impossible d'échapper au traçage. Sur ce registre, Cyril Bras de Grenoble Alpes Métropole rappelle que la compilation de l'ensemble des informations collectées permet de créer des profils et de faire du ciblage. Les individus doivent intégrer cette notion, car si on le leur demandait, ils le refuseraient tous catégoriquement.

32 La surveillance globale dans un monde post-Snowden - David Lyon - Communiquer - 30/09/17

33 C dans l'Air - Données personnelles : Le grand hold-up ? - France 5 - 21/04/2018 https://www.youtube.com/watch?v=UGEXJb5nzEQ

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

C'est ce que démontre une vidéo de vulgarisation à caractère pédagogique, intitulée « si votre magasin se comportait comme une App »³⁴, tournée en caméra cachée dans une boulangerie. Elle met en scène une vendeuse qui demande aux clients venus acheter leur pain toutes sortes d'informations personnelles. Passé l'effet de surprise, ceux-ci se montrent naturellement interloqués et refusent assez rapidement de répondre aux questions qui leur sont posées. Ces questions se veulent volontairement intrusives, voir caricaturales, mais pour le spectateur le message délivré est particulièrement efficace.

Comme le démontre les chiffres de l'étude réalisée par SYMANTEC³⁵, présentée au début de ce chapitre, les individus sont désormais particulièrement sensibles au respect de leur vie privée. Ils commencent à ressentir les répercutions de ce profilage sur leur vie quotidienne, avec des publicités de plus en plus ciblées, en fonction des sites qu'ils ont visité, de leurs parcours dans les magasins. Ils commencent aussi à se poser des questions, sur le profilage dont ils font l'objet, avec des conséquences potentiellement discriminantes. Romain Ivoy d'EVOS Infogérance évoquait le risque de se voir « benchmarkés », notamment lorsqu'on souscrit une assurance, qui nous couvrira plus ou moins bien, ou dont la tarification dépendra de nos comportements (cf. annexe 2).

Il était logique que les citoyens se mobilisent contre sur l'utilisation déraisonnée de leurs données personnelles. Des associations de défense et des groupes de réflexion se sont constitués pour faire pression sur les autorités. Le think tank la Quadrature du Net joue un rôle important en dénonçant régulièrement les dérives de cette collecte et en engageant des actions juridiques à l'encontre des organisations qui en sont responsables.

En échange des services qu'elles proposent, les plateformes numériques collectent des informations, avec des conditions d'information plus ou moins explicites et intelligibles pour leurs utilisateurs. Pour Alexis Dupic d'OPTIMEX Data « si les citoyens ont désormais besoin d'accéder à ces services qui leurs sont devenus indispensables, ils ne veulent plus qu'on utilise leur données » (cf. Annexe 5).

Dans une tribune publiée sur le site de l'association³⁶, Laurent Chemla, membre du Conseil d'orientation stratégique de La Quadrature du Net, estime que l'adage « If it's free, you're the product » (si c'est gratuit, c'est vous le produit) est devenu la règle du jeu. Mais il ajoute que les utilisateurs doivent intégrer que normalement « Si c'est gratuit, c'est sans contrepartie. (...) Si vous êtes le produit, alors ce n'est pas gratuit ».

Dans un communiqué de novembre 2017, évoqué dans un article du site silicon.fr³⁷, la Quadrature du Net invoquait le fait que « les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises ».

34 If your shop assistant was an app (hidden camera) - Forbrugerrådet Tænk - 17/12/2014 - https://www.youtube.com/watch?v=xYZtHIPktQg

35 Rencontres du Risk Management AMRAE 2018 - Atelier B2 - Comment mettre en place le RGPD - 08/02/2018 - https://www.youtube.com/watch?v=jkM2LJ6tzAA

36 Si vous êtes le produit, ce n'est pas gratuit - La Quadrature du Net - Tribune de Laurent Chemla - 17/08/2016 - https://www.laquadrature.net/fr/si-vous-etes-le-produit

37 ePrivacy : un règlement européen qui crispe les pros du numérique - Silicon.fr - Xavier Biseul, - 15/02/2018 - https://www.silicon.fr/eprivacy-reglement-europeen-pros-numerique-199769.html/?infby=5b1ebaee671db8df118b5caf

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Suite à l'entrée en vigueur du RGPD, le 28 mai 2018 cinq plaintes viennent d'être déposées devant la CNIL par le collectif, à l'encontre de services ne respectant pas la vie privée de leurs utilisateurs : Facebook, Google Search, Gmail, Youtube, iOS, Amazon et LinkedIn. Bien entendu cela n'est qu'un début (cf. Annexe 7) et la Quadrature du Net ne manque pas de souligner que de nouvelles actions seront engagées contre d'autres services ou plateformes ne respectant pas le nouveau règlement.

Une remise en question de la société

C'est bien le modèle économique du 21^ème siècle qui est en débat, selon lequel les entreprises usent et abusent du digital, convaincues que leur survie en dépend. Mais la digitalisation ne constitue pas en soit une garantie de pérennité et certaines entreprises oublient que c'est avant tout par l'innovation qu'elles pourront se démarquer et perdurer, en apportant de la valeur de manière unique.

C'est ce que constate Julien Devaureix³⁸, en charge du Digital pour les activités montres, bijoux et accessoires chez LVMH. Il évoque une société dans laquelle « tout le monde et toutes choses sont interconnectés et où la notion de « offline » est devenue obsolète pour beaucoup ». Tout se sait et tout est devenu accessible, les individus convoitent ce qu'il y a de mieux, s'identifient et consomment de la même manière que les groupes auxquels ils veulent appartenir, se comparent et se jugent.

C'est un monde devenu instable, en perpétuelle mutation, peuplé d'innovations de rupture et constitué de défis permanents pour tous ses acteurs. Les changements interviennent à un rythme tel, qu'établir une stratégie à moyen terme est devenu une gageure.

Gilles Babinet rejoint cette analyse, qu'il assimile à une forme « d'idéal schumpétérien », dans lequel le phénomène de destruction créatrice, théorisé par l'économisme Joseph Schumpeter, est poussé à son paroxysme. Il fait également référence à la capacité de la « main invisible », qui se voit renforcée par l'accumulation des informations collectées et « qui permet d'orienter le cours des sociétés par rationalité de marché, au détriment du consommateur ».

Mais cette destruction créatrice n'est pas sans conséquence, si cette course à l'innovation apporte des avancées indéniables dans de nombreux domaines, tels que la médecine, le confort ou la sécurité des personnes, elles donne également lieu à des effets pervers.

Un article de Michel Griffon³⁹, agronome et économiste, publié par la revue Cairn Info, s'intéresse à la mutation des marchés, en s'appuyant sur l'ouvrage de Gilles Babinet intitulé « Transformation digitale : L'avènement des plateformes. Histoires de licornes, de data et de nouveaux barbares... » publié aux éditions Le Passeur en 2017. Il évoque ainsi le risque de désintermédiation ou « d'ubérisation », permettant de mettre directement, voir instantanément, en relation l'offre et la demande, supprimant ainsi les intermédiaires. Si cela fluidifie le marché, permettant des gains de productivité et de réduire les coûts de certains biens ou services, parfois fondamentaux, Michel Griffon n'est pas convaincu que cela contribue à l'épanouissement de la personne humaine. Car s'il s'agit bien d'une révolution anthropologique,

38 La poudre aux yeux de la transformation digitale - Tribune Julien Devaureix, - Channelnews.fr - 25/08/2017 - https://www.channelnews.fr/poudre-aux-yeux-de-transformation-digitale-75671

39 GILLES BABINET, TRANSFORMATION DIGITALE : L'AVÈNEMENT DES PLATEFORMES. Histoires de licornes, de data

et de nouveaux barbares... - Michel Griffon - CAIRN INFO N° 361 (pages 88 à 90) - 06/2017 -
https://www.cairn.info/revue-projet-2017-6-page-88.htm

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

« ce changement de civilisation, ne manquera pas d'occasionner des laissés-pour-compte de la société numérique ».

Gilles Babinet évoquait ces laissés-pour-compte dans un ouvrage précédent⁴⁰, avec des impacts sur les salaires et l'emploi, déjà largement ébranlés par les délocalisations et par la robotisation.

S'agissant encore des emplois, une étude réalisée par Internet Society en 2017 sur le futur de l'Internet, évoquée par Constance Bommelaer de Leusse, Directrice des politiques publiques à l'Internet Society⁴¹, met notamment en évidence que « les changements entraînés par l'automatisation sur le marché du travail généreront une anxiété considérable à court terme, car les gens s'inquiètent de l'avenir du travail et se demandent s'ils ont les compétences nécessaires pour réussir dans la nouvelle économie ».

Sur un autre registre, cette transformation numérique de nos sociétés, qualifiée d'inéluctable par Gilles Babinet¹, soulève également des problèmes éthiques.

Tout d'abord quant à sa soutenabilité vis-à-vis de l'énergie et des matériaux, comme le souligne Michel Griffon dans son article et Guillaume Pourquié de GEM (cf. Annexe 1). Le stockage des données collectées et leur traitement nécessitent des ressources informatiques gourmandes en énergie, qui, bien que les capacités et les coûts soient aujourd'hui mieux maitrisés, ont un impact sur le plan écologique.

Romain Ivoy d'EVOS Infogérance, abordait également d'autres aspects éthiques, liés à la réalité augmentée et aux interfaces homme-machine (cf. Annexe 2). Si la possibilité de se connecter directement aux machines présente certains intérêts, en terme de rapidité d'interaction, d'ergonomie ou d'efficience pratique, elle n'est pas sans soulever certaines préoccupations déontologiques et peut entrainer de nouvelles dérives.

Romain Ivoy, évoque les neurosciences et les travaux réalisés sur la lecture et l'écriture cérébrale, s'inquiétant que des sociétés comme Google se soient impliquées dans ce domaine, avec une vocation qui ne sera pas forcément altruiste. Il imagine notamment que cela pourrait à terme dériver vers de la manipulation des individus, qui deviendrait une forme de « drone humain ».

Sur le plan de la santé, parvenir à implanter dans le corps humain des dispositifs médicaux connectés offre des perspectives intéressantes en terme de prévention et suivi des patients. Mais si le pilotage d'un pace maker ou d'un régulateur d'insuline peut apparaitre séduisant, Romain Ivoy décrit là aussi un scénario catastrophe, en cas de piratage et de rançonnage de ces dispositifs, mettant en jeu la vie des patients.

Toujours sur le plan éthique, on observe déjà certaines pratiques qui se rapprochent dangereusement de certains ouvrages d'anticipation ou de science-fiction. Romain Ivoy abordait d'ailleurs ce sujet (cf. Annexe2), en faisant référence à la culture « cyber punk » et à des auteurs comme Isaac Azimov ou William Gibson et des films tels que « Blade Runner » ou « Matrix ». Selon lui « cette culture a quasiment disparu, parce que finalement on y arrive et ce n'est plus de la science-fiction ».

40 Extraits de L'ère numérique, un nouvel âge pour l'humanité - Gilles Babinet - Editions Le Passeur 2014 - GQ Magazine 2017 - https://www.gqmagazine.fr/uploads/freepages/Ere-numerique.pdf

41 Tribune - Internet, une chance pour l'éducation? - emilemagazine.fr by Sciences Po Alumni - 20/12/17 - https://www.emilemagazine.fr/article/2017/12/20/tribune-internet-une-chance-pour-lducation

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Un sujet sur le « crédit social chinois », présenté dans l'émission C' dans l'Air du 21 avril 2018⁴², est des plus édifiant et digne d'un scénario de science-fiction. S'appuyant sur le réseau de caméra le plus sophistiqué du monde, prés de 170 millions de caméras dotées d'intelligences artificielles et d'un système de reconnaissance faciale, cet « oeil céleste » ambitionne de scruter le comportement des individus et de leur attribuer une note sociale. Il s'agit d'une sorte de permis à points comportemental, qui, en fonction de la note obtenu par l'individu, lui permet de bénéficier de certains avantages, ou inversement d'être pénalisé, ce qui peut aller jusqu'à l'interdiction de se déplacer. Avec une population d'1,4 milliards d'individus, le gouvernement chinois et les entreprises associées à ce programme, prévoient le déploiement d'un réseau de 400 à 600 millions de caméras d'ici 2020. Bien entendu, de telles pratiques inquiètent les opposants au régime, qui estiment que le gouvernement se prend pour Dieu, mais les personnes interrogées dans ce reportage semblent trouver cela normal, partant du principe qu'étant aussi nombreux, il leur appartient à tous d'avoir un comportement exemplaire. C'est probablement aussi une question de culture et d'obéissance à un régime peu enclin à accepter les contestations. La Chine n'a d'ailleurs aucune législation en matière de protection de la vie privée.

Ce « big brother » chinois ressemble à une mise en scène du livre « 1984 » de Georges Orwell, où les déviances sociétales décrites dans les épisodes de la série « Back Mirror » diffusée sur la chaine Netflix.

Une responsabilité sociétale

La mise en place du RGPD se présente bien comme l'opportunité de rétablir une certaine équité dans l'utilisation des données des individus, comme dans la perspective de voir le vieux continent regagner en influence sur le plan économique et géopolitique. Mais c'est également et peut être surtout dans la responsabilisation sociétale qu'il permet d'insuffler au niveau mondial qu'il prend tout son sens.

Nous avons vu que ce règlement pourrait contraindre les géants du numérique à adopter une démarche plus éthique et responsable vis-à-vis des citoyens, européens en premier lieu, mais peut-être aussi pour ceux du reste du monde.

En terme de prise de conscience et de responsabilisation, il est fort probable que le battage médiatique occasionné par le RGPD se soit révélé plus efficace que le règlement lui-même, pour citer de nouveau Romain Ivoy d'EVOS Infogérance (cf. Annexe 2).

Depuis le 25 mai, nous voyons tous affluer sur nos messageries, des mails émanant des acteurs du numérique de tous bords, nous rappelant à minima leur politique de confidentialité ou que les informations dont ils disposent peuvent être consultées, ou encore nous demandant de renouveler notre consentement. La plupart des sites Internet comportent de nouvelles mentions légales relatives au RGPD et communiquent sur leurs conditions d'utilisation. Il n'y a pas de doute, l'entrée en vigueur du RGPD commence à faire son effet.

42 C' dans l'Air - Données personnelles : Le grand hold-up ? - France 5 - 21/04/2018 https://www.youtube.com/watch?v=UGEXJb5nzEQ

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Au-delà des frontières européennes

Les GAFAM ont bien compris qu'ils sont en première ligne et ont plutôt bien anticipé la réglementation. Sur le plan mondial, nous ressentons également une nouvelle responsabilisation, notamment aux Etats Unis, qui après avoir moqué le RGPD, semblent s'y intéresser de plus près.

Nicolas Baverez mentionnait en avril dernier, dans l'émission C' dans l'Air⁴³, le fait qu'un GAFAM, en l'occurrence Facebook, soit auditionné devant le Congrès américain, démontrant un certain intérêt pour le sujet outre atlantique.

Avec la révélation du scandale Cambridge Analytica, il est vrai, comme le soulignait Romain Ivoy d'EVOS Infogérance (cf. Annexe 2), qu'en tant qu'américain « imaginer qu'un ancien du KGB ait pu mettre quelqu'un à la tête de son pays, c'est assez terrible ».

Gilles Babinet, également dans l'émission C' dans l'Air, note que la prise de conscience commence à gagner les Etats Unis, avec la publication régulière de tribunes invitant à la déconnexion numérique, mais précise qu'il leur faudra eux aussi mettre en place une règlementation plus précise. Il ajoute que même la Chine a fini par s'intéresser au RGPD, en mandatant sa Commission parlementaire pour rencontrer ses homologues européens.

Mais si le RGPD a permis de galvaniser l'opinion et d'enclancher de nouveaux mécanismes, il faut espérer qu'il ne finisse pas par « accoucher d'une sourie » et que la bonne volonté affichée ne s'épuise pas trop rapidement...

De nombreuses publications s'en inquiètent et comme le rappelle Stéphane Bergerat de CINETIC IT, l'Etat ne parvient toujours pas à récupérer des impôts qui auraient dû être payés en France par les GAFAM et nous pouvons légitimement nous interroger sur la capacité des autorités de contrôle à réellement leur infliger des amandes de 20 millions d'euros.

Valoriser les données personnelles ?

Un autre problème réside dans le comportement des individus, qui ont bien intégré la notion de propriété de leurs données, mais que rien n'empêche de les céder sciemment, toujours contre un service, ou moyennant rémunération.

Comme les moyens de collecte actuels pourraient finir par se tarir, le principe de l'offre et de la demande devrait augmenter la valeur de ces données et créer de nouvelles filières. Nous avons déjà évoqué le risque de recrudescence des attaques cyber, mais des offres légales pourraient également voir le jour.

L'article publié dans Les Echos⁴⁴ par Eric Léandri et Guillaume Chapeau de QWANT, questionne justement sur la possibilité de rendre les données personnelles payantes. Selon eux leur coût pourrait effectivement nous amener à une collecte plus raisonnée, mais ils estiment que nous en arriverions rapidement à une situation similaire. Les géants du numériques sont à même de mettre en place des contrats complexes et non négociables, et en profiteraient pour proposer des tarifs ridicules, occasionnant une inflation qui réclamera d'en dévoiler toujours plus.

En outre, ces données personnelles doivent être considérées comme une émanation des individus, pas quelques chose qu'ils produisent et cela n'a pas de prix. Selon eux, monnayer les données personnelles ne constituerait donc pas une alternative pertinente, car « la vie privée

43 C' dans l'Air - Données personnelles : Le grand hold-up ? - France 5 - 21/04/2018 https://www.youtube.com/watch?v=UGEXJb5nzEQ

44 Les données personnelles ne sont ni à prendre ni à vendre - Le Point de vue de Eric Léandri (fondateur Qwant) et Guillaume Champeau (dir juridique QWANT) - Les Echos - 23/03/18

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

n'est pas un droit mais une liberté fondamentale : capacité d'agir, de communiquer et de penser librement. Si on dévoile tout, on se mettra à tout anticiper en fonction de ce qui pourra en être déduit par les algorithmes, les IA... ».

Ils ajoutent enfin que si l'idée d'associer les internautes à la valeurs ajoutée qu'apportent leurs données peut sembler bonne, « il serait préférable de récompenser les individus pour ce qu'ils font (création de contenu) et non ce qu'ils sont ! ».

Sécuriser l'internet des objets

Les perspectives liées au développement des objets connectés nécessitent également une responsabilisation des fabricants, car nous sommes déjà confrontés à des problèmes de sécurités, qui pourraient dégénérer, notamment avec les dispositifs médicaux connectés, comme nous l'avons déjà évoqué.

D'ici 2020, nous serons confrontés à 20 milliards d'objets connectés, comme le rappelle Nicolas Baverez lorsque le sujet des compteurs électriques connectés « Linky » est abordé dans l'émission C' dans l'Air⁴⁵. Cette multiplication intensifiera d'autant les risques et les dérives que nous avons pu abordé. La généralisation des bâtiments connectés évoquée par Céline Ambroise-Thomas d'AIRRIA (cf. Annexe 4) ou l'arrivée des véhicules autonomes sont autant de nouvelles sources d'inquiétudes, constituant de nouvelles cibles pour les organisations criminelles, voir les terroristes. Leur sécurisation nécessitera d'importants investissements, car pour des raisons économiques, comme l'invoque Olivier Iteanou dans C' dans l'Air, leur niveau de protection est encore trop négligé. Les failles qu'ils présentent permettent de les utiliser comme des chevaux de Troie pour accéder à l'ensemble du réseau sur lequel ils sont connectés. La normalisation de ces objets est devenue indispensable et selon Nicolas Baverez, des canaux de communications spécifiques doivent être privatisés sur le réseau Internet.

La mise en place d'une labellisation ou d'une certification est prônée par l'AFNIC¹ (Association Française pour le Nommage Internet en Coopération), pour que les objets connectés intègrent le concept de « security by design » prévue par le RGPD, mais également que les consommateurs soient mieux informés sur ce qu'ils achètent, en terme de sécurisation et de collecte d'informations.

D'après Nicolas Chagny⁴⁶, Président de l'Internet Society française, le règlement européen devrait pousser les fabricants à mettre en conformité ces objets, mais les utilisateurs doivent eux aussi être plus disciplinés lorsqu'ils les utilisent. La CNIL recommande d'ailleurs aux utilisateurs la mise en place des mot de passe « forts », l'usage de pseudonymes, de limiter leur partage et de supprimer les données devenues inutiles. Sur ce point, Stéphane Bortzmeyer ingénieur à l'AFNIC¹, s'insurge car il estime que c'est un comble de demander aux consommateurs « de prendre des décisions professionnelles alors que les professionnels eux-mêmes ne prennent pas les dispositions qui s'imposent ».

Un nouveau champ de batail numérique

Les organisations doivent elles-aussi de montrer plus responsables, en faisant preuve d'une plus grande transparence concernant les problèmes de cyber sécurité auxquels elles ont confrontées. Cyril BRAS de Grenoble Alpes Métropole a le sentiment qu'il existe une forme

45 C' dans l'Air - Données personnelles : Le grand hold-up ? - France 5 - 21/04/2018 https://www.youtube.com/watch?v=UGEXJb5nzEQ

46 Le long chemin pour sécuriser les objets connectés - INFO PROTECTION - 18/04/18 - http://www.infoprotection.fr/CYBERSECURITE/Article.htm?Zoom=bf5dba8ffeaa7af1d0db880b64374135

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

« d'omerta » autour de ces incidents. Le RGPD devrait améliorer les choses en les obligeant à déclarer les brèches de données et les cas de piratage. C'est à la base un problème d'image qui pousse à garder ces sujet confidentiels, mais dorénavant Cyril Bras a bon espoir de voir ces organisations mettre en place les moyens nécessaires pour s'en prémunir, plutôt que d'être contraintes d'avouer qu'elles ont subi un sinistre. Il espère également que cela permettra d'avoir une vision plus précise de l'ampleur des attaques cyber et fera réagir les dirigeants, tout particulièrement les élus, qui ont tout intérêt à éviter de voir leur image écornée par ce type de publicité (cf. Annexe 1).

Notre entretien avec Cyril Bras nous amène ensuite sur un autre terrain numérique, celui de la défense (cf. Annexe 1). Il nous révèle la guerre silencieuse qui se joue sur la toile, impliquant bien entendu les cyber criminels, mais aussi les Etats. La cyber sécurité est devenu un enjeu majeur pour les pays et contrairement aux conflits traditionnels, tous les coups sont permis, il n'y a ni règles, ni cessez le feu.

Face à cette situation, les Etats ont du adapter leurs moyens de défense et se doter d'un contingent de combattants numériques, constitué d'experts en ingénierie logicielle, en administration systèmes et sécurité, en supervision réseaux, en cryptographie, entre autres spécialités liées au numérique. Cyril Bras ayant notamment suivi une formation à l'Institut National des Hautes Etudes de Sécurité et de Justice de Paris, sur la thématique de la sécurité des usages numériques, il fait justement parti des officiers réservistes de ce commandement de l'Armée de Terre française, le COMSIC⁴⁷ (Commandement des systèmes d'Information et de Communication).

Selon Jean-Yves Le Drian, Ministre de la Défense de l'époque, « L'émergence d'un nouveau milieu, d'un champ de bataille cyber, doit nous amener à repenser profondément notre manière d'aborder l'art de la guerre ». Dans l'article publié par le site Numerama⁴⁸, il explique que « l'arme cyber peut avoir des effets tout à fait comparables à l'armement plus conventionnel » et qu'en temps de guerre, elle « pourra être la réponse ou une partie de la réponse à une agression armée, qu'elle soit de nature cyber ou non ». Il précise que « nos capacités cyber-offensives doivent nous permettre de nous introduire dans les systèmes ou les réseaux de nos ennemis, afin d'y causer des dommages, des interruptions de service ou des neutralisations temporaires ou définitives. En utilisant pour cela des moyens sophistiqués, dont nous sommes parfois les concepteurs, et qui doivent résister à tout risque de détournement ».

L'organisation du COMSIC est assez similaire à celui du « Cyber Command » américain et s'organise en 4 pôles : Protection, Défensif, Action numérique et Réserve. D'ici 2019, elle sera constituée de 400 permanents et 4000 réservistes, mais n'en compte actuellement que 400 d'après Cyril Lebras (cf. Annexe 1). L'Armée française a donc engagé un recrutement auprès de toutes les filières liées au numériques, y compris les moins conventionnelles, comme en atteste sa présence à « La nuit du Hack 2017 »⁴⁹.

47 Un commandement dédié au combat numérique de l'armée de Terre - MINISTERE DES ARMEES - 20/03/2017 - DICOD - https://www.defense.gouv.fr/actualites/la-reforme/un-commandement-dedie-au-combat-numerique-de-l-armee-de-terre

48 L'armée française se dote d'un commandement des opérations cyber - NUMERAMA - Julien Lausson - 13/12/2016 - https://www.numerama.com/politique/216209-larmee-francaise-se-dote-dun-commandement-des-operations-cyber.html

49 Hackers, engagez-vous ! L'armée française recrute des « combattants numériques » - 01net.com - 26/06/2017 - Gilbert Kallenborn - www.01net.com/actualites/hackers-engagez-vous-l-armee-francaise-recrute-descombattants-numeriques-1195388.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Eduquer les utilisateurs

Nous avons pu constater qu'en dépit des moyens de sécurité mis en oeuvre, une des principales failles dans les dispositifs numériques vient de leurs utilisateurs. Cyril Bras de Grenoble Alpes Métropole, se révèle même catégorique sur ce point, argumentant que même en utilisant « les meilleurs systèmes de pare feu ou anti-virus, si l'utilisateur n'a pas le bon comportement, le problème vient de l'intérieur et ces dispositifs ne servent à rien ». Mais ce n'est pas forcément l'utilisateur qu'il faut incriminer, car « il n'en a pas conscience ou ne sait pas comment réagir » (cf. Annexe 1).

Il déplore la persistance d'un modèle réactif, visant à faire signer au salariés des chartes informatiques qu'ils sont rarement à même de comprendre et à attendre de leur part un certain comportement, sans leur expliquer les bonnes pratiques ou comment reconnaitre une menace. Il a pu observer dans ses fonctions précédentes au CNRS, qu'en faisant preuve de pédagogie et en prenant le temps nécessaire, il est tout à fait possible de les responsabiliser et d'obtenir des améliorations significatives.

Romain Ivoy d'EVOS Infogérance (cf. Annexe 2) nous livre également un retour d'expérience similaire, en évoquant la démarche d'une Mairie qui lui avait demandé de former l'ensemble du personnel. Mais il estime aussi que si cette démarche pédagogique peut amener des améliorations, on ne peut pas seulement compter sur la responsabilisation des utilisateurs. Il l'illustre notamment par le comportement des automobilistes, qui même en étant conscients que l'entretien de leur véhicule doit être effectué régulièrement, n'y pensent pas forcément d'eux-mêmes, d'où la nécessité de les rappeler régulièrement à l'ordre. Néanmoins, il confirme lui aussi que le niveau de compétence sur le sujet laisse à désirer, mais que c'est avant tout aux organisations, ou aux parents, qu'il revient d'assurer cette éducation et de mettre en oeuvre les dispositions appropriées.

Des initiatives associatives et des « Espaces Publics Numériques »⁵⁰ sont accessibles permettent aux citoyens d'être initiés à l'utilisation des matériels et logiciels, mais également aux bonnes pratiques à adopter, telles l'importance qu'ils doivent accorder à la réalisation des sauvegardes et des mises à jour, la protection de leurs accès et de leurs mots de passe, le paramétrage de leurs applications, ou la préhension des menaces auxquelles ils peuvent être confrontés ou du traçage dont ils peuvent faire l'objet.

L'éducation nationale s'est toutefois emparé du sujet, en adoptant en mai 2015 le Plan « Numérique à l'école » voulu par le gouvernement de François Hollande⁵¹, visant à doter les écoles de ressources matérielles et pédagogiques, mais également à créer de nouveaux enseignements de la primaire au secondaire. Un cours « d'éducation aux médias et à l'information » a ainsi été introduit dès le Cours Préparatoire et jusqu'à la 3^ème. L'Express indique que objectif de cet enseignement interdisciplinaire est de « préparer les élèves à devenir des cybercitoyens actifs et éclairés ». Il permet notamment aux élèves d'appréhender la protection de la vie privée, les enjeux sociétaux des réseaux sociaux, de développer un esprit critique sur la lectures des médias et la fiabilité des sources, ou encore d'être initiés aux algorithmes et à la programmation. Les lycéens pourront ensuite décider de choisir une option « informatique et création numérique ».

Dans l'enseignement supérieur, les enjeux du numérique ont déjà été pris en compte, car la nécessité de former les étudiants à un marché du travail largement impacté par les

50 Livre blanc - Les données personnelles à l'heure du big data : De l'intelligence artificielle au pouvoir des algorithmes - Rédaction collective CREIS-Terminal et CECIL - Novembre 2017 - https://www.lececil.org/node/27677

51 Numérique à l'école : ce qui va changer dans les programmes à la rentrée - L'express - Raphaële Karayan - 09/06/2016 - https://www.lexpress.fr/education/numerique-a-l-ecole-ce-qui-va-changer-dans-les-programmes-a-la-rentree1806878.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

nouvelles technologies est devenu indispensable. Dans un article co-écrit avec Pierre Nanterme, PDG d'Accenture, publié sur LinkedIn⁵² par Jean-Michel Blanquer, l'actuel Ministre de l'Education Nationale estime que les jeunes doivent être préparés à cette mutation des entreprises et que cette préoccupation doit désormais « être au coeur de toutes les formations, quelque soit le domaine ou le niveau ». Selon lui, l'enjeu est surtout de parvenir à marier des compétences digitales et professionnelles, qui constitueront pour les diplômés « la valeur ajoutée attendue par les entreprises ».

Constance Bommelaer de Leusse⁵³, Directrice des politiques publiques à l'Internet Society (ONG internationale créée en 1992 par Vint Cerf, l'un des inventeurs d'Internet, qui vise à promouvoir et coordonner le développement et l'usage des réseaux numériques dans le monde) insiste elle aussi sur la nécessité de mettre en place une « alphabétisation numérique » permettant aux individus de mieux maîtriser l'information et d'exercer leur jugement et d'éviter de tomber dans les pièges du numérique, tels les fake news, la cybercriminalité ou le harcèlement en ligne. Comme un nombre croissant de chercheurs, elle préconise que les apprentissages numériques puissent intervenir « tout au long de la vie, du primaire à la formation continue des adultes ».

Elle évoque également un changement de paradigme dans la manière d'enseigner, inspirée du monde numérique dans son aspect contributif. Un passage d'une approche « one to many » à « many to many », selon laquelle l'enseignant devient un animateur, autour d'une matière préalablement étudiée en autonomie par les élèves, sur laquelle ils pourront ensuite échanger et idéalement « créer du savoir ensemble ».

Nous terminerons ce chapitre sur les propos de la députée Paula Forteza lors de l'émission l'Invitech sur BFMTV⁵⁴, rapporteur du projet de loi sur la protection des données, qui enjoint les citoyens à s'emparer de leurs nouveaux droits pour que les choses évoluent vraiment, rappelant que le RGPD est un point de départ et que « nous sommes peut-être en train de créer un nouveau modèle numérique plus éthique et respectueux ». Selon elles d'autres sujets sont appelés à émerger tels que la transparence des algorithmes et des plateformes, les problèmes de fiscalité et de concurrence déloyale. « Beaucoup de leviers qui vont nous servir pour mettre en place un numérique plus responsable et juste ».

52 Insuffler la culture digitale, un défi commun pour les entreprises et les universités - Jean-Michel BLANQUIER et Pierre Nanterme - LinkedIn - 25/04/17 - https://www.linkedin.com/pulse/insuffler-la-culture-digitale-un-défi-commun-pour-les-blanquer/

53 Tribune - Internet, une chance pour l'éducation? - Constance Bommelaer de Leusse - Emile by Sciences Po Alumni - 20/12/17 - https://www.emilemagazine.fr/article/2017/12/20/tribune-internet-une-chance-pour-lducation

54 L'Invitech BFMTV 24/04/18 : le RGPD permettra-t-il un usage plus responsable des données ? http://bfmbusiness.bfmtv.com/mediaplayer/video/l-invitech-le-rgpd-permettra-t-il-un-usage-plus-responsable-des-donnees-2404-1064569.html

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

CONCLUSION

Nous nous sommes efforcés au travers de ce mémoire d'étudier les tenants et aboutissants d'un sujet très médiatisé depuis ces derniers mois, le nouveau Règlement Général sur la Protection des Données.

Bien qu'il ait été adopté par le Parlement Européen depuis avril 2016, il apparait que l'opinion publique ne s'en est réellement préoccupée qu'à la fin de l'année 2017, alors que l'échéance du 25 mai commençait à se rapprocher dangereusement.

Bien entendu, la plupart des grandes organisations, des associations et des collectifs de consommateurs savaient déjà bien de quoi il retournait, car la plupart d'entre eux s'étaient déjà impliqués et mobilisés en amont, qu'ils soient partisans ou réfractaires à cette initiative européenne. Mais s'agissant des citoyens, dont la protection de la vie privée est l'enjeu principal, ils semblaient dans l'ensemble peu informés avant cette médiatisation.

Ce règlement s'avère pourtant très impactant, car d'une part il a la volonté de faire respecter les droits fondamentaux des individus, mais d'autre part parce qu'il met en place de nouveaux jalons et des obligations que les organisations sont tenues de respecter, sous peine d'être lourdement sanctionnées.

Ces nombreuses obligations peuvent sembler contraignantes pour ces organisations, qui sont d'ailleurs toutes concernées, que ce soit des entreprises, des institutions ou des associations, européennes ou non. A partir du moment où elles sont amenées à interagir avec des citoyens européens et à manipuler des informations personnelles qui les concernent, elles sont désormais tenues de se conformer aux directives du RGPD.

Nous nous sommes donc interrogés sur la mise en application du règlement au sein de entreprises et des organisation au sens plus large. Notre objectif était d'aller au-delà des contraintes perçues, en identifiant quels bénéfices elles pourraient aussi en retirer.

Nous avons ainsi nourri notre réflexion au travers de nombreuses lectures, tant les avis et informations sur le sujet étaient abondants. Nous nous sommes également attachés à rencontrer des interlocuteurs susceptibles de nous faire part de leurs expériences pratiques : dirigeants et cadres d'entreprises du numérique, juriste spécialisé dans la protection des données, Responsable de la sécurité des systèmes d'information ou encore Délégué à la Protection des Données.

Cette démarche nous a permis de dégager et d'affiner la problématique que nous souhaitions traiter dans ce mémoire : Le RGPD est-il une contrainte ou une opportunité pour les entreprises ?

Nous nous sommes intéressés dans un premier chapitre aux motivations de ce nouveaux règlement, en remontant aux origines de la protection des données personnelles et à la manière dont elle a été mise en oeuvre en France et dans l'Union Européenne.

Au travers de cette rétrospective nous avons compris les raisons qui ont poussées les pays membres de l'Union européenne à légiférer pour aboutir à l'élaboration d'un texte permettant de réglementer la collecte et l'usage des données personnelles de leurs citoyens.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Nous avons ensuite décortiqué le contenu de ce nouveau règlement, en étudiant son champs d'application, les modifications apportées par rapport aux précédentes dispositions, ainsi que les moyens mis en oeuvre pour garantir son application.

Dans un second chapitre, nous avons tout d'abord évoqué les changements induits par la mise en place du RGPD dans les organisations, en soulignant l'importance des données pour leurs l'activités, ainsi que les risques auxquels elles se trouvaient confrontées pour continuer à les exploiter.

Nous avons ensuite étudié la méthodologie préconisée par la CNIL pour que les entreprises françaises puissent se conformer au nouveau règlement, mais également la manière dont elles le mettent en pratique, leur état d'esprit à ce sujet et leur niveau de conformité.

Dans le dernier chapitre, nous avons pu mettre en évidence que le RGPD présente bien de vraies opportunités pour les entreprises qui sauront s'en saisir. Cela leur permet d'une part d'adopter de bonnes pratiques en terme de sécurité et d'utilisation des outils numériques, d'améliorer leur organisation et la communication interne, mais surtout d'instaurer, maintenir ou restaurer la confiance de leurs clients, gage de fidélité et d'attractivité sur un marché particulièrement concurrentiel. D'autre part, le RGPD a le mérite d'assainir et rééquilibrer le marché, vis-à-vis de certaines pratiques déloyales ou de positions dominantes, comme celle des GAFAM. C'est enfin l'opportunité de créer de nouveaux modèles économiques, plus éthiques et respectueux des individus, voir d'imaginer l'Europe revenir sur le devant de la scène numérique internationale.

Nous avons poursuivi notre analyse en nous intéressant à la portée sociétale du règlement européen. Car nos société sont confrontées à des changements majeurs liés à la transformation digitale, qui comporte son lot de dérives et met en évidence des différences culturelles dans la capacité des peuples à l'appréhender. Nous avons ainsi pu observer qu'une prise de conscience de la société s'est opérée. Au niveau européen, le RGPD en est finalement une preuve et une conséquence, qui constitue peut-être le point de départ d'une nouvelle responsabilisation des sociétés, dans leur usage du numérique et dans le respect des libertés fondamentales des individus qui les composent.

Nous citions pour clore notre dernier chapitre les propos de Paula Forteza, qui voyait dans la mise en place du RGPD un point de départ vers cette nouvelle responsabilisation et prédisait l'émergence de nouveaux sujets. Nous n'en espérons effectivement pas moins et même s'il est encore un peu tôt pour le dire, nous pouvons déjà noter que la France est en train d'adopter une nouvelle législation visant à sanctionner les dérives liées à la propagation de « Fake news ». D'autres pays, en particulier les Etats Unis sont également amenés à s'interroger sur les répercutions occasionnées par l'utilisation des données de leurs citoyens.

Si nos normes sont effectivement inversées et qu'en Europe nous préférons d'abord légiférer, quitte à laisser nos homologues américains ou asiatiques prendre de l'avance sur les marchés, peut-être sommes-nous parvenus à leur démontrer que, comme l'aurait dit Maître Yoda dans Star Wars, « de l'histoire, des leçons il faut savoir tirer » et que « d'agir avant de réfléchir, des conséquences inconsidérées peuvent découler » !

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

REFERENCES BIBLIOGRAPHIQUES

AMRAE (2018), « Cahier technique AMRAE - RGPD : La protection des données du citoyen européen par l'entreprise », amrae.fr, France -

http://amrae.fr/sites/default/files/fichiers upload/Cahier%20technique%20RGPD - %20v1.1%2027-02-2018 1.pdf - Téléchargé en avril 2018

AMRAE (2017), « Atelier-conférence A3 - 25ème Rencontres du Risk Management », amrae.fr, France - https://www.youtube.com/watch?v=OZwHgN-IHmM - Visionné le 10 juin 2018

AMRAE (2018), « Atelier-conférence B2 - 26ème Rencontres du Risk Management AMRAE 2018 - Comment mettre en place le RGPD », amrae.fr, France - https://www.youtube.com/watch?v=jkM2LJ6tzAA - Visionné le 10 juin 2018

Babinet, G (2017), Extraits de « L'ère numérique, un nouvel âge pour l'humanité » (par GQ Magazine), Editions Le Passeur, France - https://www.gqmagazine.fr/uploads/freepages/Ere-numerique.pdf - consulté le 10 juin 2018

Benamou, L (2018), « La cyberassurance décolle progressivement en France », L'Observatoire des Produits d'Assurance, France - https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification - Téléchargé sur Factiva en mars 2018

Berthier, F (2017), « Protection des données : gros retard pour beaucoup d'organisations françaises », influencia.net, France - http://www.influencia.net/fr/actualites/media-com,etudes,protection-donnees-gros-retard-pour-beaucoup-organisations-francaises,7364.html -consulté le 11 juin 2018

BFM TV (2018), L'Invitech : « le RGPD permettra-t-il un usage plus responsable des données ? », bfmtv.com, France - http://bfmbusiness.bfmtv.com/mediaplayer/video/l-invitech-le-rgpd-permettra-t-il-un-usage-plus-responsable-des-donnees-2404-1064569.html - Visionné le 24 avril 2018

Biseul, X (2018), « ePrivacy : un règlement européen qui crispe les pros du numérique », silicon.fr, France - https://www.silicon.fr/eprivacy-reglement-europeen-pros-numerique-199769.html/?infby=5b1ebaee671db8df118b5caf - consulté le 11 juin 2018

Blanquier, JM (2017), « Insuffler la culture digitale, un défi commun pour les entreprises et les universités », LinkedIn - https://www.linkedin.com/pulse/insuffler-la-culture-digitale-un-défi-commun-pour-les-blanquer/ - consulté le 11 juin 2018

Bolzan, C (2013), « Big data : comment passer de la donnée à l'information », lenouveleconomiste.fr, France - https://www.lenouveleconomiste.fr/lesdossiers/big-data-comment-passer-de-la-donnee-a-linformation/ - consulté le 10 juin 2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Bommelaer de Leusse, C (2017), « Internet, une chance pour l'éducation ? », Emile by Sciences Po Alumni, France - https://www.emilemagazine.fr/article/2017/12/20/tribune-internet-une-chance-pour-lducation - consulté le 11 juin 2018

Boucher, P (1974), « « Safari » ou la Chasse aux Français », Le Monde, France - http://blog.iteanu.com/index.php?post/2018/02/26/Patrimonialisation-des-donn%C3%A9es%2C-que-faut-il-en-penser - consulté en avril 2018

Boucher, P (1974), « "Safari" ou la chasse aux français », Le Monde, France - - évoqué dans l'Historique de la protection des données en France - Dane-ac Lyon

Bruno, J (2017), « Les entreprises trop peu couvertes contre le cyber-risque », lesechos.fr, France - https://www.lesechos.fr/17/07/2017/LesEchos/22487-098-ECH les-entreprises-trop-peu-couvertes-contre-le-cyber-risque.htm - consulté le 10 juin 2018

Chausson, C (2018), « Le RGPD est une opportunité pour les PME françaises », lemagit.fr, France - https://www.lemagit.fr/actualites/252436671/Mounir-Majouhbi-le-RGPD-est-une-opportunite-pour-les-PME-en-France - consulté le 11 juin 2018

Chemla, L (2016), « Si vous êtes le produit, ce n'est pas gratuit », laquadraturedunet.fr, Paris - https://www.laquadrature.net/fr/si-vous-etes-le-produit - consulté le 11 juin 2018

CNIL (2018), « Historique de la CNIL et la protection des données personnelles », cnil.fr, France - http://www.cil.cnrs.fr/CIL/spip.php?article2985 - consulté le 10 juin 2018

CNIL (_), « Le G29, groupe des "CNIL" européennes », cnil.fr, France - https://www.cnil.fr/fr/le-g29-groupe-des-cnil-europeennes - consulté le 10 juin 2018

CNIL (_), « Le fonctionnement », cnil.fr, France - https://www.cnil.fr/fr/le-g29-groupe-des-cnil-europeennes - consulté le 10 juin 2018

CNIL (2016), « Ce que change la loi pour une République numérique pour la protection des données personnelles », cnil.fr, France - https://www.cnil.fr/fr/ce-que-change-la-loi-pour-une-republique-numerique-pour-la-protection-des-donnees-personnelles - consulté le 10 juin 2018

CNIL (2017), « CNIL Atelier Règlement européen sur la protection des données : ce qui change », CNIL, France - - Obtenu en mars 2018

CNIL (_), « Opt-in, opt-out, ça veut dire quoi ? », cnil.fr, France - https://www.cnil.fr/fr/cnil-direct/question/514 - consulté le 10 juin 2018

CNIL (2018), « RGPD : comment la CNIL vous accompagne dans cette période transitoire ? », cnil.fr, France - https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire - consulté le 10 juin 2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

CNIL (2018), « Transition vers le RGPD : des labels à la certification », cnil.fr, France - https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification - consulté le 10 juin 2018

CNIL (2018), « Transition vers le RGPD : des labels à la certification », cnil.fr, France - https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification - consulté le 10 juin 2018

CNIL (_), « RGPS, se préparer en 6 étapes », cnil.fr, France - https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes - consulté le 10 juin 2018

CNIL (2018), « Désigner un pilote », cnil.fr, France - https://www.cnil.fr/fr/designer-un-pilote - consulté le 10 juin 2018

CNRS (2018), « Pouvoir de sanction de la CNIL - cil.cnrs.fr », cil.cnrs.fr, France - www.cil.cnrs.fr/CIL/spip.php?article1425 - consulté le 10 juin 2018

CNRS (2012), « Quelques repères juridiques pour les données à caractère personnel dans les banques de données de langue parlée en interaction », cil.cnrs.fr, France - http://www.cil.cnrs.fr/CIL/spip.php?article1646 - consulté le 10 juin 2018

Comarketingnews.com (2018), « RGPD : Les consommateurs comptent bien en profiter », Comarketingnews.com, France - https://comarketing-news.fr/rgpd-les-consommateurs-comptent-bien-en-profiter/ - consulté le 10 juin 2018

Coulomb, G (2018), « RGPD et ePrivacy : quelles différences ? », petitweb.fr, France -

http://www.petitweb.fr/actualites/rgpd-et-eprivacy-quelles-differences/ - consulté le 10 juin 2018

Cyber Droit (2015), « Résolution sur le marché unique européen des communications électroniques », cyberdroit.fr, France - http://www.cyberdroit.fr/2015/11/resolution-sur-le-marche-unique-europeen-des-communications-electroniques/ - consulté le 10 juin 2018

Cyber Droit (2012), « Décret de transposition du « Paquet Télécom » », cyberdroit.fr, France - http://www.cyberdroit.fr/2012/04/decret-de-transposition-du-«-paquet-telecom-»/ - consulté le 10 juin 2018

Cyber Droit (2011), « Transposition du Paquet télécom », cyberdroit.fr, France - http://www.cyberdroit.fr/themes/paquet-telecom/ - consulté le 10 juin 2018

de Maison Rouge, O (2010), « Le patrimoine informationnel : Fonds de commerce du 21ème siècle ? », village-justice.com, France - https://www.village-justice.com/articles/patrimoine-informationnel-fonds,7827.html - consulté le 10 juin 2018

Debes, F (2018), « L'Europe lance son big bag de la protection des données », Les Echos High-Tech, France - - Lu le 25/05/2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Délégation Académique du Numérique Educatif (2017), « Historique de la protection des données en France », dan-ac.fr, Lyon - https://dane.ac-

lyon.fr/spip/IMG/article PDF/Historique-de-la-protection-des-donnees-en-France a520.pdf - consulté le 10 juin 2018

Denis, V (2008), « Une histoire d'identité : France 1715-1815 », Champ Vallon, France - - évoqué dans l'article "De l'archevêque Boisgelin de Cucé au RGPD : brève histoire de la protection des données" de Fleure Labrunie - 08/04/2018

Devaureix, J (2017), « La poudre aux yeux de la transformation digitale », channelnews.fr, France - https://www.channelnews.fr/poudre-aux-yeux-de-transformation-digitale-75671 - consulté le 11 juin 2018

DICOD (2017), « Un commandement dédié au combat numérique de l'armée de Terre », defense.gouv.fr, France - https://www.defense.gouv.fr/actualites/la-reforme/un-commandement-dedie-au-combat-numerique-de-l-armee-de-terre - consulté le 11 juin 2018

Dumon, E (2004), « La Cnil précise le rôle du "correspondant informatique et libertés" », zdnet.fr, France - http://www.zdnet.fr/actualites/la-cnil-precise-le-role-du-correspondant-informatique-et-libertes-39186131.htm - consulté le 10 juin 2018

Dunn, I (2016), « La gestion de l'information stratégique à l'ère du numérique », cgi.com, Angleterre - https://www.cgi.com/fr/blogue/analyse-donnees-massives/la-gestion-de-l-information-strategique-a-l-ere-du-numerique - consulté le 10 juin 2018

Duval, C (2018), « La CNIL met en garde : attention aux « experts RGPD » qui préparent des escroqueries », numeram.com, France - https://www.numerama.com/politique/323257-la-cnil-met-en-garde-attention-aux-experts-rgpd-qui-preparent-des-escroqueries.html - consulté le 10 juin 2018

e-marketing (_), « Glossaire - Océan bleu/océan rouge », e-marketing.fr, France - http://www.e-marketing.fr/Definitions-Glossaire/Ocean-bleu-ocean-rouge-242620.htm#wFxdAEzQkkl6mDTz.97 - consulté le 10 juin 2018

Fondation Robert Schuman (2008), « La réforme du "Paquet Télécom" : le principe de subsidiarité au coeur des débats - Question d'Europe n°118 », robert-schuman.fr, France - https://www.robert-schuman.eu/fr/questions-d-europe/0118-la-reforme-du-paquet-telecom-le-principe-de-subsidiarite-au-coeur-des-debats - consulté le 10 juin 2018

Forbrugerrådet Tænk (2014), « If your shop assistant was an app (hidden camera) », youtube.com, Danemark - https://www.youtube.com/watch?v=xYZtHIPktQg - consulté le 11 juin 2018

France 5 (2018), « C dans l'Air - Données personnelles : Le grand hold-up ? », France 5, France - https://www.youtube.com/watch?v=UGEXJb5nzEQ - visionné le 21/04/2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Griffon, M (2017), « GILLES BABINET, TRANSFORMATION DIGITALE : L'AVÈNEMENT DES PLATEFORMES. Histoires de licornes, de data et de nouveaux barbares... - Cairn Info N°361 (pages 88 à 90) », Cairn Info, France - https://www.cairn.info/revue-projet-2017-6-page-88.htm - consulté le 11 juin 2018

Info Protection (2018), « Le long chemin pour sécuriser les objets connectés », infoprotection.fr, France - http://www.infoprotection.fr/?IdNode=2511&Zoom=bf5dba8ffeaa7af1d0db880b64374135&xt or= - consulté le 11 juin 2018

Iteanu, O (2018), « Patrimonialisation des données, que faut-il en penser ? », Blog personnel, France - http://blog.iteanu.com/index.php?post/2018/02/26/Patrimonialisation-des-donn%C3%A9es%2C-que-faut-il-en-penser - consulté en avril 2018

Jost, C (2016), « Democracy : un thriller haletant sur la protection de nos données

personnelles », archimag.com, France - www.archimag.com/univers-

data/2016/11/24/democracy-thriller-haletant-protection-donnees-personnelles - consulté en mai 2018

Kallenborn, G (2017), « Hackers, engagez-vous ! L'armée française recrute des « combattants numériques » », 01net.com, France - www.01net.com/actualites/hackers-engagez-vous-l-armee-francaise-recrute-descombattants-numeriques-1195388.html - consulté le 11 juin 2018

Karayan, R (2016), « Numérique à l'école : ce qui va changer dans les programmes à la rentrée », L'Express, France - https://www.lexpress.fr/education/numerique-a-l-ecole-ce-qui-va-changer-dans-les-programmes-a-la-rentree 1806878.html - consulté le 8 juin 2018

Karayan, R (2016), « Numérique à l'école : ce qui va changer dans les programmes à la rentrée », L'Express, France - https://www.lexpress.fr/education/numerique-a-l-ecole-ce-qui-va-changer-dans-les-programmes-a-la-rentree 1806878.html - consulté le 8 juin 2018

La quadrature du net (_), « Paquet télécom », laquadraturedunet.fr, France - https://www.laquadrature.net/fr/Telecoms Package - consulté le 10 juin 2018

La rédaction de Mag Securs (2011), « La sécurité du « patrimoine informationnel » des entreprises (Archives) », mag-securs.com, France - https://www.mag-securs.com/dossiers/id/28579/pageid/28662/la-securite-du-patrimoine-informationnel-des-entreprises.aspx - consulté le 10 juin 2018

La rédaction d'Europe1 (2018), « Le Sénat adopte le texte sur la protection des données personnelles », europe1.fr, France - http://www.europe1.fr/technologies/le-senat-adopte-le-texte-sur-la-protection-des-donnees-personnelles-3605933 - consulté le 10 juin 2018

Labrunie, F (2018), « De l'archevêque Boisgelin de Cucé au RGPD : brève histoire de la protection des données - », numerama.fr, France - https://www.numerama.com/politique/340664-de-larcheveque-boisgelin-de-cuce-au-rgpd-breve-histoire-de-la-protection-des-donnees.htm - consulté en avril 2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Labrunie, F (2018), « RGPD : la Cnil ne veut pas « gérer un tableau de chasse » des retardataires », numerama.fr, France - https://www.numerama.com/politique/344166-rapport-cnil-2017-titre-a-def.html - consulté le 10 juin 2018

Labrunie, F (2018), « 67 % des entreprises estiment ne pas être prêtes pour le RGPD », numerama.fr, France - https://www.numerama.com/business/345119-rgpd-approche-67-entreprises-reculent.html - consulté le 11 juin 2018

Lausson, J (2016), « L'armée française se dote d'un commandement des opérations cyber », numerama.fr, France - https://www.numerama.com/politique/216209-larmee-francaise-se-dote-dun-commandement-des-operations-cyber.html - consulté le 11 juin 2018

Le Sénat (_), « 1977-1978 : Le sénat invente les autorités administratives indépendantes - lesenat.fr - Dossier d'histoire », lesénat.fr, France -

http://www.senat.fr/evenement/archives/D45/context.html - consulté en juin 2018

Léandri, E et Champeau, G (2018), « Les données personnelles ne sont ni à prendre ni à vendre - Le Point de vue de Eric Léandri (fondateur Qwant) et Guillaume Champeau (dir juridique QWANT) », Les Echos, France - - Lu le 23/03/2018

Legrand, D (2018), « Collecte de données via les sites de l'État : avant les impôts, le précédent de l'Élysée », Nextinpact.com, France - https://www.nextinpact.com/news/106478-collecte-donnees-via-sites-etat-avant-impots-precedent-lelysee.htm - consulté le 10 juin 2018

Les Livres Blancs (_), « RGPD : Les astuces pour être en conformité avec le règlement - Préambule du dossier », leslivresblancs.fr, France - https://www.leslivresblancs.fr/dossier/rgpd-les-astuces-pour-etre-en-conformite-avec-le-reglement - consulté le 11 juin 2018

Lyon, D (2017), « La surveillance globale dans un monde post-Snowden », Communiquer, France - - Lu courant avril 2018

Mailjet (_), « Le RGPD et le consentement », mailjet.com, France - https://fr.mailjet.com/rgpd/consentement/ - consulté le 10 juin 2018

Martineau, O (2017), « RGPD épisode 2 : la cartographie des données », Spread, France - https://www.youtube.com/watch?v=quvAZSuigGE&list=PLuQRA2ya9-

BluC6w8rsf d 2U9ykxixwp&index=2 - consulté le 11 juin 2018

Martineau, O (2017), « RGPD épisode 3 : Grosse galère ou réelle opportunité d'engager ses clients ? », Spread, France - https://www.youtube.com/watch?v=1A7PQzgVttY&index=3&list=PLuQRA2ya9-BluC6w8rsfd2U9ykxixwp - consulté le 11 juin 2018

Martineau, O (2018), « RGPD Episode 4 : Que faire de vos bases marketing ? », Spread, France - https://www.youtube.com/watch?v=9wCFgd9uUHg - consulté le 11 juin 2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MEDEF (2018), « RGPD, ce qu'il faut savoir d'ici mars 2018 », medef.com, France - http://www.medef.com/fr/content/guide-pratique-sur-la-protection-des-donnees-personnelles - téléchargé fin mars 2018

Perolo, Y (2018), « Une entreprise recevra 89 demandes liées au RGPD chaque mois ! », ladn.eu, France - http://www.ladn.eu/nouveaux-usages/etude-marketing/etude-les-entreprises-francaises-ne-sont-pas-pretes-pour-la-rgpd/ - consulté le 10 juin 2018

Perreau, C (2018), « Le RGPD est là, mais êtes-vous (vraiment) au point ? », journaldunet.com, France - https://www.journaldunet.com/economie/services/1208625-rgpd-definition-texte-cnil/ - consulté le 10 juin 2018

Rédaction collective (2017), « Livre blanc - Les données personnelles à l'heure du big data : De l'intelligence artificielle au pouvoir des algorithmes », CREIS-Terminal et CECIL, France - https://www.lececil.org/node/27677 - consulté le 11 juin 2018

Reuters (2018), « RGPD : la position de la Cnil sera souple au début », latribune.fr, France - https://www.latribune.fr/technos-medias/internet/rgpd-la-position-de-la-cnil-sera-souple-au-debut-769003.html - consulté le 10 juin 2018

Rudelle, JB (2018), « Données personnelles : l'Europe ne doit pas se tromper de guerre », Les Echos, France - - Lu en mars 2018

Signoret, P (2018), « Des applications accusées de ne pas suffisamment protéger les données des enfants », Le Monde, France - - Lu le 18/04/2018

Stupp, C (2018), « Bruxelles presse les Vingt-huit d'adopter le règlement ePrivacy », euractiv.fr, France - https://www.euractiv.fr/section/justice-affaires-interieures/news/commission-demands-eu-leaders-approve-deadlocked-eprivacy-bill/ - consulté le 10 juin 2018

Stupp, C (2018), « Les États membres trouvent Bruxelles trop stricte sur la vie privée », euractiv.fr, France - https://www.euractiv.fr/section/economie/news/member-states-want-looser-data-rules-in-draft-eprivacy-bill/ - consulté le 10 juin 2018

Vottori, JM (2018), « RGPD, un fort bel outil à double tranchant », Les Echos, France - - Lu le 25/05/2018

Vu, T (2018), « Le règlement E-Privacy : quelles nouveautés? », affiches-parisiennes.fr, Paris - https://www.affiches-parisiennes.com/le-reglement-e-privacy-quelles-nouveautes-7770.html - consulté le 10 juin 2018

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ANNEXE 1 - Entretien Cyril Bras, Grenoble Alpes Métropole

GUIDE D'ENTRETIEN

- Présentez-vous - quel est votre cursus et vos attributions ?

ORGANISATION INTERNE

- Depuis quand avez-vous initié votre démarche de conformité RGPD ?

o Avez -vous suivi une formation spécifique ?

o Participé à des réunions d'information ?

o Avez-vous été accompagné : Juristes, experts, services spécifique de l'administration ?

o Echange avec une communauté, d'autres RSSI ?

o Pensez-vous être 100% opérationnels au 25/05/18 ?

- Qu'avez-vous mis en oeuvre :

o Avez-vous désigné un DPO ? Etait-il votre CIL (correspondant informatique et liberté) ?

o Quels services avez-vous impliqués ?

o Avez-vous cartographié vos données ? Combien de temps avez-vous mis ?

o Comment avez-vous priorisées les actions à mener ?

o Avez-vous réalisé une analyse de risque ? Quels outils avez-vous utilisé ? Analyse d'impact de la CNIL : PIA (Privacy Impact Assesment) ? Outils internes ?

o Vous prestataire ou éditeurs de logiciels ont-ils communiqué sur le sujet ? Avez-vous eu des exigences particulières (label, cyberassurance) ? Leurs engagements contractuels ont-ils évolués ?

o Avez-vous souscrit une cyberassurance ? Mis en oeuvre une démarche de certification ou conformité CNIL ?

o Qu'avez-vous modifié en terme de sécurité ?

o Qu'avez-vous documenté ? registre des activités de traitement (obligation >250 sal)

o Quels ont été les impacts financiers ?

- Quels type de données personnelles manipulez-vous ?

o Quel est leur niveau de sensibilité ?

o Comment les collectez-vous (privacy by design et by default) et quel impact sur la manière dont vous les collectez (conditions, mentions, site web...) ?

o Comment sont-elles utilisées ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

o Etes-vous amené à les partager avec des tiers ?

o Avez-vous crypté, anonymisé ou pseudonymisé ces données ?

o Etes-vous en mesure d'informer les individus qui font l'objet du traitement ? De prouver le consentement des individus ?

o Quels mécanisme vous permet de supprimer les données ? A la demande des individu ? Pendant combien de temps pouvez-vous les conserver ?

o Avez-vous évaluer le coût de ces suppressions, mis en place des ressources supplémentaires ? Une participation « raisonnable » à leur suppression est elles demandée N

- Sur quels aspects vous sentez vous plus particulièrement concerné ou

impacté ?

Qu'est-ce qui vous semble le plus compliqué ?

- Quel votre avis personnel si vous souhaitez m'en faire part ?

o Pensez-vous que ce dispositif soit suffisants ? Quelles peuvent être les limites ?

o Quelle est votre analyse ? Avez-vous des remarques ?

o Pensez-vous que cette réforme constitue une contrainte ou une opportunité pour l'entreprise ?

o N'y a-t-il pas une forme de protectionnisme économique européen face aux GAFAM ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

TRANSCRIPTION INTERVIEW CYRIL BRAS

Le 27/04/2018 à Grenoble

Responsable de la Sécurité des Systèmes d'Information (RSSI) Grenoble-Alpes Métropole, Ville de Grenoble et CCAS

Mathieu Darmet : Merci de me recevoir, vous êtes Responsable de la Sécurité du Système d'information de La Métro, de la ville de Grenoble et du CCAS. Cela vous fait un parc utilisateur de quelle taille ?

Cyril Bras : Supérieur à 6000 utilisateurs.

MD : Je vais vous laisser vous présenter, en terme de cursus et d'attributions.

CB : Mon parcours est assez parallèle à mon cursus. J'ai commencé par une formation préalable d'analyste programmeur, qui a débouché sur mon premier emploi chez Orange, où j'ai commencé en stage, en faisant un peu de développement. Puis je me suis orienté vers l'administration système et réseau, parce que cela me plaisait plus que la programmation. J'ai commencé à réfléchir aux fonctions qui me seraient proposées avec mon Bac+2, qui resteraient tournées vers le technique et me permettraient peu d'évolution. J'ai donc entamé des démarches auprès du CNAM, le Conservatoire National des Arts et Métiers, pour faire un cursus en parallèle tout en travaillant. Un an après mon DUT, j'ai enchainé avec un poste à la CCI de Nîmes, où j'étais chargé d'étude NTIC, qui était très intéressant, car c'était au début des années 2000 et la ville déployait un réseau très haut débit pour les entreprises d'un parc d'activité. Cela m'a permis de travailler sur des nouveautés, comme la téléphonie sur IP que démarrait seulement et c'était donc une très bonne opportunité. J'ai terminé l'équivalent d'une Maîtrise au CNAM, ce qui m'a ensuite permis de passer un concours au CNRS, où je suis entré en 2004. Comme c'était un concours national, j'ai été affecté à Caen, où j'étais à la fois responsable de la sécurité et de l'informatique pour un laboratoire de recherches. Entre temps, j'ai terminé mon diplôme d'ingénieur du CNAM en 2007 et j'ai bénéficié d'une mobilité au sein du CNRS de Grenoble, qui m'a permis de travailler pendant 10 ans sur les mêmes fonctions au sein d'un autre laboratoire. Je suis également enseignant à l'Université sur les sujets liés à la sécurité informatique et je viens récemment d'intégrer la métropole, dont je suis le nouveau RSSI. J'ai également suivi une formation l'année dernière à l'école militaire de Paris, l'Institut National des Hautes Etudes de Sécurité et de Justice sur la thématique de la sécurité des usages numériques.

MD : Vous faites partie de leur nouveau bataillon dédié à la sécurité numérique ?

CB : Je fais effectivement partie de la réserve cyber défense, je suis officier réserviste depuis l'été dernier. C'est encore en cours de déploiement.

MD : Je vais donc m'intéresser à votre organisation et à votre démarche de mise en conformité RGPD.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

CB : N'étant là que depuis deux mois, il ne s'est pas encore passé grand-chose. Je suis en phase de prise de connaissance et d'appréhender comment la sécurité est déployée sur mon périmètre. Le RGPD a plutôt bien avancé côté ville de Grenoble, dont le CIL va devenir le DPO de la ville et qui a initié pas mal de démarches, notamment en commençant l'inventaire des traitements. Nous travaillons en parallèle et nous sommes forcément complémentaires sur ces sujets. Dès qu'il s'agit de données personnelles, nous sommes tous les deux dans la boucle. Côté Métro, c'est encore flou.

MD : Le DPO de Grenoble ne sera donc pas forcément celui de la Métro.

CB : Non, il ne gèrera que la ville, pour la Métro on prendra un prestataire, mais je ne suis pas encore dans la boucle, mais ça viendra.

MD : Pour le RGPD, vous avez participé à des réunions d'information, suivi des formations ?

CB : Il y a déjà la formation que j'ai suivi l'année dernière à l'école militaire, où le sujet a été largement abordé, donc j'étais au fait des attentes et des enjeux... Je sais donc ce qu'il faut mettre en place, mais le comment va être un gros chantier. On sait que si l'on traite de la donnée personnelle, il faut que son stockage soit chiffré, sécurisé, il y a pas mal de briques à mettre en oeuvre. Là je commence par les nouveaux projets et je regarde si les choses sont conformes ou pas, vis-à-vis du RGPD. Mais je pense que nous ne serons pas dans les clous tout de suite, c'est une évidence.

MD : Allez-vous être accompagné par des experts, des juristes ou peut-être des services spécifiques de l'administration ?

CB : Je pense que l'administration a découvert la problématique RGPD il y a quelques mois. D'après ce que j'ai pu lire dans la presse, je pense que les collectivités se disaient que le volet sanctions ne les concernait pas, mais cela leur a été confirmé il y a environ un mois. Il y aura des adaptations pour les collectivités, parce que ce ne sont pas des entreprises, qu'il n'y a pas de notion de business. On stocke bien des données, mais c'est parce qu'on en a besoin pour fonctionner, mais il ne s'agit pas de faire de l'argent avec. Par contre si on ne les protège pas correctement, le volet sanctions s'appliquera. Je pense que c'est une bonne chose, car il fallait ça pour que les gens se réveillent en terme de sécurité, car ici la culture de la sécurité n'existe pas. Le fait qu'il y ait un cadre légal obligatoire et que s'il n'est pas respecté cela va vous coûter tant, cela devrait être plus efficace. D'autant qu'on a déjà des cadres réglementaires qui s'appliquent, comme le RGS, Référentiel Général de Sécurité, mais il n'y a pas vraiment de répercutions s'il n'est pas respecté, ou ce n'est pas clairement exprimé. De fait, le concept RGS est aussi en cours de découverte dans les collectivités, alors qu'il devrait s'appliquer depuis au moins 2014.

MD : J'imagine que le niveau de responsabilisation des utilisateurs est aussi assez aléatoire.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

CB : Il est très bas. Tout comme dans mon emploi précédent au CNRS, en dépit de l'aura que la structure peut avoir de l'extérieur. Que ce soit les scientifiques ou les administratifs, les deux n'ont pas la vision de ce que représente la cyber sécurité. Ils pensaient que ce qu'ils font n'intéresse personne, il y a peu de risques... Et ici c'est la même chose, on est une collectivité, qu'est-ce qu'on peut nous voler ? Ils ne voient pas l'intérêt, alors qu'au contraire il y en a, car nous avons beaucoup de renseignements sur les individus, sur les appels d'offre. On cumule beaucoup d'aspects, car la métropole a de nombreuses activités : la gestion de l'eau potable, la distribution d'énergie, les transports... C'est quand même des domaines assez sensibles et qui sont interconnectés informatiquement, mais pour l'instant il n'y a pas de vision globale. On a une vision par silo, chacun fait son travail dans son coin. Depuis 2 mois, j'essaie de faire le tour de toutes les entités qui peuvent adresser le système d'informations, pour identifier ce qu'ils manipulent, comment c'est sécurisé...

MD : Est-ce que vous échangez avec une communauté ? D'autres RSSI par exemple.

CB : Non pas encore. J'aimerais déjà initier quelque chose au niveau local, ne serait-ce que les communes qui font partie de la Métro, car je suis persuadé que si nous sommes confrontés à un problème de sécurité, qui touche des données personnelles ou pas, il risque d'y avoir un effet domino ou un effet miroir. Un pirate peut s'apercevoir que telle cible est facile à attaquer, donc on va faire aussi celle d'à côté, etc... Le meilleur moyen de lutter contre ce phénomène c'est de communiquer.

MD : J'avais des questions sur ce que vous avez déjà fait mais beaucoup de choses sont en cours, notamment la cartographie.

CB : Pour la cartographie, la DSI est en train de répertorier l'ensemble des applications qui sont utilisées et qui sont maintenues. Cela va de pair avec le RGPD, car on pourra en déduire ce que font ces applications, et si elles utilisent des données nominatives ou pas. C'est déjà un travail qui fait bien avancer les choses. Côté RSSI, je suis en train de mettre en place la gestion des incidents, car nous avons une obligation de notification dans les 24 heures vis-à-vis de la CNIL. Ce que je veux surtout lancer c'est une capacité de détection, car on est plutôt dans la réaction. Quand on se rend compte qu'il y a un problème, on a les logs, mais on n'est pas capable de se rendre compte qu'on se fait « taper ». Il faudrait pouvoir réagir rapidement et bloquer ou limiter l'attaque lorsqu'elle est en cours.

MD : C'est donc votre action prioritaire. Pour la nomination du DPO, il sera donc mutualisé. Vous savez s'il y aura un appel d'offre, qui va statuer sur le sujet ?

CB : Non pas vraiment, mais j'arrive seulement sur le poste. De plus l'ancien RSSI, n'était pas sur cette fonction à plein temps et je pense qu'il n'avait pas totalement conscience des enjeux, qu'il n'avait pas une vision globale, mais purement informatique. J'arrive avec une vision plus transversale et je bouscule un peu les lignes établies.

MD : C'est donc le signe que le RGPD commence à porter ses fruits !

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Vous allez probablement mener une analyse d'impacts. Allez-vous utiliser le PIA, Privacy Impact Assessment, proposé par la CNIL ou d'autres outils ?

CB : Ce sera plutôt une démarche globale, car dans mes attributions, je dois réaliser une PSSI, Politique de Sécurité des Systèmes d'Information, donc ce sera un package.

MD : Est-ce que vos prestataires ou éditeurs de logiciels ont commencé à communiquer autour du RGPD ? Est-ce que vous les avez-vous-même interpellés ?

CB : Pour l'instant j'ai uniquement été impliqué dans les nouveaux projets ou ceux qui sont en cours et globalement les prestataires ne s'en préoccupent pas, ils considèrent que ce n'est pas leur souci. Que ce soit pour les applications médicales, ou les appareils périphériques de commande pour les documents administratifs. A l'inverse, je suis sollicité par ailleurs par des prestataires qui axent leur communication autour du règlement. Le RGPD c'est surtout de l'organisation, il n'y a pas de label RGPD conforme. Ce n'est pas au produit d'être conforme, mais l'usage que l'on en fait. Mais il y a des commerciaux qui ont compris qu'il y avait un grand flou et qu'ils pouvaient jouer là-dessus, mais ça ne fonctionne pas avec moi... D'un autre côté, il y a des entreprises qui ne sont pas du tout au courant. J'ai travaillé hier sur une application médicale, dans laquelle les données sont stockées en claire, comme les identifiants ou les numéros de sécurité sociale des patients, avec un cryptage proposé en option. Mais c'est une solution qui est commercialisée. Je les ai donc interpellés vis-à-vis du RGPD et ils m'ont répondu que c'était possible, qu'ils pouvaient l'adapter et qu'ils l'ont déjà fait. Ce n'est donc pas intégré dans leur process...

MD : On est loin du privacy by design préconisé par le règlement ! Beaucoup n'ont donc pas encore pris la mesure de la portée du RGPD.

CB : Je pense que ceux qui en ont vraiment pris conscience, c'est la GAFA, car ils sont directement ciblés. On le voit bien avec la sanction de 4% du chiffre d'affaire, car 200 000 € ça les aurait fait rigoler ! Là c'est autre chose, car si on prend Facebook ou Google, l'un des deux gagne l'équivalent du PIB d'un pays. Ils sont donc face à un enjeu commercial, mais également de crédibilité. On voit Mark Zukerberg faire son mea culpa et apporter des évolutions sur leurs applications. Je me mets sur les réseaux sociaux justement pour voir ce qu'ils font, ce qu'ils collectent et j'ai remarqué qu'on a maintenant la main pour accepter que nos informations puissent être utilisées par un autre site, alors que ce n'était pas le cas avant. Cela apparait clairement et de ce côté-là il y a une prise de conscience de leur part. Mais pour les PME et petites entreprises, ce sera plus difficile.

MD : Concernant les GAFA, même avec ce qu'ils ont modifié, j'ai quand même le sentiment qu'on reste souvent obligé d'accepter leurs conditions pour utiliser leurs outils.

CB : Non, je vous assure que ça a évolué, on peut choisir ce qu'on accepte de transmettre. La seule chose qu'on ne peut pas empêcher s'est de transmettre son identité. Tout ce qui est annexe au profil peut être désactivé, du moins sur les sites que j'ai pu tester.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Pour les autres acteurs, j'ai l'impression que tout le monde a joué la montre et qu'ils commencent à se réveiller.

MD : C'est vrai. Heureusement que la CNIL a un discours plutôt rassurant, en disant qu'ils auront d'abord une approche pédagogique.

CB : Seulement la première année. J'en ai discuté en janvier lors du forum de la cyber sécurité à Lille, avec un intervenant proche de la CNIL, qui me disait qu'ils vont quand même faire des exemples, plutôt de grosses structures, mais aussi des administrations ou des collectivités, pour bien montrer que tout le monde est concerné. Ils ont changé d'étiquette, ils ne sont plus là pour enregistrer des déclarations, mais pour faire du contrôle et c'est sur le contrôle qu'ils seront financés. Ils ont donc intérêt à en faire beaucoup.

MD : Donc dans vos relations avec les prestataires, qu'allez-vous modifier ?

CB : Dans mes nouvelles interactions, je rajoute un volet qui n'existait pas, sur la confidentialité. Avant on ne mettait pas particulièrement de contraintes aux prestataires et je commence à faire des modèles types de contrats ou de documents, pas forcément axés uniquement sur le RGPD, mais sécurité en général. Mais de fait cela doit être en conformité.

J'ai également découvert récemment que nous sommes censés acheter uniquement du matériel qualifié par l'ANSSI, l'Agence Nationale de la Sécurité des Systèmes d'Information, comme l'exige le RGS. Et ce n'est pas du tout pris en compte dans nos achats actuellement et cela va rendre les choses plus complexes, car c'est une exigence que nous devrons appliquer à tous nos prestataires.

MD : Si vous devez remplacer tout ce qui n'est pas conforme, cela peut avoir de lourdes conséquences financières.

CB : Oui, mais on ne pourra pas tout remplacer, mais pour les nouveaux investissements, nous devrons en tenir compte. Mais on a plutôt de la chance, car nous avons constaté que nous avons quand même beaucoup de matériel qui sont qualifiés.

MD : Dans vos exigences, demanderez-vous à vos partenaires d'avoir une cyber assurance par exemple ?

CB : Pas forcément, mais je me suis par exemple intéressé aux outils de prise de contrôle à distance. L'outil utilisé doit être clairement identifié, au même titre que les intervenants, dont nous devons une liste exhaustive des compétences et attributions. Soit ils utilisent un compte nominatif pour se connecter, soit l'entreprise doit pouvoir nous garantir une traçabilité précise. C'est une exigence que je rajoute.

MD : Je reviens sur les cybers assurances, car on voir fleurir de nouvelles offres. Vous pensez en prendre une en interne ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

CB : J'ai posé la question en interne aux services en charge des assurances, pour savoir si nous en avions, mais j'ai l'impression qu'ils ont un peu découvert le concept.

MD : A leur décharge, j'ai l'impression que le concept émerge justement avec le RGPD.

BC : Oui mais je pense qu'il faut le voir au-delà du règlement, car on voit que les attaques récentes ciblent les utilisateurs, avec les « ransomware ». Dans notre cas, si les sauvegardes ne fonctionnent pas on a un vrai problème. S'assurer contre ce type d'incident me semble un moyen de détourner le risque en s'assurant sur ses conséquences.

MD : J'imagine que souscrire ce type de contrat demandera des contres parties en terme de moyens mis en oeuvre pour la sécurité.

CB : J'ai justement rendez-vous avec la Direction Général et cela fait partie des points que je souhaite aborder avec eux. Le sujet cyber nécessite une vision globale et c'est ce que je souhaite pouvoir leur expliquer, car j'ai besoin d'une vision de l'ensemble du SI.

MD : Vous serai donc une sorte de chef d'orchestre du SI.

CB : Oui et aussi homme-orchestre, car cela demande de multiples compétences.

Le message RGPD est passé au niveau de la ville car le CIL actuel est dynamique sur le sujet, mais il y a un gros travail en terme de sensibilisation au niveau de la Métro. Certains services sont communs à la Métro et à la ville, notamment la DSI qui est mutualisée, mais d'autres sont parallèles et n'ont pas le même niveau d'information.

Mais l'actualité joue en notre faveur, car il y a le cas de la ville d'Atlanta qui a été piratée au mois de mars. On leur demandé de payer 50000 dollars, mais ils ont surtout dû revoir toute leur sécurité après l'incident, pour un coût de 2,7 millions de dollars ! Leur réveil a été très douloureux.

D'où l'intérêt d'être proactifs et de ne pas attendre d'être confronté à un problème pour

réagir.

Ce qu'il manque en France, c'est de la transparence. J'ai l'impression qu'il y a une sorte d'omerta sur les incidents, on ne sait pas tout. De ce fait le RGPD va obliger les organisations à déclarer qu'ils se sont fait pirater et cela peut aussi faire avancer les choses. Car en terme d'image, elles préfèreront mettre en place les moyens nécessaires, plutôt que de devoir avouer qu'elles ont subi un incident. Il est dommage que nous ayons actuellement si peu d'info sur le piratage, notamment dans les administrations, ne serait-ce que des statistiques anonymes par secteur. Cela ferait peut être réagir les autres.

MD : Pouvez-vous m'en dire plus sur la nature des données personnelles qui sont manipulées au sein de la Métro ? Quel est leur niveau de sensibilité ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

CB : Il y a de tout. On peut avoir des données médicales, je pense notamment aux CCAS, qui ont aussi des informations sur le revenu des personnes, les prestations dont ils bénéficient, leur niveau de précarité... Donc des données vraiment sensibles et ils découvrent seulement la menace.

Nous avons aussi des télé-services qui collectent de la donnée, qui doivent être homologués et qui à ma connaissance le sont tous. Il y a par exemple le paiement des amendes de stationnement, ou plutôt « d'occupation du domaine public » aujourd'hui, sur lequel l'usager peut désormais payer en ligne, ce qui nécessite donc une homologation. Mais je n'y ai pas assisté, tout était déjà fait lorsque je suis arrivé.

MD : Savez-vous si ces données sont partagées avec des tiers ?

CB : Non, elles n'ont pas vocation à l'être.

MD : Qu'avez-vous entrepris en terme de cryptage, d'anonymisation ou de pseudonymisation des données ?

CB : Je n'ai pas vraiment de vision sur ces aspects, mais je suppose qu'il y aura aussi un travail à faire sur le sujet. Je pense que le concept même de durée de vie d'une donnée n'est pas encore intégré. Nous avions récemment le cas d'une application qui contenait les informations sur tous les personnels qui sont passés par ce service et qui aurait dues être supprimées. Il y aura aussi sur ce sujet un travail d'information sur la conservation des données, combien de temps nous pouvons la conserver, comment nous la supprimons ou nous l'anonymisons pour pouvoir l'utiliser statistiquement.

MD : Il faudra donc être capable d'identifier les données concernées.

CB : Cela fait partie de la mission que devra remplir le prestataire qui a été choisi par la Métro, comme l'a entrepris le CIL de la ville dans le cadre de son inventaire des traitements.

Nous n'avons plus besoin de déclarer nos traitements, mais il faut que nous tenions un registre que nous puissions présenter à la CNIL en cas de contrôle.

MD : Et concernant l'information des individus qui font l'objet du traitement, savez-vous ce qui est prévu ?

CB : Normalement cela devait déjà être spécifié par rapport à la loi Informatique et Liberté. Ce qui change, c'est surtout dans le cadre des sollicitations par mail, qui doivent comporter un certain nombre de mentions. Je pense qu'il y a une bonne conscience lorsque nous collectons les données des administrés, mais ce n'est pas le cas en interne. On envoie un mail général à tout le monde, mais on ne propose pas la possibilité de se désinscrire, alors que c'est une obligation. Même en interne le RGPD s'applique sur ce point, car le mail peut contenir des informations personnelles, à partir du moment où des individus y sont nommés.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : Et pour les demandes de suppression d'informations ? C'est peut-être un peu spécifique, puisqu'il ne s'agit pas de clients mais d'administrés...

CB : C'est le même principe pour la portabilité des données ou leur consultation. Je ne sais pas encore comment nous allons traiter cela, mais il faudra être en capacité de répondre.

MD : J'ai d'ailleurs lu que cela risque de générer des coûts de traitement non négligeables pour les organisations, qui pourraient même justifier une participation « raisonnable » de la part du demandeur. Mais je ne sais pas si cela sera applicable dans l'administration...

CB : Cela est aussi valable en interne, car un agent pourra aussi aller voir les RH et demander à voir toutes les données qui le concernent. Il y a eu des cas où certaines directions s'y sont opposées, mais elles ne pourront plus refuser. Mais c'est plutôt une bonne chose, car ces nouveaux droits vont aussi éveiller l'esprit des gens, qui ne voyaient pas toujours d'importance à ce que leurs données soient stockées un peu partout. Ils ne voyaient pas spontanément en quoi le fait que Google sache qu'ils sont allez à Carrefour, puis à Décathlon, pouvait avoir un intérêt. Sauf que cumulé avec les comportements d'autres individus, cela prend une toute autre dimension.

MD : C'est précisément ce que j'aimerais faire ressortir de mon mémoire.

CB : En compilant l'ensemble de ces informations, on est capable de créer des profils et de faire du ciblage. C'est ce que les gens doivent maintenant intégrer. J'ai volontairement activé la géolocalisation de mon smartphone, pour voir ce que ça collecte. Partant aussi du principe que même si je l'ai désactivé, ils arrivent quand même à le faire. C'est assez délirant, ils sont capables de ressortir où nous étions la semaine précédente, ce que nous avons acheté, dans quel magasin et complétement à notre insu. Si on le demandait directement au gens, ils le refuseraient tous catégoriquement.

MD : C'est aussi lié à nos différences culturelles, par rapport aux utilisateurs américains, qui ne perçoivent pas cela comme une atteinte à leur vie privée. Je pense que nous avons une carte à jouer pour sur le plan international, pour limiter ces dérives.

CB : Finalement, ils commencent à trouver que nous n'avions peut-être raison. C'est notre seule carte à jouer, car sur les technologies on a tout vendu à l'international. Je l'ai bien vu à Lille lors de la cyber conférence, avec des jeunes entrepreneurs sur des projets innovants, qui donnent le sentiment que la finalité consiste à être rachetés par une multinationale. Il faudrait avoir une réflexion globale à l'échelle européenne et dire stop. Il faut que nous développions le projet chez nous, qu'on puisse injecter des capitaux européens. Tous les produits innovants se font racheter. Il y avait l'entreprise slovaque ESET, qui éditait des antivirus, qui était bien placé et a été racheté par une structure américaine. Il y avait aussi des chercheurs à Montpellier qui avait développé un outil d'analyse de données et c'est la NSA qui l'a racheté.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : Mais tout le problème c'est que ces sociétés se voient proposer des montants que nous ne leur proposons pas ici.

CB : Il faudrait aussi que ces créateurs prennent conscience qu'il n'y a pas que l'argent, il en faut et c'est normal que leur travail soit reconnu, mais il faudrait qu'on les encourage à continuer et pas qu'ils aillent tout de suite vendre leur projet. Ce qu'on ne voit pas, c'est que dans le monde d'internet, c'est la guerre actuellement. C'est ce qu'on nous expliquait à l'école militaire. Dans la vraie vie, des hommes en vert tirent sur d'autres hommes en vert, il y a des règles, un engagement... Alors que sur le Net, il n'y en a pas, les hommes en vert peuvent taper sur des civils et ça ne se verra pas toujours. Si on ne se protège pas sur ce terrain, que l'on revend nos compétences et savoir-faire ailleurs, on devient vulnérable et dépendant. On a déjà perdu la maîtrise des équipements, nous ne sommes plus capables d'en fabriquer en Europe, tout est fait en Asie, donc on a perdu la maîtrise. Au niveau développement, on sous-traite aussi dans d'autres pays à bas coûts. Puis lorsqu'on a un produit innovant, on laisse aussi partir et il quitte l'Europe. Là on commence à initier quelque chose, qui peut faire bouger les lignes.

MD : Oui et on ressent déjà les impacts outre atlantique, car ils ont maintenant des contraintes s'agissant du traitement de nos données.

CB : Oui, comme leur business est impacté, là ils s'adaptent.

MD : Qu'est-ce qui vous semble le plus compliqué ou difficile à mettre en oeuvre dans le cadre du RGPD ?

CB : Le plus compliqué sera d'être en mesure de détecter qu'on a un souci de sécurité. Que ce ne soit pas les médias qui nous en informent. Ce serait gênant vis-à-vis de tous les administrés de la ville ou de la métropole. C'est ma crainte principale et la difficulté consiste aussi à le faire comprendre à nos dirigeants. L'enjeu est là pour eux-aussi, en terme d'image, le jour où les données auront été détournées, ce ne sera pas sans conséquence pour nos élus.

MD : Vous avez envisagé un rétro planning, des dates butoirs ?

CB : Non c'est encore trop tôt pour l'envisager. Rien que sur mon périmètre de cyber sécurité, il y a tellement de chantiers à lancer que ce serait difficile. Certes le cadre réglementaire, les a poussés à prendre un prestataire, mais si le reste ne suit pas, ça n'a pas de sens. Mais en tant que RSSI, le règlement est un excellent levier pour faire avancer les sujets. Mais je pense qu'il y avait déjà eu une évolution des mentalités en 2004. Je l'ai constaté à l'époque lorsque j'ai intégré le CNRS, où mon prédécesseur me disait qu'avant personne ne tenait compte de ses préconisations et ne voyait que les aspects contraignants.

On a aussi un contexte particulièrement favorable, avec le RGPD, une recrudescence de cyber attaque depuis l'année dernière, les pays qui structurent leurs armées cyber. On voit d'ailleurs que les conflits usent de plus en plus du numérique, comme la Russie qui est capable d'arrêter des centrales électriques, ou de provoquer des pannes sur les réseaux de télécommunication. Les états ont intérêt à maîtriser ces outils pour déstabiliser les autres. Et

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

nous collectivités, sommes des entités sensibles et c'est le message qu'il faut arriver à faire passer. Si une puissance veut déstabiliser la France, elle commence par attaquer de petites entités administratives à droite à gauche et cela provoquera une réaction en chaîne.

MD : C'est le même problème avec le terrorisme.

CB : Pour l'instant les attaques identifiées comme étant menées par Daesh étaient basiques. On n'est loin de la puissance de frappe que peut avoir la Chine ou la Russie, qui ont des experts et en quantité.

La France commence à changer, avec la création de la réserve Cyber Défense, qui consiste à créer une réserve de professionnels déployée sur le territoire pour remédier à des problèmes de cyber attaques globales, qui atteindraient des banques, tout ce qui fait que le pays fonctionne.

MD : Face à une attaque de ce type, vous serez donc mobilisé en tant que réserviste et envoyé sur telle ou telle mission.

CB : Absolument, le but est d'aider des entités civiles. Actuellement nous sommes environ 400, mais l'objectif est d'être 4000.

MD : Et c'est eux qui vous ont approché ?

CB : Non, j'en ai entendu parler à l'école militaire et comme j'étais sensibilisé, je me suis dit pourquoi pas. Il y aussi un chantier énorme pour les individus, qui ne sont absolument pas sensibilisés aux risques cyber. Que ce soit dans protection de leurs ordinateurs et du chiffrage des données qu'ils contiennent. Il y a bien sûr le vol crapuleux de la machine physique que tout le monde comprends bien, mais ils ne perçoivent pas tellement que c'est aussi ce qu'elle contient qui est convoité.

C'est un vaste chantier, d'autant que maintenant, 80% des incidents proviennent de l'utilisateur. On peut avoir les meilleurs systèmes de pare feu ou anti-virus, si l'utilisateur n'a pas le bon comportement, le problème vient de l'intérieur et ces dispositifs ne servent à rien. Ce n'est même pas forcément la faute de l'utilisateur, il n'en a pas conscience ou ne sait pas comment réagir. C'est aussi la responsabilité des personnes en charge de la sécurité de faire en sorte que cela change.

MD : Je m'en rends bien compte en tant qu'utilisateur et même en ayant travaillé dans l'informatique, je n'ai jamais eu de formation spécifique ou rarement de directives précises quant à la manière dont je dois me comporter.

CB : Nous sommes toujours dans un modèle réactif, on fait signer une charte informatique, sans s'assurer que le salarié comprenne ce qui est écrit dedans. On attend de la part des salariés un certain comportement, sans leur expliquer comment reconnaitre une menace ou avoir ce bon comportement. Alors que lorsqu'on s'emploie à faire de la pédagogie,

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

on fait rapidement ouvrir les yeux au gens. Je le vois dans mon ancien poste, je pense que quand je suis parti, les gens étaient bien sensibilisés, mais cela a pris du temps, mais il y a eu de gros progrès.

MD : Le problème est que cela repose sur des bonnes volontés. On le constate à l'école, où certains professeur vont sensibiliser les enfants au numérique et pas d'autres, car ce n'est pas forcément imposé au programme.

CB : La sensibilisation du personnel fait partie des chantiers à lancer en interne. Cela représente un investissement au départ, mais il faut le ramener à ce que coûterai un incident lié à une mauvaise utilisation. Si on reprend l'exemple d'Atlanta, les personnels n'ont pas travaillé pendant une semaine, les impôts et taxes ne rentrées plus, plus rien ne fonctionnait. J'avais aussi lu un article, qui évoquait une ville californienne dont la billetterie s'était fait pirater, avec les gens prenait le métro gratuitement pendant 3 jours et des répercutions liées à la remise en route des outils.

Pour faire changer les mentalités, le RGPD est un bon argument et il faut que les gens le portent vraiment. Il faut aller au-delà de la sanction réglementaire et bien expliquer pourquoi on le fait et leur donner des exemples concrets des bénéfices qu'il aura dans la vraie vie. Il y aussi les acteurs comme la CNIL qui communique beaucoup, notamment dans leurs derniers guides qui sont synthétiques et faciles à appréhender. L'ANSI produit aussi des documents, qui sont énormes, mais l'information à faire passer l'est aussi. Le problème c'est qu'on a accumulé des années sans rien faire et que maintenant il faut mobiliser les gens. On sait que le timing ne sera pas respecter, mais parce qu'on a fait l'autruche et que les gens se sont seulement réveillés il y a 6 mois, à part les commerciaux qui communiquent depuis plus un an, il y en a partout et ce n'est pas toujours à bon escient. C'est dommage que les entreprises et les administrations ne s'en soient pas préoccupé avant.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ANNEXE 2 - Romain Ivoy - EVOS Infogérance

GUIDE D'ENTRETIEN

- Quelles sont les démarches ou réflexions qui ont été entreprises au sein de votre structure ?

o Dans votre fonctionnement interne ? Vos outils de communication, démarches marketing ? Type de données collectées, usage, conservation ? Accompagnement, experts, conseils...

o DPO, groupe de travail

o Dans les services ou l'accompagnement de vos clients ?

Ont-ils pris la mesure de leurs responsabilités ? PME, peu responsabilisés

? Gros sont largement interpellés > Démarches

? PME certains en parlent diffus

? Aucune réflexion petits clients > Occupé par leur activité

Avez-vous eu des demandes particulière (cryptage, recensement, documentation...) : Procédure d'effacement des données pour vos clients ; demandes de certification ou label CNIL ; analyses de risques/impact PIA (Privacy Impact Assesment) ou audit...

o Avez-vous révisé vos contrats clients et sous-traitant ? Clause de garantie ?

o Avez-vous souscrit une cyber assurance ?

- Quelles adaptations techniques avez-vous réalisé pour garantir la sécurité de vos données ? Quels impacts économiques ? Investissements ?

- Pensez-vous que cette réforme constitue une contrainte ou une opportunité pour l'entreprise ?

- Pensez-vous que ces dispositions soient suffisantes ? Quelle est votre analyse ?

- Vous évoquiez plusieurs idées lors de notre échange téléphonique - Pouvez-vous les développer ?

o Une forme de protectionnisme économique européen face aux GAFAM ?

o Développement d'un business opportuniste autour du sujet pas toujours justifié

o Adéquation des textes avec la réalité et disparité entre les types d'entreprises

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

TRANSCRIPTION DE L'INTERVIEW Romain Ivoy

Le 26/04/2018 à Saint-Ismier Responsable Technique, associer Prestataire de service informatique

Mathieu Darmet : Romain Ivoy, quel est ta fonction chez d'Evos Infogérance ? Responsable Technique ?

Romain Ivoy : Oui on peut dire Responsable Technique.

MD : Je suis venu t'interroger sur le RGPD et les données personnelles en générale, voir sur l'identité ou la responsabilité numérique des individus. J'aimerais notamment savoir ce que vous avez fait en interne, ce que vous collectez, comment cela impacte votre démarche marketing ou votre communication.

RI : Pour ce qui est des aspects marketing et communication, nous n'avons pas d'activité. Notre métier consiste à être le service informatique de nos clients et pour lui changer son prestataire ou son service informatique, c'est cycle long. Ça ne marchera pas avec une campagne d'emailing, c'est des opportunités et des relations qui se créent. Il n'y a pas spécifiquement de démarche marketing, en tout cas dans notre société. Donc nous n'avons pas de problématique de données personnelles à ce niveau. On va utiliser des réseaux d'influence et c'est des gens chez nous qui sont dans ces réseaux qui vont ouvrir les portes, trouver les contacts et ensuite on engagera une démarche avec les prospects. Aujourd'hui, nous n'avons pas de démarche de communication massive, ce qui nous simplifie la vie.

MD : Sur le plan du RGPD c'est certain.

En terme d'organisation et vis-à-vis de vos traitements internes, est ce que vous avez mis en place des procédures, nommé un DPO ?

RI : Nous n'avons pas besoin de DPO, mais nous avons la particularité d'être service informatique pour nos clients. De ce fait, nous sommes sérieusement impactés par le RGPD, au moins du point de vue du temps que l'on passe à en discuter. Par rapport à nos propres outils, qui nous permettent de faire la maintenance et d'accéder à l'ensemble des systèmes d'information de nos clients. C'est donc une vraie question pour nos clients. Nous avons aussi les aspects légaux sur nos contrats à traiter, les clauses de non divulgation pour nos salariés, mais qui existent déjà, puisque n'importe lequel de nos techniciens qui intervient chez un client a potentiellement accès à des données, il peut les manipuler, les copier. Sur notre activité de support, nous sommes en train d'apporter quelques fonctionnalités supplémentaires, entre autres pour les prises en main à distance et qui découlent directement du RGPD. Nous avons un mode de fonctionnement où tout est centralisé par nos outils. Un technicien ne peut pas faire de prestations chez un client sans que cela passe par nos outils-métier. Beaucoup d'intervenants utilisent par exemple du Team Viewer ou des outils gratuits pour se connecter chez leurs clients. Mais l'inconvénient c'est que le client n'a aucune visibilité sur ce qu'ils font, il n'y a aucune traçabilité possible. Depuis la création de notre société, ces pratiques n'existent pas. Tous les

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

outils sont internes à l'entreprise et chaque technicien qui se connecte est tracé et doit systématiquement renseigner le numéro de dossier concerné. Lorsqu'on se connecte à distance sur un serveur, on a automatiquement un pop-up qui lui demande d'identifier le dossier pour qu'il puisse réaliser l'intervention. On sait qui est la personne et pourquoi elle est là, ce qui nous permet de restituer au client l'ensemble des actions effectuées sur les machines, dans quel cadre, par qui et combien de temps nous avons passé.

MD : Et vos clients, est-ce qu'ils en ont pris la mesure ? Est-ce qu'ils vous interrogent sur le RGPD ?

RI : Ce sont des PME et il y a 3 cas de figure. Les plus gros qui sont harcelés par les différentes communications commerciales, ont commencé à engager des démarches et se sont déjà tournés vers nous pour valider les choses. Nous avons les sociétés plus petites où de temps en temps on nous en parle, mais c'est très diffus. Et pour les tout petits clients, ils n'ont eu aucune réflexion et la plupart d'entre eux ne savent même pas ce que c'est. De toute façon, ils ont déjà du mal à assurer leur charge de travail au quotidien, donc ne vont pas s'occuper de choses subalternes, pour lesquelles il n'y a pas eu de communication et personne n'a pris le temps de regarder.

MD : Oui, ils en ont au moins entendu parler et il y a des contraintes.

RI : Dans une PME de 5 ou 6 personnes, c'est en général le dirigeant qui gère ces sujets et c'est une contrainte parmi d'autres, qui sont toujours plus urgentes. Etant acteur informatique nous nous en sommes forcément occupés. Pour nous il y avait deux axes, l'un interne pour la mise en conformité juridique, ce qui nous rappelle bien que la RGPD est avant tout un problème juridique, sur lequel les gens de l'informatique ne peuvent qu'accompagner dans la traduction des moyens. Le prestataire informatique va être là pour faire la translation entre les aspects très techniques et les besoins des juristes. Nous avons donc pris rendez-vous avec notre juriste, pris l'ensemble des contrats relatifs à notre activité, et lui expliquer ce qu'on fait et notre juriste met un plan d'action en place pour notre société. Compte tenu de notre taille, nous n'avons pas le temps de nous en occuper. On ne peut ni détacher la personne et on n'a pas obligatoirement les compétences pour traduire le texte correctement. On est tous capable de lire du français, mais l'interprétation d'un texte de loi c'est un métier. Mais quand on pense ne serait-ce qu'à la définition de ce qu'est une donnée à caractère personnel, c'est déjà une aventure. Par exemple est ce qu'on est obligé de déclarer le carnet d'adresses Outlook de ses salariés ? Puisqu'une fiche de contact, c'est bien une donnée personnelle, qui identifie de manière explicite un individu par son nom, son prénom, son numéro de téléphone mobile, son adresse mail.

MD : Mais il y a aussi une question de sensibilité de ces données personnelles.

RI : Là attention, il y a les données à caractère personnel et ensuite celles qui se rapporte à des sujets spécifiques, comme la santé notamment. Mais ce dont parle le RGPD, au sens général du terme c'est bien des données à caractère personnel, avec un volet pour les données sensibles, avec des obligations spécifiques. La personne qui s'occupe de l'administratif dans une PME, qui a reçu des tonnes de documents, va me demander ce qu'elle doit déclarer : « ma base

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

de gestion, mon fichier de paie, je fais comment ? » Nous allons pouvoir l'aider à recenser ses données d'un point de vue informatique, car en général dans l'entreprise une personne n'a pas une visibilité transversale, mais plutôt verticale. Elle voit ce qu'elle utilise, mais ne sait pas forcément qu'à l'atelier ils ont mis en place des plannings, avec le nom des personnes, leurs numéros de téléphone pour les astreintes, ils se sont peut-être arrangés entre eux. Comme chaque personne passe par nous à un moment, pour savoir comment traiter ses données, comment on va les sauvegarder, on a une vision des demandes en entrée et une vision du système dans son ensemble. On peut donc faire l'inventaire du système de manière exhaustive et c'est là que l'on peut accompagner le client, pour recenser les informations.

MD : Donc vous avez eu des demandes de missions particulières vis-à-vis du RGPD.

RI : Quand on nous aborde sous cet angle, on leur explique ce qu'on connait de la RGPD, on leur demande de se retourner vers leur juriste, car il va y avoir des modifications dans les contrats de travail, une charte informatique. Est-ce qu'une charte informatique peut-être rédigée par un technicien informatique ? Je ne suis pas sûr qu'elle soit légale à l'arrivée. Ensuite on peut l'accompagner par rapport à son besoin, mais on ne va pas se lancer dans un inventaire, qui prendrait des jours. On est peut-être de mauvais commerciaux, mais tant qu'on ne connait pas l'obligation légale de ce client, on le rassure dans un premier temps, car c'est avant tout le problème qu'on va rencontrer dans une petite structure. En plus si notre interlocuteur n'est pas le dirigeant et qu'il est le seul à en avoir entendu parler, il n'est pas forcément audible. Le RGPD vise différentes choses, c'est comme toute procédure qualité, qui entraine des contraintes, mais pour moi, la vraie question, c'est comment l'utiliser à des fins pertinentes dans l'entreprise. Est-ce qu'on le fait juste pour être certifié, ou est-ce qu'on essaie d'améliorer nos process. Pour moi, cela doit être abordé sous forme de valeur ajoutée. Nous l'utilisons nous aussi au travers de nos clients, pour valoriser nos prestations.

On va leur donner les éléments qu'ils pourront eux-mêmes valoriser auprès de leurs clients, dans leurs propres prestations grâce aux mécanismes qu'on a mis en place au niveau de l'informatique.

MD : C'est-à-dire ?

RI : Sécurité, sauvegarde, tolérance de pannes, moyens mis en oeuvre, période de support, astreintes, qui permettent à nos clients de dire qu'ils ont une continuité d'activité. De dire que les entrées/sorties et les droits sont contrôlés, qu'ils sont aux normes et de le garantir à leur client : « si vous avez besoin, on peut ». Cela permet à nos clients de se positionner avec un niveau de fiabilité de leur système d'information qui est déjà plus élevé que celui de leurs concurrents. Cela leur permet d'arriver sur le marché avec un autre niveau de critères et de créer une barrière à l'entrée, car le client va demander aux autres s'ils l'ont aussi. Du coup, leur client ne sait pas vraiment pourquoi, mais si c'est moins bien en face, il en tiendra compte. Donc si nos clients interviennent dans l'aéronautique, de la chimie ou vis-à-vis de domaines qui sont réglementés, ils pourront, même en tant que PME, échanger avec le service informatique de leurs clients. C'est donc une valeur ajoutée pour eux et une différenciation par rapport aux tailles de structures, parce qu'ils accèdent à des moyens qui ne sont pas normalement mis en place. Là on aborde un autre point de la réglementation que l'on peut traduire sous forme de valeur ajoutée, à savoir : comment je transforme cette contrainte réglementaire en avantage

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

concurrentiel. Dans notre cas, grâce à cette réglementation, cela permet d'éliminer un certain nombre d'acteurs ou de leur créer des difficultés dans leur business.

MD : En d'autres termes, cela vous permet de mettre en avant une valeur ajoutée qui n'était pas forcément perçue par vos clients.

RI : Il ne faut pas aller trop loin non plus, mais nous sommes toujours partis du principe que : pourquoi faire mal, alors qu'on pourrait faire bien avec les mêmes ressources ? Si on est bien préparé, on peut faire sa prestation proprement, plutôt que tout faire dans le désordre en se débrouillant pour que ça marche en partant, mais c'est de l'à peu près... On s'est toujours focalisés sur cette approche, en partant des bonnes pratiques, quitte à détourner quand on rencontre un problème ou pour certains usages, mais nous respectons nos process. On l'a vérifié ces dernières années, avec des PME qui ont été rachetées par des grands groupes. Le risque était de perdre notre client et les groupes en question ont finalement recontracté avec nous, parce que ce qu'on leur fournissait était tout à fait compatible avec leurs méthodes de travail. Donc comme le service informatique de ces groupes est relativement loin du site que nous gérons, pourquoi s'embêter à modifier des choses qui fonctionnent parfaitement. Après lorsqu'on arrive sur des clients plus petits, qui n'ont pas ces problématiques et ces contraintes, on est plus chers et plus contraignants.

Mais depuis le vote de la loi en 2016, nous avons quand même eu pas mal d'éléments qui sont venus heurter l'opinion en matière de sécurité. Le sujet de la sécurité numérique est devenu un sujet un peu plus présent pour le commun des mortels, avec Facebook, Snowden, les ransomware, qui sont des évènements très médiatisés. Mais c'est un peu comme la peur du gendarme, ça ne dure qu'un certain temps et les moyens et volontés se diluent avec le temps. Donc ce qui n'est pas fait sur le moment, ne sera pas fait, ou on attendra le prochain scandale pour réagir.

L'avantage de la législation c'est qu'elle va permettre de définir une norme. Je rappelle que dans le domaine des systèmes d'information et de l'informatique, il s'agit d'éléments critiques qui permettent de faire fonctionner l'entreprise. C'est le système nerveux de l'entreprise, mais il y a beaucoup de sociétés en France qui ne redémarrent pas si elles rencontrent un sinistre informatique, car elles ne le maîtrisent pas. L'entreprise a tendance à considérer que type d'outil, c'est comme l'électricité : on l'allume ça fonctionne et tout le monde l'utilise. Il y a un bouton, j'appuie, ça doit marcher. Mais elle oublie que contrairement à l'énergie, l'entreprise est responsable de la production de son information.

Réfléchis aux structures dans les quelles tu as travaillé, y compris avec moi. Aucunes n'étaient en mesure de garantir qu'elles pourraient retravailler après un sinistre majeur. Parce qu'on se consacrait à notre métier et que cela demandait de gros investissements. Le risque se multiplie, avant on abordait les risques liés aux sinistres naturels, aujourd'hui il est aussi numérique et il s'amplifie.

Avec le RGPD, les gouvernements envoient aussi un autre signal. On s'aperçoit que c'est comme avec un ascenseur, il faut un entretien et si on laisse les gens le faire d'eux-mêmes, ils ne le font pas. Donc on est obligé de contraindre et c'est ce qu'essaie de faire l'Europe avec le RGPD. Elle cherche d'un côté à protéger les données des citoyens européens et de l'autre à créer un levier de compétitivité pour les entreprises européennes, parce qu'on est très en retard sur le numérique. Sur le traitement des données à caractère personnel, sur le traitement de masse, tout simplement inexistant.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

On a des compétences sur des domaines pointus et techniques du traitement de la données, avec des mathématiciens et de hautes compétences universitaires, mais nous n'avons pas su mettre en place les géants permettant de traiter la masse de données nécessaire. On n'a pas les tailles critiques. L'Europe est prise entre la Chine et les Etats Unis, avec des acteurs majeurs, qui ne sont pas forcément que les GAFA qu'on connait, mais qui sont tout aussi puissants : Alibaba et autres. L'Europe a donc fait ce qu'elle sait bien faire, elle légifère...

MD : Oui mais l'Amérique du Nord, qui a plutôt une autre culture vis-à-vis des données personnelles, est en train de se poser des questions, notamment suite aux détournements de données qui ont été médiatisés et ont pu influencer leur électorat.

RI : C'est vrai que quand on est américain, imaginer qu'un ancien du KGB ait pu mettre quelqu'un à la tête de son pays, c'est assez terrible. Ce que je constate aux Etats Unis, c'est que tu fais d'abord puis tu sanctionnes à postériori. Là, nous légiférons avant de faire, ce qui est inhérent à notre fonctionnement, on le retrouve dans notre droit ou dans d'autres domaines. On a une inversion des normes par rapport à eux. Aux Etats Unis, ils attendent d'avoir franchi la ligne rouge. Zuckerberg va devoir s'expliquer devant le Congrès et là ils vont peut-être lui taper sur les doigts et peut-être changer les règles.

Nous, on légifère pour éviter que cela arrive, mais est-ce que ça va être compatible avec le développement économique ? Est-ce qu'on va être mesure de concurrencer ces acteurs américains ? Il est donc intéressant de confronter les deux méthodes.

Mais la manière dont le texte a été fait le rend extrêmement complexe à appliquer. Il est complexe à interpréter et dans l'année qui vient, on entre surtout dans une phase où on va faire des efforts.

MD : C'est d'ailleurs ce que la CNIL entend mesurer, à s avoir ce que les entreprises auront mis en place dans l'esprit du RGPD.

RI : On va faire des efforts, mais je pense qu'on ne va pas s'énerver plus que ça, parce qu'on s'aperçoit qu'il n'y a pas grand monde qui est capable de répondre avec certitude sur ces sujets. Plus globalement, il y a aussi certains domaines du texte qui sont très larges et qui vont à mon avis nécessiter quelques cas d'école et procès pour avoir des jurisprudences. Pour le moment le texte de loi est tellement ouvert, que l'interprétation que va en être faite sera très importante. Il faudra attendre ces premiers jugements pour commencer à avoir des réponses un peu plus précises.

Cela rappelle l'usage de la messagerie en entreprise il y a quelques années, qui a engendré quelques procès, avec des jugements opposés sur des cas pourtant assez similaires. L'interprétation de la loi en fonction du juge était différente. Pour les PME comme nous, on met quelques moyens et on investit du temps sur le RGPD et on pourra démontrer notre bonne foi dans la démarche. Il ne peut pas y avoir d'objectif et d'engagement de résultat aujourd'hui.

MD : Avez-vous des clients qui vous ont interpellés sur des procédures d'effacement des données ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

RI : Non en aucun cas. Nos clients ne produisent pas de la donnée brute, ils utilisent des logiciels. Donc il serait bon que les logiciels intègrent ces paramètres et on s'aperçoit que ce n'est pas le cas. On a d'ailleurs certains acteurs qui fournissent leur logiciel en mode locatif, comme un accès au service. Donc leur responsabilité va un peu se transformer, car le client accède à un service qu'ils gèrent.

Pour l'instant, ils mettent en avant le fait de respecter les données de leurs clients, mais ils n'ont pas encore mis en place tous ces mécanismes de gestion de la donnée dans le temps et n'ont pas fourni les outils pour que l'utilisateur puisse le faire. Le RGPD arrive aussi à un moment où notre monde est en mutation complète, dans son fonctionnement et dans la manière de faire du business.

L'informatique évolue aussi, ne serait-ce que dans les termes utilisés, on parle d'ESN, de responsables numériques, on cherche des data scientistes, on parle de big data... La transformation est très forte et la RGPD arrive en même temps. Ce que je perçois c'est que pour le PME historiques, leur numérisation est encore très abstraite et compliquée. Avec le RGPD qui s'applique par-dessus, cela devient difficile à digérer. C'est plutôt les acteurs du marché, qui en se mettant aux normes vont automatiquement entrainer leurs clients dans la norme et c'est comme ça que le marché va se structurer. On arrive dans un marché où on n'est plus forcément propriétaire de son système d'information, on consomme des services qui vont interagir les uns avec les autres. Donc si tous les services sont aux normes, la question ne se pose pas.

MD : Il restera la manière dont sera utilisé le système d'information et ceux qui ne joueront pas le jeu.

RI : Dans ce cas c'est une violation de la loi. Le débat est récurent, notamment avec Facebook dont les conditions d'utilisation et ce qui est fait des données n'a jamais été très claire. Le sujet reviens régulièrement sur la table depuis 10 ans, même si cela prend des proportions plus importantes aujourd'hui. Des études démontrent que les jeunes utilisateurs sont devenus très sensibles à l'utilisation de leurs données personnelles et qu'ils en ont pleinement conscience. Par contre, ils n'ont pas tellement modifié leurs usages pour autant.

MD : Cela nous amène au niveau de sensibilisation et d'éducation de ce public, qui est assez peu cadré.

RI : En tant que parent, il me semble que c'est à toi de le faire. Pour moi, ce n'est pas forcément le rôle de l'école et c'est aux parents de s'occuper au sens large de l'éducation de leurs enfants. On apprend à son enfant par exemple qu'il faut faire attention au passage piéton. L'école fait des journées de sensibilisation sur la sécurité routière, mais c'est plus un rappel des bonnes pratiques et cela peut traduire une insuffisance de la part des parents sur ce sujet. Pour le numérique, l'usage est surtout fait sous le contrôle des parents. Donner une tablette à un enfant de 3 ans, revient à ne pas assumer son rôle de parent, ne pas prendre du temps pour son enfant, ne pas échanger avec lui... C'est l'occuper pour pouvoir faire autre chose.

MD : De ce point de vu, je suis d'accord. Mais partant du principe que les parents utilisent eux-mêmes le numérique sans être suffisamment éduqués, il me semble illusoire d'espérer les voir accompagner correctement leurs enfants dans l'usage qu'ils en font...

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

RI : Nous abordons là un sujet beaucoup plus large, car en France le numérique apporte très peu de productivité. On a investi dans le numérique depuis de nombreuses années, il y a de l'informatique et des systèmes d'information partout et on n'y trouve pas obligatoirement de gain de productivité.

On s'aperçoit tous les jours que les gens en entreprises ne savent pas l'utiliser, avec des utilisateurs qui impriment leurs tableaux Excel et font des contrôles de sommes à la calculatrice, avec ceux qui font du copier/coller pendant des heures et qui passent aussi des heures à ressaisir les mêmes informations par ailleurs.

Cela revient à faire une activité manuelle avec un outil numérique. Ils se demandent rarement comment ils peuvent automatiser leurs tâches, ce qui est déjà un problème fondamental, car par définition, l'informatique consiste à automatiser des traitements.

L'utilisateur devrait donc face à ces situations se rendre compte qu'il n'est pas en train d'utiliser l'outil de la bonne manière. Sauf que ce n'est pas le cas, parce que lorsqu'on fait des tâches répétitives, au bout d'un certain temps on a l'impression d'être productif et ça nous rassure. Mais nous nous éloignons du sujet.

MD : Pas forcément, car on est en train de protéger les données des gens, mais on ne les protège pas d'eux-mêmes...

RI : Il y a tout d'abord la culture française et latine, pour laquelle le numérique et la donnée sont encore des choses relativement abstraites. C'est devenu d'un usage courant, pour les jeunes générations, comme pouvait l'être à une époque le Rubik's Cube ou les baskets. C'est des usages générationnels qui se sont ensuite généralisés. Le smartphone, les réseaux sociaux, c'est pareil, on ne reviendra pas en arrière.

Nous n'avons pas du tout la même approche du numérique que les anglosaxons. Eux, vont protéger les données, mettre en place des solutions et justement créer des services qu'on ne créée pas. Ils ont une conscience du monde numérique, il est palpable, il est tangible et a une valeur monétisable. C'est très peu le cas chez nous les gens ont très peu ce souci-là. A partir du moment où ça n'a pas de valeur, pourquoi le protéger ?

On réagit aux effets de bord, mais nous se sommes pas encore parvenus à rentrer dans ce monde numérique. Cela se vérifie dans notre entreprise, car il est beaucoup plus simple de suivre une prestation où l'on a du matériel à livrer, qu'une prestation purement intellectuelle. Au niveau comptable et administratif, on va réagir en disant, « ça s'était un gros truc »... Non c'était juste un bien atomique, matérialisé, une fois qu'on l'a livré, on ne l'a plus. Alors que nos prestations numériques sont impalpables.

J'ai eu le cas récemment d'une société de 300 personnes, qui a besoin de faire de la simulation pour leurs production et ils ont un outil qui leur fournit des éléments pertinents et exploitables. Le seul problème, c'est que pour faire les calculs cela prend plusieurs jours et on a déjà terminé la production. C'est normal, vous avez investi 2000 € dans le simulateur et le serveur qui le fait fonctionner, alors qu'une machine adaptée aurait plutôt coûté 30 000 €. Et là ils sont tombés des nues. Je les ai ramenés au prix d'un véhicule pour un de leur commercial, pour laquelle ils sont volontiers prêts à mettre cette somme, en leur demandant pourquoi ils sont choqués de devoir mettre cette même somme dans un matériel pourtant crucial pour leur activité. Pourquoi ? C'est une question de poids ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Ils vont encore une fois valoriser le côté palpable de leur investissement. Et quand on creuse, on s'aperçoit que si leur simulateur fonctionnait plus rapidement, ils pourraient gagner 20 à 30 jours de production sur leur usine. L'investissement me semble donc rapide à amortir, surtout par rapport à la voiture du commercial... Je leur ai donc demandé quel est le bon choix si vous n'aviez que 30 000 € ? Mon interlocuteur, m'a alors répondu qu'étant l'utilisateur de cette voiture, il comprend bien.

On n'est donc toujours pas dans quelque chose de rationnel, quand il s'agit du numérique. C'est des mécanismes qui sont humains, mais c'est toute l'entreprise qui s'appuie sur le système d'information et c'est un des rares postes sur lequel on ne prévoit pas de budget et on ne sait même pas ce qu'il coûte comptablement. Si on confronte le cas d'une chaine de production industrielle et celui d'une chaîne numérique, avec des gens qui font entrer de l'information dans le système, est-ce qu'il y a vraiment une différence ? Prenons le cas d'un avocat, qui finalement produit du document Word à la chaîne et de la prestation intellectuelle. Leur chaîne de production est donc leur compétence et le système informatique. Mais même pour eux, l'investissement informatique reste compliqué, c'est juste un centre de coûts...

MD : C'est assez révélateur. Il y a un vrai problème de perception.

RI : Avec ce problème de perception, le fait d'arriver en bout de chaîne en parlant de protection des données génère une certaine incompréhension. Alors qu'aujourd'hui, ce public devrait réfléchir à comment optimiser ses moyens de production, avec des chat bot pour les avocats, qui vont rédiger leurs contrats automatiquement ou prendre en charge leurs utilisateurs, augmenter en volume et faire des investissements dans les outils de compétition de demain. En dehors de quelques visionnaires ou personnes sensibilisées, la majorité est incapable de mettre le prix qu'il faut dans ce genre de choses.

Quand nous avons à faire à des gens qui sont réceptifs, on peut les interpeler sur les changements qui s'opèrent. Nous assistons à la mise en place de villes numériques, ce qui veut dire de la délinquance numérique, des accidents numériques et il faut donc des pompiers et de la police numérique. Pour schématiser, on est en train de transposer notre monde dans le numérique, on peut pas se limiter à faire les choses à moitié. Ou alors on continue à le faire au fil de l'eau et on fait notre apprentissage dans la dureté. Mais nous sommes face à des gens culturellement adaptés et formés, qui vont tout de suite mettre en place des centres de production numériques « sizés », sans les incidents de parcours.

MD : Donc de ce point de vu, le RGPD est une aubaine.

RI : C'est une aubaine, parce que cela oblige à y réfléchir, mais ça ne suffira pas à opérer la transformation numérique que nous devons faire en France et en Europe. Et ce n'est pas parce que nous avons quelques start up de pointe, la fameuse « French Tech », que nous pourrons transformer l'état d'esprit. D'autant que le tissu économique de base de la France reste les PME et que ce tissu a énormément de mal à s'adapter. Après, avec le changement de génération dans les entreprises, nous allons commencer à avoir des ruptures.

MD : Dans ce cas, il faut peut-être s'interroger sur sa typologie de clients. Ai-je envie de travailler avec des gens qui ne sont pas prêts à mettre les moyens nécessaires ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

11

Le RGPD - Contrainte légale ou opportunité pour les entreprises ?

RI : Oui, mais peut-on se permettre le luxe de choisir nos clients ?

MD : Non, évidemment...

RI : Ce serait tellement plus simple ! C'est quand même ce qu'on essaie de faire, mais on a des clients qui travaillent avec nous par choix et d'autres par hasard. Les seconds, ne comprennent pas toujours tous les enjeux, c'est cher, mais finalement comme tout se passe bien... On a eu des cas où nos clients ont interrogé la concurrence et qui nous ont dit que finalement, ils aimeraient que ce soit un peu moins cher, mais qu'ils veulent continuer avec nous car ces concurrents n'ont rien trouvés à redire sur notre travail. On sait très bien qu'on ne gardera pas certains clients, car ils n'arriveront pas à percevoir ce qu'on leur amène et donc nous ne sommes est pas le bon prestataire pour eux.

MD : Même si ce n'est pas obligatoirement le rôle de l'école, c'est bien là où je voulais en venir quand je parle d'un manque d'éducation et de maturité sur ces sujets.

RI : En plus c'est un marché qui évolue très vite, donc même si on investit dans l'éducation, cela reste difficile. Une Mairie nous avait demandé il y a plusieurs années de former son personnel au numérique et à l'internet. C'était des précurseurs et nous avons pu expliquer les bases aux utilisateurs.

Je suis sûr que ces gens sont encore aujourd'hui beaucoup mieux à même d'utiliser leurs ordinateurs que ceux qui arrivent aujourd'hui sur le marché du travail, car ils comprennent les mécanismes.

On peut comparer ça au monde de l'automobile, tout le monde conduit, mais ne sait pas pour autant comment fonctionne un moteur à explosion. On a souvent vendu l'idée que ceux qui étaient nés avec, maîtrisent mieux les choses. Donc dans cette logique, tout le monde étant né après l'automobile, tout le monde devrait maîtriser comment fonctionne la mécanique !

MD : Oui, mais on leur fait au moins passer un permis de conduire.

RI : Est-ce qui faudrait que ce soit le cas pour un ordinateur ? Il faut regarder quels sont les risques. Oui c'est un peu anxiogène, mais pour ma part je n'existe pas sur internet et donc je n'ai pas vraiment de problèmes. Pas de compte Facebook ou quoi que ce soit. Quand je rentre chez moi, j'éteins mon téléphone, car c'est un outil de travail. Quand je vois mes amis, que je fais un barbecue, je le prends pas en photo, je mange ! Je n'ai pas besoin que quelqu'un « like » ce que je fais pour me dire que c'est bien. Je le sais si c'est bon ! Cela nous amène vers autre chose.

MD : Oui dans le fait d'exister socialement.

RI : Etant un « geek » depuis toujours, je n'ai pas ce besoin. Je n'ai jamais fait un site sur mon poisson rouge ou sur mon chat. Mais si on se moquait de mon site, que je considère être

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

l'oeuvre de ma vie, je comprends que ça puisse faire du mal. Il faut donc un peu relativiser, on peut parfaitement vivre sans être connecté et soumis au numérique.

Aujourd'hui, j'ai beau aimer les voitures ou le rugby, je ne supporte plus d'aller sur les forums, tout le monde s'insulte...

Si on prend Twitter, cela ressemble à un mécanisme visant à automatiser le bashing. Donc le système d'information joue bien son rôle, il automatise le traitement. Au même titre qu'on peut insulter quelqu'un dans la rue ou dans un stade, aujourd'hui on peut le faire à des milliards d'exemplaires.

MD : Cela soulève un problème d'impunité relative sur internet. Certains se permettent des choses qu'ils ne feraient justement pas dans la vie.

RI : Mais aujourd'hui c'est sanctionné. Il y a de nombreux cas ces derniers temps. Mais le RGPD n'y changera rien, car les gens ont toute autonomie dans la bêtise. Est-ce qu'on peut incriminer le numérique quand une végane se félicite sur internet de la mort d'un boucher ? Que les convictions des gens les amènent à penser ça ou à faire des blagues entre amis sur certains sujets sensibles pourquoi pas, mais qu'ils le mettent sur les réseaux sociaux...

MD : Ils sont sensés agir en pleine conscience et assumer.

RI : La législation existe et a toujours existé, c'est le code civil. On a tergiversé sur la loi HADOPI parce qu'il faut s'adapter au numérique, mais si je te vole une oeuvre, qu'elle soit numérique ou atomique, c'est du vol. On veut réinventer des lois, mais elles sont déjà là.

MD : C'est vrai que si les gens n'ont pas le sentiment de voler quand c'est quelque chose d'immatériel, ils n'ont pas spontanément conscience de se faire voler leurs données non plus.

RI : Si l'on prend la tenue de propos racistes ou l'incitation à la haine, il n'y a pas matière à faire des textes de loi, ils existent.

MD : Il y a quand même une forme d'impunité, puisqu'internet permet de masquer son identité plus facilement que dans le monde réel.

RI : Oui, mais on peut envoyer des lettres anonymes ! Avec la protection des données, pour moi le danger est ailleurs, c'est même très simple : Si le 3^èmeReich avait disposé d'outils numérique, il leur aurait fallu combien de temps pour faire un génocide ? En quelques heures ils auraient fait leur liste et aller plus rapidement au bout de leur démarche, ce qu'ils n'ont pas pu faire bien heureusement !

Il y a aussi des dérives modernes plus pernicieuses, puisqu'on voit très régulièrement apparaitre des histoires qui font du buzz sur les réseaux sociaux, sur des sujets qu'on pouvait avant qualifier de rumeurs, qui se trouvent aujourd'hui démultipliés. Ce qui induit finalement des fake news, qui te permettent ensuite d'influencer l'opinion. Il y a donc un danger pour la démocratie, qui n'est pas prête à ce phénomène, entre la liberté d'expression et la diffamation.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Le principe de la fake news est d'insérer des faits qui sont faux et d'influencer une pensée. Lorsque c'est fait correctement, cela crée un état de fait qui n'existe pas. La démocratie doit donc se doter des moyens permettant de lutter contre ces phénomènes et c'est un peu le cas avec le RGPD.

Donc le RGPD va essayer de traiter à la source la collecte de données de masse, ce qui permettra d'endiguer ces phénomène, avec d'avantage de contrôle et de traçabilité. On a aussi des problématiques de criminalité, mais aussi de discrimination. Quand on va vouloir souscrire une assurance, on va s'apercevoir que l'on aura pas forcément les mêmes conditions que son voisin, parce qu'on aura pris en compte nos données de santé, bancaires et autres. On se retrouve donc « benchmarké », parce que l'ensemble de nos données auront déjà été vendues. Mais est-ce que ce n'est pas finalement une volonté de notre société ?

MD : Dans une démarche de profitabilité permanente, j'en ai bien peur...

On est pourtant sensé pouvoir revendiquer un droit à l'oubli, mais quand les données ont été revendues, on en a pas la garantie.

RI : Normalement elles sont détruites et la RGPD devrait pouvoir le réguler d'avantage.

Pour moi c'est vraiment une loi polymorphe, dans le sens où au-delà des contraintes pour l'entreprise, cela permet aux gens de prendre conscience du numérique et de réguler notre marché.

Pour moi, c'est une bonne chose que le sujet soit sérieusement pris en compte, c'est une loi qui est dans l'air du temps. Donc sur le fond c'est plutôt positif, mais sur la forme la loi est très peu applicable. J'aborderai aussi rapidement les aspects économiques, car depuis quelques mois, tout tourne autour du RGPD, même les souris sont « compatibles RGPD »... On voit bien l'opportunisme commercial...

On ressent aussi la volonté de l'Europe de lutter contre la concurrence déloyale des géants du numérique.

Finalement, je trouve que le bruit fait autour se révèle plus productif que la loi en elle-

même.

En dehors des geeks et des earlyadopters, je dirais que 80% des jeunes utilisateurs, donc la génération qui n'a connu que le numérique, ne sont pas plus éclairés sur le sujet que leurs parents.

Ils ne savent ni comment ça fonctionne, ni comment se dépanner eux-mêmes, ni si leurs données sont exposées, par contre ils sont usagers et dépendants. Un peu comme pour l'automobile que nous évoquions, les gens les utilisent mais ne savent pas les entretenir. S'il n'y avait pas un carnet ou leur voiture qui leur dit de faire la vidange, la plupart ne la ferait pas. Si on prend le permis de conduire, il y a aujourd'hui beaucoup plus de rubriques sur la mécanique.

En plus le numérique est un domaine beaucoup plus large.

Je dirais aussi que, comme dans Xfiles, le problème « est ailleurs ». Le fait que Google soit aujourd'hui le plus gros investisseur au monde sur les neurosciences est préoccupant. Parce qu'en encore une fois, les américains font, puis on verra après si ça dérape... Et sur certains sujets, ils seront allés déjà très loin.

Travailler sur la lecture et l'écriture dans le cerveau, c'est un sujet intéressant je trouve, mais que ce soit Google, ça m'interpelle et ce n'est pas une entreprise caritative.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

On est dans un monde qui va être de plus en plus connecté, on parle de réalité augmentée. Nous avons eu la culture « cyber punk > il y a quelques années, avec des auteurs comme Azimov, Gibson ou des films comme Matrix, Blade Runner pour les plus connus. Cette culture a quasiment disparu, parce que finalement on y arrive et ce n'est plus de la science-fiction. Si on extrapole, petit à petit on se connecte à la machine.

Comme l'interface clavier, souris, écran est peu adaptée, donc le plus simple c'est de se connecter directement pour interagir avec le système. Quand on commence à parler de réalité augmentée, de prothèse intelligente, d'équipements comme le pilotage de pacemakers, de régulation d'insuline, on arrive au corps humain connecté. Donc on peut parler de manipulation de la pensée ou d'autres choses, mais l'impact d'un ransomware sur un pacemaker, cela devient un vrai problème.

Pour l'instant le risque est encore bénin, on a des adolescents qu'il faudrait peut-être envoyer en désintoxe d'internet ou de smartphone. Par contre en passant le cap des objets connectés, on va avoir de plus en plus de fonctions qui vont être des extensions de notre propre corps, tout ce qu'on n'aura pas cadré avant va occasionner des effets de bord sérieux. Pour le moment c'est des effets indirects, quelqu'un pirate les hôpitaux comme le NHS avec un ransomware et il faut repousser toute les opérations non urgentes, à la télévision on voit des gens en chaises roulantes déambuler dans la rue devant les hôpitaux anglais... C'est le bazar général, il y a de la tension, médiatiquement c'est terrible, on a perdu 2 jours, mais personne n'est mort !

Le jour où quelqu'un annoncera : Tous ceux qui ont un pacemaker de telle marque, si vous ne payez pas la rançon, je les arrête. Là l'impact est nettement plus direct.

Avec la manipulation du cerveau, je te laisse imaginer le genre de moudjahidine qu'on va pouvoir fabriquer, là c'est un drone humain.

Donc c'est au-delà du RGPD.

Il y a des moyens de se protéger, en ayant un comportement « soft > et diminuer l'impact. Personnellement, je n'ai pas beaucoup de données, donc je n'y fait pas spécialement attention, car l'usage de mes données n'a pas beaucoup d'impact sur mon quotidien. Je n'ai quasiment pas d'exposition numérique et d'ailleurs ça devient tellement rare que, ceux qui n'ont pas de compte Facebook ou Viadeo vont finir par interpeller les gens.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ANNEXE 3 - Entretien Guillaume Pourquié, Grenoble Ecole de Management

GUIDE D'ENTRETIEN

- Présentez-vous - quel est votre cursus et vos attributions ? ORGANISATION INTERNE

- Depuis quand avez-vous initié votre démarche de conformité RGPD ?

o Comment vous êtes-vous préparé ?

Avez -vous suivi une formation spécifique ? Une certification DPO ?

o Avez-vous été accompagné : Juristes, experts, services spécifique de l'administration ?

o Echange avec une communauté, d'autres DPO ?

o Pensez-vous être en conformité au 25/05/18 ?

o Où en êtes-vous dans votre processus ?

- Qu'avez-vous mis en oeuvre :

o J'ai pu voir que vous étiez le CIL auparavant, qu'est ce qui change réellement dans vos attributions et vos missions ?

o Comment vous êtes-vous organisé ?

o Avez-vous mis en place des référents, des responsables de traitement ?

o Avez-vous cartographié vos données ? Combien de temps avez-vous mis ?

o Comment avez-vous priorisées les actions à mener ?

o Avez-vous réalisé une analyse de risque ? Quels outils avez-vous utilisé ? Analyse d'impact de la CNIL : PIA (Privacy Impact Assesment) ? Outils internes ?

o Vous prestataire ou éditeurs de logiciels ont-ils communiqué sur le sujet ? Avez-vous eu des exigences particulières (label, cyberassurance) ? Leurs engagements contractuels ont-ils évolués ?

o Avez-vous souscrit une cyberassurance ? Mis en oeuvre une démarche de certification ou conformité CNIL ?

o Qu'avez-vous modifié en terme de sécurité ?

o Qu'avez-vous documenté ? registre des activités de traitement (obligation >250 sal)

o Quels ont été les impacts financiers ?

- Quels type de données personnelles manipulez-vous ?

o Quel est leur niveau de sensibilité ?

o Comment les collectez-vous (privacy by design et by default) et quel impact sur la manière dont vous les collectez (conditions, mentions, site web...) ?

o Comment sont-elles utilisées ?

o Etes-vous amené à les partager avec des tiers ?

o Avez-vous crypté, anonymisé ou pseudonymisé ces données ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

o Etes-vous en mesure d'informer les individus qui font l'objet du traitement ? De prouver le consentement des individus ?

o Quels mécanisme vous permet de supprimer les données ? A la demande des individu ? Pendant combien de temps pouvez-vous les conserver ?

o Avez-vous évaluer le coût de ces suppressions, mis en place des ressources supplémentaires ? Une participation « raisonnable » à leur suppression est elles demandée ?

- Sur quels aspects vous sentez vous plus particulièrement concerné ou impacté ? Qu'est-ce qui vous semble le plus compliqué ?

VOTRE ANALYSE : Quel votre avis personnel si vous souhaitez m'en faire part ?

o Pensez-vous que ce dispositif soit suffisants ? Quelles peuvent être les limites ?

o Pensez-vous que cette réforme constitue une contrainte ou une opportunité pour l'entreprise ?

o Pensez-vous que c'est l'opportunité pour l'Europe de reprendre la main sur le numérique ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

TRANSCRIPTION INTERVIEW Guillaume Pourquié

Le 07/05/2018 à Grenoble

Délégué à la protection des données (Data Protection Officer) à Grenoble Ecole de Management.

Mathieu Darmet : J'ai été amené à échanger sur la notion de labelisation CNIL, que ce soit pour les entreprises auditées que pour les auditeurs. A part Optimex Data, il semble qu'il y en ait peu sur la région.

Guillaume Pourquié : Non, il y en a d'autres, notamment à Lyon. J'ai recroisé une ancienne Correspondante Informatique et Liberté de la CCI qui s'est mise à son compte dans ce domaine et il y aussi des Délégués à la Protection des Données militants qui ont créés des structures. Comme la société DPMS dans le sud de la France, qui a été créée par un des fondateurs de l'association des CIL.

Depuis il travaille avec le bureau Veritas pour mettre en place une certification.

MD : Oui j'ai vu sur leur site qu'ils proposent une formation pour les DPO, mais à priori ce sera une certification de Veritas et non CNIL. D'ailleurs la CNIL indique que ce n'est plus dans ses prérogatives et que l'attribution des certifications est désormais déléguée à la COFRAC. Mais je n'ai pas trouvé d'information sur le site de la COFRAC.

GP : Oui absolument, vu les nouveaux rôles de la CNIL, ils ne pourront plus. Car ils seraient juge et partie.

C'est le même problème pour la formation des DPO, qui doivent être formés tout au long de leur carrière et la CNIL réfléchit comment s'en assurer. Il y a donc un business pour les écoles de management et j'en parle d'ailleurs en interne.

MD : Travaillant dans l'informatique, j'ai décidé d'opter pour la thématique du RGPD, plus dans l'optique de m'intéresser au fait que les utilisateurs ne sont pas assez formés dans ce domaine et qu'il y a un manque de normalisation. Je trouve qu'il est impératif de mettre en oeuvre des moyens adaptés aux enjeux du numérique, une formation pour qu'ils acquièrent de bonnes pratiques, en prenant conscience des risques et de ce qui est collecté.

GP : Ce thème peut être abordé sous différents angles, on n'a pas la même lecture du texte selon que l'on est juriste, informaticien ou dans la relation client. Je le vois avec les avocats, car quand ils interprètent le règlement, on est sur quelque chose de très particulier. En lisant le texte, je me suis aperçu qu'on pouvait interpréter tout et son contraire. Par exemple, les gens du marketing ont compris qu'il fallait redemander le consentement des gens. Hors la CNIL l'a dit dès le début, à partir du moment où vous avez une base de données avec des clients et que vous respectez la loi Informatique et Liberté, vous n'avez pas besoin de leur redemander leur consentement. Ce n'est valable qu'à partir du moment où la personne ne vous connait pas.

MD : Ce consentement a une durée de vie ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

GP : Il en a toujours une. Vous pouvez quand même la redemander, mais ce n'est plus une obligation, dans la mesure où vous avez déjà un relationnel établi. C'est d'ailleurs ce que j'ai répondu au directeur de l'école, qui s'inquiétait de ce qu'il fallait mettre en oeuvre. Le jour où vous décidez d'arrêter votre relation avec un interlocuteur, vous lui écrivez en indiquant que conformément au RGPD vous ne souhaitez plus faire du business avec lui. Il vous rayera automatiquement de ses bases de données. On essaie de faire une action marketing autour de ça, mais qui n'est pas adaptée selon moi.

MD : J'ai le cas dans mon entreprise, où nous avons une base de clients contenant les informations dont nous avons légitimement besoin. Mais qu'en est-il pour les prospects ?

GP : Les données relatives à un prospect ont une durée de conservation de 5 ans et devront être purgées au-delà. Pour les conserver, il faudra trouver un levier marketing et trouver un argument qui ne se limite pas à simplement demander ce consentement. Ce consentement doit venir parce qu'on veut lui proposer du business. Demander le consentement pour le consentement me semble un peu bizarre. Nous allons justement nous occuper de notre population de diplômés et je vais expliquer au responsable des Alumnis qu'il faut mettre en place pour peut-être désactiver ou réactiver des profils. Il faut proposer de nouveaux services, amener les gens à s'interroger sur la formulation, proposer aux individus de consulter les informations dont on dispose pour les mettre à jour... C'est le cercle vertueux de la relation client. Le règlement dit bien qu'on ne doit pas avoir de fausses informations sur les personnes, ni inutiles. C'est une excellente occasion de les rafraichir et demander si la personne souhaite poursuivre sa relation avec nous ou pas.

MD : C'est la question qui se pose pour les services marketing, qui peuvent aussi avoir peur de voir leur base de contacts se réduire, alors que c'est finalement l'opportunité d'épurer les cibles qui ne sont pas appétentes.

GP : C'est typiquement le côté sympathique du RGPD, car on va arrêter de s'embarrasser l'esprit avec des gens avec lesquels on n'a pas lieu d'être en contact. S'ils n'ont pas vocation à faire quelque chose avec nous, ce n'est pas la peine de les garder. Il faut donc travailler sur ces aspects et c'est ce que j'ai commencé à faire avec les gens du marketing. Les gens ont tendance à utiliser le RGPD pour tout et son contraire et c'est là qu'il faut être très vigilant.

MD : C'est vrai que le règlement est assez compliqué à interpréter.

GP : C'est pour ça qu'en nommant un délégué suffisamment tôt, cela permet déjà de savoir en interne par quel bout prendre cette problématique.

MD : Mais je crois que l'obligation de nommer un DPO dépend de la taille de la structure, de la nature des traitements et de la criticité des données.

GP : C'est vrai, sauf que si la structure est un sous-traitant, elle n'aura pas le choix. Si c'est une start up de 15 personnes et qu'elle travaille par exemple avec GEM, elle sera obligée

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

de déclarer un traitement vis-à-vis des données qui lui sont confiées. Même si elle n'a pas de DPO elle sera de fait obligée de tenir un registre. Dans le cas où GEM serait contrôlée, la société prestataire sera aussi contrôlée.

C'est là qu'est la différence avec la Loi Informatique et Liberté, le registre doit être tenu par le responsable de traitement et non plus par le Correspondant Informatique et Liberté. Cela devient donc un outil mutualisé et c'est très bien. Car pour les gens dans ma situation, qui avait tendance à faire les documents à la place des gens, on va maintenant entrer dans un processus collaboratif. C'est un peu mon challenge, car en plus d'expliquer aux services ce qu'est le RGPD, je présente les outils que je vais mettre en place et en même temps je leur explique que c'est un outil de partage. Ni le mien, ni le leur, mais le nôtre, que nous devons documenter, sécuriser, mettre à jour...

MD : C'est quel type d'outil ?

GP : A ce stade comme je suis lié à des problématiques de process et de construction, c'est un fichier Excel partagé sur un SharePoint, par projet, avec des données accessibles selon les autorisations accordées aux personnes. De ce fait on construit service par service. Je pense que je me ferai assister, car je n'ai pas une bonne idée des logiciels disponibles.

MD : Est-ce qu'il en existe ?

BP : Bien sûr, les éditeurs se sont mis en veille sur le sujet. Il y en a au moins 4 ou 5 qui se détachent, comme DPO Consulting, Ricil, celui de DPMS, Captain DPO... Grosso modo, c'est des produits de gestion de projet qui sont adaptés, avec de la documentation et une interface.

Mais j'attends de voir comment on va travailler avant de choisir mon logiciel. Pour l'instant j'ai utilisé la trame de la CNIL sur Excel et j'ai réadapté les outils en place, dans lesquels j'ai copié la documentation pour pouvoir interroger les services et travailler avec eux sur tous les aspects. On est plutôt pas mal sur ce point, mais il reste à travailler ce qui concerne la relation client. C'est-à-dire bien réinformer les gens de leurs droits, car on doit mieux le faire, être lisibles sur qui traite les données et pour quoi faire, car nous avons différents publics . Le RGPD nous permet de redevenir professionnels, de ne plus collecter pour collecter, ni de trop collecter, mais de collecter pour rendre un service. C'est l'occasion de montrer qu'on est le plus transparent possible.

MD : En terme d'image c'est une bonne chose. Lorsque j'ai rencontré Optimex Data, j'ai demandé au dirigeant s'il avait l'intention ou le droit de décerner un label. Il espère bien pouvoir le faire et justement qu'il puisse le revendiquer dans leur communication.

GP : Je pense que dans l'histoire du RGPD, il arrivera un temps où l'on identifiera les entreprises véritablement labelisées, avec des traitements qui le justifient, qui se détacheront des autres car elles les auront intégrés dans leur démarche.

MD : Je travaille en ce moment sur la génèse du RGPD et après de grandes avancées, il aura fallu un certain temps avant que les choses bougent vraiment. Il aura fallu des scandales

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

pour qu'il y ait une prise de conscience et qu'on apporte des modifications fondamentales au règlement.

GP : Il aura fallu 40 ans. Lors de la présentation de la CNIL, ils ont évoqué le documentaire « Démocratie » sur la génèse du RGPD. Et la CNIL soulignait que le texte européen est une sorte de record, car il aura fallu 4 ans pour mettre tout le monde d'accord. Compte tenu de l'ampleur du sujet, de ses aspects politiques et économiques, c'est l'un des plus gros dossier que l'Union Européenne ait été amenée à traiter. D'autant que l'Europe n'a aucun GAFA et qu'elle doit mettre en place un règlement permettant de réguler un peu ce qu'ils font. Peut-être qu'à terme cela permettra à un GAFA européen de voir le jour...

MD : J'ai l'impression qu'il y a une forme de revanche à prendre pour l'Europe.

GP : Nous n'avons jamais eu la notion du business que cela représenterait. On n'a pas voulu soutenir les entreprises qui à un moment pouvaient le faire, les américains nous rachètent très facilement. Dailymotion était une chaine française à la base. Je suis sûr qu'en Europe nous avons des entreprises qui ont plein de choses à proposer. Pour qu'un acteur européen puisse ressortir, il fallait déjà une réglementation qui le permette.

MD : De plus l'actualité nous est des plus favorables ! Il y a aussi des différences culturelles avec les Etats Unis, notamment sur la notion de propriété des données.

GP : Aux Etats Unis tout est une question de business, puis ils assument ce qu'ils sont en tant qu'individu. Nous n'avons pas la même histoire, chez nous le fait de ficher des gens ramène à l'Occupation et jusqu'où peut amener le fichage de personnes.

Quand on a voulu interconnecter les systèmes dans les années 70, les gens se sont insurgés et cela a pris des proportions politiques. Avec le RGPD, on parle du droit fondamental des gens de disposer de leurs données, basé sur le juridique, l'informatique, la pratique. Il s'agit de structurer et organiser un droit fondamental, tout en permettant la libre circulation des informations.

MD : C'est justement cette dimension sociétale qui m'intéresse.

RG : Quand je parle aux gens de la mise en place du RGPD, ils réagissent en disant que c'est une contrainte. Certes il faudra mener une conduite du changement, mais il s'agit d'un droit fondamental, car on parle de société et de gens. Il faut sortir de l'informatique liberté, il faut le prendre en compte dans les métiers et les processus. Il ne faut plus s'en préoccuper après coup, car il préférable de savoir comment purger une base de données avant qu'elle représente 6 millions de personnes.

C'est un retour au bon sens et à une maitrise que l'on avait perdue. Dans mon métier je ne suis pas là pour interdire quoi que ce soit, mais pour poser des questions, comprendre ce qu'on veut faire et imposer des limites. On va pouvoir rationnaliser les choses. Je vois des gens qui conservent des données juste au cas où. Il faut devenir capable d'accepter de ne plus avoir une information, parce qu'on l'a supprimée et qu'on n'en a pas besoin. Je me suis forcé à le

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

faire, c'est dur, mais ça fait un bien fou ! On est beaucoup moins chargé. Aujourd'hui les capacité de stockage sont telles qu'on ne se pose plus la question. Alors que c'était beaucoup plus compliqué avant, on allait jusqu'à optimiser le nombre de caractères. Passer sur 4 chiffres à l'an 2000, n'était pas anodin. Désormais on ne se préoccupe plus du tout de la capacité de stockage.

MD : Mais ce n'est pas sans conséquence, notamment sur notre consommation d'énergie.

GP : Il y a au moins deux risques : La consommation des serveurs et le coût de stockage. On ne sait pas trop combien, mais ça coûte en énergie et il y a un impact non négligeable sur l'environnement.

Il y a aussi le piratage, car les hackers sont capables d'aspirer n'importe quelles données mal protégées et de les revendre très facilement.

MD : Il y a effectivement un marché et des courtiers en profils personnels.

GP : Il y a de vraies filières. Aujourd'hui un numéro de téléphone se revend quasiment plus cher que celui d'une carte de crédit. C'est étonnant, mais plus utile en terme d'usurpation d'identité. Les données personnelles deviennent donc plus chères que les données bancaires ! Ce n'est par hasard que lors de la vente d'une société, le fichier clients fasse partie des actifs.

MD : J'ai noté que vous étiez déjà le CIL de GEM.

GP : Je suis devenu CIL il y a deux ans. Avant j'étais Relai Informatique et Libertés, car nous étions un établissement secondaire de la CCI, qui en avait un. J'étais son relais pour GEM et j'ai apporté un premier niveau de réponse, pour déclarer les traitements ou alerter. Etant moteur sur le sujet, je me suis proposé de devenir le DPO, d'autant que pour une école jeune c'est opportun de suivre les formations proposées. J'ai travaillé avec l'équipe juridique qui a aussi géré les aspects stratégiques et concurrentiels, puis cela a débouché sur ma nomination en avril dernier.

MD : Je crois que vous êtes assez peu nombreux.

GP : C'est assez récent, bien que dans certaines grosses structures il y en avait déjà, notamment dans les groupes internationaux qui ont voulu prendre le pas au niveau de la directive européenne. Compte tenu des sanctions et des enjeux internationaux ils avaient besoin de profils véritablement compétents.

MD : Ce qui est difficile, c'est effectivement d'en déceler tous les enjeux.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

GP : Je vous conseille d'aller voir le site de l'AFCDP, l'Association Française des Correspondants à la Protection des Données, qui pourra vous donner des éléments supplémentaires.

MD : Je ne peux malheureusement pas être exhaustif dans mes recherches, mais je regarderai ce qu'ils publient. Pouvez-vous m'en dire plus sur votre parcours ?

GP : Je suis un atypique, car j'ai une formation de documentaliste. Donc je suis très sensible à tout ce qui est documentation, partage et savoir-faire. Je me suis très rapidement orienté vers les bases de données, c'était l'époque dans les années 90. J'étais dans l'informatique documentaire et tout est parti de ma spécialisation dans les bases de données, dont je suis un très bon manipulateur et utilisateur.

J'ai ensuite travaillé dans l'humanitaire, comme responsable de la base de données des donateurs, avec une bonne sensibilité de la relation client et du stockage de données. En terme d'informatique et libertés, nous étions déjà respectueux du droit au donateur, mais il n'y avait pas de CIL à l'époque, nous nous contentions de faire une déclaration simple à la CNIL, mais pour le reste nous nous autorégulions. Nous savions déjà stopper toutes les sollicitations quand un donateur nous le demandait, épurer et archiver les bases données le concernant.

MD : D'ailleurs, il y avait déjà à l'époque des notions de déclaration simplifiée, en fonction de la sensibilité des données traitées. Je pense donc à vos donateurs pour lesquels vous manipuliez des coordonnées bancaires qui me semblent être des informations critiques, si ce n'est sensibles.

GP : Les informations bancaires ne sont pas à proprement parler considérées comme des données sensibles, même si elles nécessitent une protection particulière, car on ne laisse pas un numéro de carte bancaire accessible à tous. En terme de litige, si un donateur vous attaque parce que vous avez laissé son numéro de carte bleue, je vous garantis que ça peut faire très mal et les associations étaient très vigilantes. Mais s'agissant de process financiers, ils étaient contrôlés tous les ans par la Cour des Comptes et ils étaient donc particulièrement suivis, du moins là où j'étais.

Mais comme cela peut porter atteinte à l'intégrité, je les considère comme sensibles en terme d'impact et nous devons être en maitrise de ces données. C'est l'un des avantages de mon rôle, je peux mettre le curseur où bon me semble, car je suis responsable. En tant que délégué, je peux opposer une forme de véto à un traitement, car j'estime qu'il présente beaucoup trop de risques. Le responsable du traitement pourra quand même le lancer, mais il devra le justifier et agir en connaissance de cause. De fait en cas de contrôle, il y aura les deux points de vue. Sachant que quand je donne un avis, j'ai en général impliqué le juridique et l'informatique. Mais dans le cadre de GEM, nous sommes rarement sur des traitements pouvant porter préjudice.

Pour en revenir à mon parcours, ensuite je suis arrivé chez GEM pour m'occuper du projet CRM, puis maintenant je m'intéresse aux données personnelles parce que cela répond à mes aspirations et que j'ai la maturité nécessaire. Par rapport à quelqu'un de plus jeune j'ai la légitimité de pouvoir interpeller les services, à moins qu'il ait travaillé à la CNIL avant. On retrouve souvent des juniors qui ont commencé à instruire des dossiers à la CNIL et qu'on retrouve ensuite comme référent dans différentes structures. Dans une entreprise normale, il

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

me parait difficile d'arriver et de se proclamer DPO, car il faut aussi comprendre l'entreprise et son organisation, ce qui nécessite un certain bagage.

Mais quand je discute avec d'autres CIL, je vois quand même le chemin qu'il reste à parcourir, compte tenu de la jeunesse de l'école, mais c'est aussi ce qui est stimulant. C'est aussi l'avantage de travailler avec un réseau de CIL dans un même métier, pour ne pas rester seul et échanger sur nos interrogations.

MD : D'autant que la CNIL doit être très sollicitée en ce moment !

Pour revenir sur mes questions, est-ce que vous pensez être opérationnel ou en conformité au 25/05/2018 ?

GP : Opérationnel oui, mais c'est juste un point de départ, il est impossible d'être en conformité au 25/05. Avez mes homologues, il s'agit plutôt de se demander si nous avons enclanché tous les bons processus. Etre en conformité ne veut malheureusement pas dire grand-chose, car le RGDP est un processus d'amélioration continu. Ceux qui n'auront pas fait de cartographie, envisagé comment ils vont mettre en place la politique de traitement des données à caractère personnel, identifier les interlocuteurs et les personnes impactées en interne, auront plus de mal que les autres qui sont déjà bien avancés sur le sujet. J'ai déjà ma cartographie, j'ai commencé à solliciter les services, je vais trouver des relais, je suis accompagné par la DSI et le juridique, ainsi que par la qualité. Je pense donc que j'aurai tous les ingrédients pour être prêt le 25 mai.

MD : Donc si la CNIL passait vous voir, vous auriez tous les éléments pour justifier de votre bonne volonté. Et c'est essentiellement ce qu'elle compte mesurer dans un premier temps.

GP : Elle pourra effectivement voir que nous avons mis des choses en place, avec un niveau de risque déjà associé à l'ensemble des traitements.

MD : Vous avez donc fait une analyse d'impacts, comme le conseille la CNIL. Vous avez utilisé le PAI qu'ils proposent sur leur site ?

GP : On travaille sur ce sujet avec les informaticiens, pour identifier tout ce qu'on a à faire sur chacun des projets. On part du principe que tout ce qu'on lance doit être d'ors et déjà conforme au RGPD. J'applique déjà la notion de responsabilité conjointe et j'interpelle les sous-traitants lorsqu'ils passent dans mon périmètre, pour qu'ils me documentent en fonction de mes grilles de lecture. Nous avons donc bien enclanché la notion de Privacy by Design. Nous ne sommes pas parfaits parce qu'on débute et qu'on apprend à travailler avec le nouveau règlement. Il y a une conduite du changement, mais nous sommes déjà très vigilants. La jeunesse de l'école et son organisation permettent d'être très réactifs. J'ai l'avantage de ne pas être dans un cadre trop rigide. De plus l'école est entrain de se transformer, donc j'ai aussi matière à interpeller des gens qui se montrent réceptifs. J'ai par exemple rencontré à GEMIC la directrice du service Innovation et Expérimentation de l'école. Ils n'avaient aucun traitement déclaré dans mon registre, car c'est une nouvelle direction. Je lui ai dit qu'il faudrait faire rapidement un état des lieux de tout ce qui présenter un caractère personnel, pour que j'ai au moins une liste

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

d'actions ou de dossiers en cours le 25. Elle m'a immédiatement trouvé un relai dans son équipe, alors que je n'en ai pas encore dans les autres services. Nous allons donc nous voir la semaine prochaine et commencer à lister tous les sujet rapidement et nous verrons où cela nous mène. Après nous documenterons les sujets en fonction de leur importance, avec dans certains cas une étude d'impact, pour laquelle j'utilise les outils de la CNIL. J'ai suivi un atelier en janvier sur la manière de les utiliser, c'est très bien fait et je reconnais le côté pédagogique de la CNIL française. Ils le sont même dans leur démarche, car eux-mêmes ne seront pas prêts pour le 25 et ils ne s'en cachent pas. Ils ferons surtout la différence entre les entreprises qui ont enclanché le processus et qui s'en donnent les moyens et celles qui n'ont rien fait.C'est là-dessus qu'il faut être vigilant et il faut déjà maîtriser ce qui existe depuis 40 ans. Ce qui n'est pas forcément le cas. Il est donc très compliqué de répondre à la question d'être ou pas en conformité. Le 26 mai, nous serons déjà en mesure de répondre à un certain nombre de choses.

MD : Mais il n'y a de toute façon pas de raison que vous soyez plus contrôlé qu'auparavant.

GP : Même si quelqu'un me demande maintenant un droit d'accès à ses données, je sais déjà lui répondre et j'ai une procédure qui est conforme. Ce droit d'accès existait depuis 40 ans et nous avions mis en place des procédures avec la CIL. Ce qui va être nouveau, c'est la portabilité, la suppression des données, qui sont des chantiers un peu plus compliqués. Nous avons des bases de données existantes et supprimer des données n'est pas un processus anodin. Je travaille à identifier ce qui est de l'ordre de l'archivage ou de la donnée de conservation.

MD : Et pour le cryptage ?

GP : C'est ce sur quoi je travaille avec le RSSI, mais c'est un sujet qui relève plutôt de de son périmètre. Je sais qu'il faut que ce soit sécurisé, mais à mon niveau cela doit seulement être documenté. Nous avons déjà sécurisé notre site en https pour être conformes, mais je m'assure juste que nous répondions bien aux obligations du RGPD. Du moment que j'ai du répondant de leur part, c'est l'essentiel.

MD : C'est justement ce qui fait peur aux PME, car ils l'ont pas forcément quelqu'un pour s'en occuper, ce n'est pas leur métier.

GP : Il y aura effectivement des structures qui auront beaucoup plus de mal à intégrer le règlement. La spécificité des grandes écoles, c'est que nous sommes dans un foisonnement de sujets, la recherche, la gestion d'étudiants, la relation entreprise, avec partout des données à caractère personnel. En plus nous avons une forme d'engagement sociétal, mais l'avantage c'est que nous sommes plutôt bienveillants et que l'on essaie de faire au mieux. Je ne suis pas freiné par des mauvaises volontés, personne ne me cache des choses. Les gens essaient de comprendre, s'impliquent et on essaie plutôt de s'enrichir mutuellement.

MD : Vous avez donc pris les devants avec vos prestataires et sous-traitants, mais l'ont-ils fait également ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

GP : Absolument, ça va dans les deux sens. D'ailleurs dans nos dossiers de formation continue, je me positionne comme un sous-traitant, car l'école n'est pas qu'un responsable de traitement. Lorsqu'on signe un contrat avec une entreprise pour former une partie de son personnel, on agit en tant que sous-traitant et j'applique le RGPD. On a fait une documentation et on prévoit des clauses spécifiques.

MD : Avez-vous souscrit une cyber assurance ? Il semble que cela se développe fortement.

GP : C'est plutôt le côté informatique et juridique. Mais il est logique qu'un nouveau règlement génère de nouveaux contrats pour couvrir les risques et nous seront amenés à étudier la question.

MD : J'espère avoir un échange avec une entreprise du e-commerce, secteur qui me parait l'un des plus directement impacté et qui auront peut-être déjà pris des dispositions sur ce point.

Nous avons abordé le cryptage, mais il y a aussi la pseudonymisation et l'anonymisation.

GP : Comme dans beaucoup de traitement, il y a des choses qui relèvent de la statistique. Les gens s'inquiètent de ne plus pouvoir faire de statistiques, mais je leur réponds que ce sera toujours possible, mais qu'il faudra anonymiser. Je ne dois donc plus être en capacité d'identifier un individu.

MD : Vous avez mis en place des mécanismes pour le faire ?

GP : C'est au chef de projet informatique de les trouver. C'est l'avantage de mon rôle, qui consiste à dire ce qu'il faut faire, mais pas comment le faire. J'interviendrai ensuite pour auditer et vérifier qu'on ne peut pas remonter aux personnes. Je ne l'ai pas encore fait et cela illustre bien le fait que la conformité au 25 mai est compliquée. Cela sous voudrait dire que dès le 26 mai je serais en capacité de faire un audit sur un traitement et nous n'en sommes pas à ce stade. Pour le 25 mai, je vais surtout trouver des indicateurs qui nous permettront de dire que GEM est vraiment impliqué pour maîtriser ce sujet et se doter des moyens qui permettront de le piloter, en plus de tout ce que nous avons à faire au quotidien. Le RGPD doit être une préoccupation quasi permanente pour tout le monde, mais ce n'est pas le fond du métier, qui consiste à dispenser des cours et de former des étudiants. Il faut donc un certain talent pour conjuguer les deux.

MD : Avez-vous une idée de l'impact de cette réorganisation sur l'école, que ce soit que le temps ou les budgets qui y sont consacrés ?

GP : Je n'ai pas encore fait d'enveloppe budgétaire, mais j'ai une lettre de mission indiquant que mon employeur est tenu de mettre à ma disposition les moyens dont j'aurai vraiment besoin. Comme je dois par exemple me faire accompagner sur certains aspects, notamment pour trouver le bon outil de pilotage, j'en ai discuté avec le secrétaire général qui a

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

été d'accord pour mettre à ma disposition les moyens nécessaires. Je lance des consultations, étudie les offres et je budgétise.

Je pense que je vais aussi maintenir l'équivalent du bilan du CIL, qui a disparu du RGPD, mais que tous les praticiens du métier souhaitent maintenir pour donner de la visibilité et de la légitimité à leur travail. Il sera plus facile de vous répondre dans un an, mais en terme de temps passé, j'ai constaté que lorsque je suis en amont des projets, cela ne me prend que deux heures, avec les différents métiers, pour évaluer les impacts, faire des recherches et documenter. Quand c'est à postériori, cela représente facilement une journée de travail, car il y a l'impact sur l'existant à prendre en compte. D'où l'intérêt de faire de la Privacy bu design, car on s'interroge dès le début. Si par exemple une base ne prévoit pas de mécanisme de suppression, le travail est beaucoup plus lourd et nécessite des process, avec des tests...

MD : Qu'est-ce qui vous semble le plus compliqué dans la mise en place du RGPD ?

GP : Je pense plutôt à ce qui est le plus challengeant et qui n'est pas forcément le plus compliqué. Le plus intéressant est de mettre les gens en marche, de les sensibiliser. On ne peut pas leur demander de lire le règlement et de l'appréhender. C'est à moi qu'il revient de faire avancer les dossiers, tout en leur délivrant un minimum de bagage pour qu'ils puissent faire leur métier en conscience et en connaissance de cause. Ils n'ont pas besoin de connaitre tout le RGPD, mais de savoir ce qu'ils ont le droit de faire et comment trouver un moyen de régler le problème quand le règlement les contraint. C'est une approche assez subtile, car il ne faut pas qu'ils perçoivent cela uniquement comme une contrainte et qu'ils ne soient pas entravés pour faire leur métier.

Cela peut paraitre compliqué, mais quand les choses auront avancé, ce sera très gratifiant.

Il y a aussi des jours où je suis interpelé sur un sujet urgent auquel je dois répondre en une heure de temps, ce qui demande beaucoup d'agilité. Il faut s'organiser pour répondre à quelqu'un et en même temps en profiter pour le sensibiliser.

MD : Pensez-vous que le règlement aille suffisamment loin ?

GP : Pour l'instant ce texte me semble plein de bon sens, il est très opportun et nous ramène vers de bonnes pratiques. C'est autant du réglementaire que de l'amélioration continue, de la créativité et de l'innovation. Ce qui sera délicat s'est de s'assurer que ce qui est entrepris dans l'ensemble de la communauté européenne soit en adéquation.

MD : C'est ce que j'ai justement beaucoup de difficulté à mesurer. J'ai du mal à savoir comment chaque pays avance sur le sujet.

GP : C'est très compliqué. Mais ce qui est intéressant, c'est que dès qu'on interpelle la CNIL sur un sujet, ils le renvoient systématiquement vers le G29 qui est capable de donner des directives précises, car ils se sont déjà interrogés sur la plupart des sujets. J'ai le cas d'un prestataire qui me répond que la CNIL allemande lui a donné telle réponse, mais je lui réponds qu'à partir du 25 mai, ce n'est plus la CNIL allemande mais le G29 qui arbitre. Il y a aussi l'histoire

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

du cloud américain qui essaie de faire un enfumage du RGPD et j'espère que la CNIL va réagir. Ils évoquent un règlement cloud, mais ça n'a rien à voir avec le RGPD.

Ce qui m'embarrasse, c'est que je n'entends plus parler de la loi qui devait passer par ordonnance au mois d'avril et que nous sommes début mai. Je ne sais donc pas où en est notre nouvelle loi Informatique et Libertés. Tant qu'elle n'est pas promulguée, le règlement européen va s'appliquer, mais pour les dispositifs spécifiques des états membres il y a des zones d'ombre. Nous allons donc jouer les équilibristes.

MD : Pour terminer, ne pensez-vous pas qu'il faudrait aussi former et responsabiliser d'avantage les utilisateurs eux-mêmes ?

GP : Il est clair que dans les années qui viennent, toute personne diplômée ne pourra pas ignorer la portée du numérique. Il faudra envisager des modules plus spécifiques, d'autant qu'à GEM nous avons l'avantage d'avoir une enseignante, Nathalie Devillier, qui est spécialisée sur les données personnelles. Elle anime des modules sur le big data et a des compétences juridiques en la matière. Du coup on en discute beaucoup, car elle m'inspire énormément et on se challenge aussi l'un l'autre. Elle me permet d'intervenir dans ses cours pour illustrer en présentant mes outils.

MD : J'ai quand même l'impression qu'avec la croissance exponentielle du numérique, notamment avec les objets connectés, nous sommes encore loin du compte.

GP : Beaucoup de données sont effectivement collectés et c'est là que la notion de responsable de traitement prend tout son sens. Tout est dans le titre, il sait ce qui se passe et ce qu'on en fait des données collectées. Dans le cas de Facebook, ils ne se sont pas inquiétés de ce qui était fait des informations recueillies par le biais de leur plateforme. Mais désormais, ils sont directement impliqués dans le processus et ne peuvent plus le contester.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ANNEXE 4 - Entretien Céline Ambroise-Thomas, AIRRIA

GUIDE D'ENTRETIEN

PRESENTEZ-VOUS

o Quel est votre parcours ?

o Quelles sont vos attributions ?

o Avez-vous suivi une formation spécifique RGPD, comment ?

VOTRE ORGANISATION

o Quels sont les impacts sur votre organisation interne ?

o Qu'avez-vous mis en place ?

o Où en êtes-vous dans votre processus de mise en conformité ?

o Quels sont les impacts, moyens, financiers ?

o Pensez-vous être opérationnels au 25/05/18 ?

o Souhaitez-vous obtenir un label ?

ACTIVITE

o Avez-vous été interpelés par vos clients ?

o Avez-vous communiqué sur le sujet ?

o Quels sont les retours ? La perception des clients ?

o Le RGPD a t-il donné lieu à des offres de services spécifiques ?

o Cela a-t-il dopé votre activité ?

o Comme le marché, votre activité dans la domotique et les objets connectés semble être en plein développement. De nombreux articles évoquent la vulnérabilité de ces matériels et la faible implication ou responsabilisation des fabricants sur ce sujet. Risques de piratages, élargissement surface d'attaque (20Md IoT d'ici 2020)

? Etes-vous interpellés par vos clients ?

? Les sensibilisez-vous ? Bonnes pratiques...

? Qu'avez-vous modifié dans votre approche

? Les fabricants commencent-il à prendre des dispositions ?

o Perception : sentiment qu'il y a « à boire et à manger »

VOTRE ANALYSE : Quel votre avis personnel si vous souhaitez m'en faire part ?

o Pensez-vous que ce dispositif soit suffisant ? Quelles peuvent être les limites ?

o Pensez-vous que cette réforme constitue une contrainte ou une opportunité pour l'entreprise ?

o Pensez-vous que c'est l'opportunité pour l'Europe de reprendre la main sur le numérique ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

TRANSCRIPTION INTERVIEW Céline Ambroise-Thomas

Le 07/05/2018 à Meylan

Chargée du développement commercial Prestataire de services informatiques

Mathieu Darmet : Je connaissais votre dirigeant car nous avions géré des dossiers en commun il y a quelques années. Puis nous nous sommes ensuite perdus de vue, mais visiblement votre activité s'est bien développée depuis.

Céline Ambroise-Thomas : Maintenant Antoine Dréano gère une partie de notre activité qui s'appelle le Smart Building Alliance, autour de tout ce qui concerne les bâtiments connectés. Avant c'était choses un peu gadget, pour les « maisons de footballeurs » et aujourd'hui presque tous les bâtiments qui sortent au niveau promotion immobilière sont des bâtiments connectés, que ce soit en terme de consommation d'énergie, de sécurité des personnes, de confort... Et c'est très intéressant.

MD : Je vous remercie de me recevoir, car j'ai pu voir vos différentes activités sur votre site et j'ai surtout été interpellé par votre expertise sur les objets connectés. En particulier parce que cela semble être assez sensible en terme de sécurité et que j'ai lu différentes choses à ce sujet.

Nous en reparlerons, mais j'aimerais d'abord en savoir plus sur votre parcours. Vous m'expliquiez que vous aviez au départ travaillé sur la partie RH, puis évolué vers la partie commerciale, pouvez-vous m'en dire plus ?

CAT : Je suis chargée de développement commercial, sur deux activités, la coordination et l'animation au sein du groupe de l'équipe en lien avec le directeur commercial, trouver des leviers de développement pour notre business auprès de nos clients existants et des prospects. Mon autre mi-temps est sur l'agence locale AIRRIA, qui propose des services de proximité en informatique à des clients locaux, qui sont des TPE et PME. Là je fais de l'animation commerciale, du marketing, de la prospection, des devis, de la relance, de l'optimisation de contrats avec nos clients ou à élaborer de nouvelles offres. C'est dans ce cadre que je peux vous parler de mon retour d'expérience sur le RGPD. Nous n'avons pas fait une offre RGPD au niveau du groupe, dans la mesure où au niveau du groupe AIRRIA nous ne sommes plus sur un business modèle de franchises, mais sur un réseau de sous-traitants et d'adhérents, auquel nous apportons de l'activité. Nos clients grands comptes, nous confient leurs projets informatiques et Nous leur portons le projet de A jusqu'à Z, avec la conduite d'activité ici et les agences sous-traitantes, qui ont les compétences pour ces projets et qui bénéficient d'une implantation à proximité du client. Donc dans ce cadre, nous n'abordons pas le RGPD, notre rôle n'est plus de faire de l'accompagnement. Avant nous aidions beaucoup les chefs d'entreprises, en leur proposant des offres, des matrices pour les aider à travailler et à augmenter leurs compétences dans leurs agences. Aujourd'hui, on est face à des entrepreneurs et l'idée est de leur apporter du business. Avec le modèle de la franchise, nous apportions un cadre avec des offres pour qu'ils puissent démarrer et les accompagner sur le terrain commercialement. Par contre, au niveau de ARRIA Chanel, qui est le service qui pilote l'ensemble de nos agences AIRRIA, nous avons quand même fait des webinars sur une sensibilisation au RGPD, pour que tout le monde soit bien informé, puisse communiquer en amont à ses clients, pour les rassurer et se positionner en tant que

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

professionnel sur une partie. Il y a donc eu beaucoup d'information générale sur ce thème et on a expliqué comment sur l'agence de Grenoble nous avons prévu de travailler avec nos clients. Au début, nous pensions tout prendre en charge, alors que finalement nous nous limitons à la partie informatique.

MD : Dans vos séminaires, vous avez fait intervenir des spécialistes, comme Optimex Data que nous avons évoqué par téléphone ?

CAT : Oui pour le 3^ème webinar, ils sont intervenus, parce que nous avons fait le choix sur Grenoble de travailler avec ce cabinet sur la partie organisationnelle et juridique. Nous avons aussi essayé de proposer un tarif préférentiel pour les adhérents qui décideraient de travailler aussi avec Optimex. Notre rôle est de proposer et de suggérer, mais pas d'imposer quoi que ce soit.

MD : C'est donc devenu, plus un principe de coopérative que de franchise traditionnelle, où le franchisé est obligé de souscrire à l'ensemble des offres.

Et en interne ? Vous faites du marketing, des actions commerciales, il y a des fichiers et des données plus ou moins critiques. Qu'avez-vous mis en place vis-à-vis du RGPD ?

CAT : Alors au niveau d'AIRRIA Chanel, c'est la plateforme qui anime, recrute, forme toutes les agences AIRRIA. Mais au sein de la société mère, ce n'est pas moi qui vais m'en charger, car nous avons un DSI externalisé, qui est un de nos partenaires, qui travaille aussi avec Optimex Data. Il dispose donc de tous les éléments pour mettre en place le RGPD au niveau de cette structure.

Donc nous nous sommes plus focalisés sur nos clients que sur ce qu'il fallait faire en

interne.

MD : Effectivement, dans ce cas vos clients sont eux-mêmes des prestataires informatiques.

CAT : Nous avons aussi des clients en direct, TPE ou PME de la région.

Pour le moment nous n'avons pas encore fait d'action marketing sur le sujet, on est encore sur une approche personnalisée, on en parle directement à nos clients lorsqu'on les rencontre. Nous n'avons pas fait d'emailing ou autre sur le RGPD.

MD : Vous n'avez donc pas encore d'impact, de moyens ou de coûts financiers associés à la thématique RGPD ?

CAT : Non pas du tout.

MD : J'interrogeais justement le dirigeant d'Optimex la semaine dernière. Ils ont a un label de la CNIL pour leurs prestations, mais je lui demandais si ils allaient décerner un label ou une certification aux clients. Il y pense, est-ce que c'est quelque chose que vous souhaiteriez

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

obtenir ou mettre en avant ? Nous sommes labelisés RGPD, vous pouvez obtenir une certification...

CAT : Nous mettons en avant notre partenariat avec Optimex, qui est labelisé. C'est un point important qui les rassure et permet de maintenir la confiance. Pour l'instant nous avons vendu deux prestations d'audit RGPD et nous avons vraiment souhaité les positionner comme interlocuteurs privilégiés de nos clients sur le RGPD. Nous restons le service informatique de nos clients, mais on s'appuie sur les services d'Optimex Data qui fait l'audit et peut se positionner comme le DPO externalisé ou qui va former celui de notre client. Après, on voit pour la facturation, ça dépend un peu du client, mais en plus on démarre seulement sur le sujet. Par contre, nous avons validé que c'est ce cabinet qui est le mieux à même de remplir cette mission et on veut qu'ils soient le point d'entrée, ce qui est plus lisible et rassurant pour le client.

MD : Oui c'est un peu ce que ce sont dit les ESN, qui ont d'abord vu un business potentiel, puis réalisés que cela relevait avant tout de l'organisation interne et du juridique.

CAT : Tout à fait et la difficulté que nous avons rencontrée, comme toutes les sociétés informatiques, c'est que nos fournisseurs, d'anti-virus, sauvegardes et logiciels en général, n'avaient pas de communication très claire sur leurs produits. Ça commence, mais on ne sait pas si tel ou tel produit est conforme au règlement. On en a pourtant beaucoup entendu parler, sur les réseaux sociaux ou dans les médias, sur la partie magistrale du RGPD, mais quand on creuse niveau technique il n'y a pas grand-chose...

MD : Je crois que tout le monde est en train d'en prendre un peu la mesure et de se demander ce que cela impacte réellement. Evidemment la sécurité et on voit que beaucoup d'entreprises sont loin d'être aux normes de ce point de vu. Mais je pense que ça va faire bouger les lignes.

Pour en revenir aux interventions que vous avez réalisées pour vos clients, comment ça s'est passé ?

Vous avez d'autres demandes ?

CAT : Alors, elles sont signées et on doit les réaliser. Il y a quelques autres demandes, mais on se rend compte que ceux qui s'y intéressent beaucoup sont surtout des grandes PME, qui sont déjà très bien organisées et qui savent déjà se donner les moyens de leurs ambitions. Nous avons rencontré des Directeurs Financiers qui ont déjà compris qu'avec le RGPD ils n'ont pas le choix et c'est le discours qu'ils tiennent à leur PDG, donc ils prennent le sujet à bras le corps, ont défini un calendrier. Ils ne se sont pas posé la question de le faire ou pas. Donc tout ce passe bien avec ces structures, mais les plus petites se sentent dépassées.

MD : Oui mais à moins qu'elles fassent du e-commerce en B2C, qu'elles manipulent de gros fichiers ou des données sensibles, ces structures sont assez faiblement impactées.

CAT : De manière générale, nous n'avons pas souhaité avoir un discours alarmiste auprès de nos clients. Au contraire et comme Optimex Data le fait, on essaie vraiment de

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

l'appréhender en terme d'opportunité, au-delà du côté obligatoire et de la mise en conformité au RGPD. On part aussi du principe qu'une société que nous suivons, avec un contrat de maintenance, le basic de la sécurité est déjà en place. Parce qu'on n'accepte pas de maintenir un système d'information ou il n'y a pas d'antivirus ou de système de mots de passe et d'identification. Maintenant nous allons quand même vérifier si tout correspond bien à ce qui est décrit par le règlement. Mais beaucoup nous disent qu'ils ont participé à des réunions d'information et qu'ils en sont ressortis très inquiets, de ce fait notre discours les rassure.

MD : Puisque nous parlons de vos contrats, avez-vous avez prévu de leur apporter des modifications, d'ajouter certaines clauses ?

CAT : Pas encore, mais il va falloir et ça fait partie des chantiers en cours.

MD : J'aimerais aussi que nous parlions de l'IoT. J'aimerais comprendre quelles sont concrètement vos prestations sur les objets connectés. Vous en installez vous-mêmes, c'est de la prescription, de la maintenance ?

CAT : L'IoT, nous en avons toujours fait, ça ne s'appelait pas comme ça, mais quand nous disons que l'on installe et que l'on déploie tous les objets connectés, c'est assez large. Par exemple, un radiateur est aujourd'hui un objet connecté, donc aujourd'hui je n'arrive pas vraiment à faire le lien entre le RGPD et l'IoT.

MD : Le lien, c'est la sécurité et les données collectées par ces objets. Techniquement, il y a le problème des firmware qui ne sont pas nécessairement mis à jour par les fabricants, car ils n'ont pas cette culture numérique. On parle de fabricants de radiateurs, pas d'informaticiens, qui ont intégré des technologies, type puces RFID, qui ont un niveau de sécurité très faible, considérant que ce ne sont pas des objets critiques. Mais plus il y en aura, et on parle de 20 milliards d'objets connectés à l'horizon 2020, plus ces problèmes de sécurité, d'intrusion, de malware, seront impactants.

CAT : Oui je comprends, comme nous sommes les donneurs d'ordre de ces prescripteurs ou installateurs, je pense à Enedis pour les compteurs Linky, que nous installons aussi, nous ne nous sommes pas posé la question du RGPD pour les IoT que l'on déploie. Mais eux, je penser que oui. D'ailleurs, sur le plan commercial, à ma connaissance, ils ne ont jamais parlé du RGPD.

MD : Pourtant ces objets remontent des informations qui relèvent de la vie privée des individus et les sources de collecte se multiplient et ces données peuvent se vendre entre autre à des fins marketing, il y a un marché avec des courtiers... Je voulais savoir si le monde des objets connectés commençait à prendre la mesure des enjeux.

CAT : Non, nous n'avons vraiment pas eu de communication de la part de nos prescripteurs. Nous nous intéressons plus au RGPD, vis-à-vis des informations sur nos salariés et pour notre portail AIRRIA Chanel qui collecte des informations sur les marchés et sur nos partenaires. Donc là, il va falloir que nous nous mettions en conformité.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : J'ai bien compris. Donc pour en finir avec les objets connectés, si je résume, les notions de données personnelles, ne passent pas par vous, ni par vos installateurs, mais relèvent plutôt des fabricants.

CAT : Pour les IoT, aujourd'hui on ne maintient pas et on ne déploie pas nos propres solutions.

Et non, on en entend même pas parler.

MD : Oui je me doute bien que vous avez déjà du travail en interne et qu'il y a de nombreux sujets à aborder. D'ailleurs, c'est un peu ce qui est compliqué en ce moment, avec la profusion d'informations ou d'articles sur le RGPD.

CAT : Oui j'en ai lu aussi énormément. Je ne sais pas ce que vous en pensez, mais j'ai le sentiment que bien que l'échéance approche, cela s'est un peu calmé.

MD : Peut-être un peu effectivement, il faut croire qu'ils ont fini par assécher le sujet, du moins pour le moment. Ce n'est que le début et je pense qu'avec toutes les questions sociétales que cela soulève, on n'est pas prêt de clore le sujet. De plus le discours de la CNIL se veut aussi plus rassurant et les gens ont commencé à comprendre que la vocation n'est pas uniquement de sanctionner.

CAT : C'est aussi le discours que nous avons tenu à nos clients, en leur disant pour le mois de mai, il faut surtout que vous puissiez démontrer que vous avez engagé des choses à ce sujet et que tout ne peut pas être conforme.

MD : C'est ce dont tout le monde s'est rendu compte et c'est finalement la bonne volonté des entreprises que la CNIL entend d'abord mesurer, du moins dans un premier temps.

CAT : Je pense que c'est aussi l'occasion de faire évoluer la communication entre les différents services d'une même entreprise, dans le sens où ils ne sont pas toujours au courant de ce que fait l'un ou l'autre. Maintenant, le DPO va être au coeur de l'organisation, des actions, garant des bonnes pratiques et il va falloir le tenir informé. Mais cela fait un petit peu peur, comme quand nous avons dû mettre en place la DUERP (Document Unique d'Evaluation des Risques Professionnels), pour les risques professionnels. Cela a demandé un gros travail en amont et maintenant c'est intégré. Donc le RGPD, c'est un peu la DUERP de l'informatique, même si c'est plus large. Est-ce que vous avez beaucoup de retours d'expérience d'entreprises qui ont déjà un DPO en place ?

MD : Pas vraiment, je rencontre justement le premier cet après-midi à GEM. Il y en a assez peu, d'autant que toutes les entreprises n'ont pas l'obligation d'en avoir un, à moins de réaliser des traitements sur des données sensibles. Ma démarche n'a pas la prétention d'être exhaustive, donc j'ai surtout adressé mon réseau. Il y en a déjà dans les grands groupes, mais ce n'est pas évident de pouvoir les rencontrer sans être recommandé, d'autant qu'en ce moment, ils sont tous assez occupés...

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

CAT : Pour moi, cette notion de données sensibles, quand on fait son inventaire, cela peut concerner beaucoup de choses.

MD : Ce qui est sensible, concerne surtout des informations caractérisant les opinions des gens, leurs convictions ou des informations relatives à leur santé...

CAT : Pour moi, ne serait-ce que les coordonnées bancaires me semble être des informations sensibles. Donc à partir du moment où on a des clients, des fournisseurs et des salariés...

MD : Oui, mais il s'agit aussi de données légitimes, indispensables à votre activité. Donc il vous appartient de les référencer et de les protéger, parce qu'elles restent des informations que je qualifierait de « critiques », mais pas sensibles au sens du RGPD.

CAT : D'accord, j'avais du mal à faire la distinction.

MD : Sinon, au niveau de votre analyse sur le RGPD, qu'en pensez-vous, est-ce que vous voyez des limites par exemple ?

CAT : Ce qui m'a effaré et un peu inquiété, c'est de constater que nos fournisseurs de logiciels, de sauvegarde ou autre, ne sont pas prêts et qu'ils n'ont pas encore même pas abordé cette dimension. Quand on les interroge sur le cryptage des données, ce n'est pas possible, c'est encore stocké en claire dans l'application. Donc techniquement, je ne vois pas comment le règlement peut être respecté sur toutes les dispositions. La CNIL ne va peut-être pas tout contrôler pour le moment, mais j'ai du mal à voir comment nous pourrions tout maîtriser ou empêcher un salarié de récupérer des données sur une simple clé USB. N'ayant pas une casquette technique, je peux difficilement être rassurée sur tout, car le chantier me parait tellement énorme et même pour le DPO qui va devoir y consacrer beaucoup de temps. Je pense quand même que beaucoup ont surfé sur cette vague, j'ai même des confrères qui m'ont dit qu'ils ont embauché un commercial pour communiquer autour du RGPD, en appelant tous les clients et qui arrivent même à trouver de nouveaux contrats. Mais je pense que maintenant on va rentrer plus dans le vif du sujet, avec des réunions plus concrètes et pratiques. Que ce soit les juristes ou même les sociétés informatiques, je pense qu'ils vont mieux s'approprier la règlementation sur son application opérationnelle chez les clients.

MD : Il y a des vrais chantiers, mais il était difficile de prendre la mesure, avec un texte peu accessible.

CAT : C'est en ça qu'Optimex permet de démystifier la chose et d'apporter plus de lisibilité. J'ai donc hâte que cette réglementation prenne de la maturité, que le DPO joue un rôle de conseil et de communiquant dans l'entreprise et c'est ce qui va permettre de changer et de mettre en place les bonnes pratiques auprès des utilisateurs.

On parle aussi de nouveaux droits accordés aux citoyens européens, je crains aussi une forme de dérive des demandes qui pourront être faites, par les salariés ou les clients, concernant

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

les données qu'on a stockées. Que certains n'y voient pas avant tout le moyen de faire des procès et d'obtenir des dédommagements.

Pour AIRRIA, je pense qu'on se pose les bonnes questions et que nous avons mis en place des bases qui nous permettront d'aborder sereinement la mise en place du RGPD. On apprend au fil de l'eau, on s'adapte à nos clients et on les rassure en s'entourant de spécialistes du réglementaire, ce qui nous permet de nous concentrer sur notre métier. On entre dans le vif du sujet, mais il me semble que les choses se feront finalement de manière plutôt sereine.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ANNEXE 5 - Entretien Alexis Dupic, Optimex Data

GUIDE D'ENTRETIEN

ORGANISATION INTERNE

o Structure, historique, effectif

o Génèse de l'activité

o Aide, financement

o Partenariats

o Obtention du label ? Cnil indique que c'est la COFRAC qui les décerne, mais rien sur leur site... Comment et qui peut l'obtenir ?

o Différence entre label et certification ?

CONCURRENCE

o Avez-vous des confrères sur la région ? Labelisés ? Bureau Véritas ? Juristes indépendants ?

o Perception : sentiment qu'il y a « à boire et à manger »

PRESTATIONS :

o Périmètre d'intervention (répartition secteur de la CNIL ? entente entre confrères ?)

o DPO externalisés : Ressources internes ? Co traitant ? Indépendants ? NB de demande ?

CLIENTELE :

o Comment les trouvez-vous ? Prescripteurs ? Communication Marketing ? Démarchage ?

o Niveau de sensibilisation

o Perception de vos démarches

o Niveau de conformité / maturité

o Typologie : Grands groupes ? ETI ? PME ?

o Chiffre d'affaire

APPLICATION AU NIVEAU UE :

o Savez-vous s'il y a des disparités entre les pays de l'union (adaptation du RGPD, mise en application, dérogation

o J'ai ouie dire que certaines organisation (corporation, grands groupes) avaient fait du lobbying en amont pour être exonérés de certaines contraintes. Qu'en est-il ?

VOTRE ANALYSE : Quel votre avis personnel si vous souhaitez m'en faire part ?

o Pensez-vous que ce dispositif soit suffisant ?Quelles peuvent être les limites ?

o Pensez-vous que cette réforme constitue une contrainte ou une opportunité pour l'entreprise ?

o Pensez-vous que c'est l'opportunité pour l'Europe de reprendre la main sur le numérique ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

TRANSCRIPTION INTERVIEW Alexis Dupic

Le 04/05/2018 à Varces

Mr Alexis DUPIC

Juriste en protection des données - Co-fondateur de la société Optimex Data

Mathieu Darmet : Nous discutions avant de commencer l'interview de la portée internationale du RGPD et tu me disais que même l'Australie est en train de s'interroger.

Alexis DUPIC : Avec l'entrée en vigueur du règlement dans une vingtaine de jours, il y a beaucoup d'Etats qui en dehors de l'Union Européenne pourraient s'en inspirer. Nous sommes novateurs et c'est une base qui les interpelle et c'est important de le souligner. On nous a dit pendant des années que la France était en retard sur le numérique, que la loi Informatique et Libertés ne fonctionnait pas. C'est donc l'opportunité d'en profiter pour changer les choses. C'est parce que j'ai fait du droit européen que j'en suis arrivé à la protection des données. C'est une très bonne chose pour l'Union Européenne et l'ensemble de ses citoyens. Cela va aussi dans le sens du business, du marché interne où l'on avait la notion de libre circulation des biens, des personnes, des services et maintenant des données. Une entreprise européenne qui avait une filiale en Allemagne ou ailleurs en Europe, cela restait très compliqué de faire circuler des données. Ne serait-ce que des données-salariés à destination de la personne qui gère la paie, qui devait se conformer à chacune des lois informatique des pays, quand il y en avait une. En ce sens ce nouveau texte est un atout et va permettre à ces entreprises de réaliser d'importantes économies.

A l'inverse ce n'est pas du tout ce que voient les TPE, même si elles ne sont pas les plus impactées. Mais ne serait-ce qu'en utilisant un Outlook hébergé à l'étranger il y aura des transferts de données, alors que si elles restent en interne, il n'y a pas cette problématique. A partir du moment où on veut se développer à l'international, il faut se poser des question. Lorsqu'on travaille avec la Suisse par exemple, on a la chance d'avoir un cadre juridique qui est reconnu par la Commission européenne et ce n'est donc pas un frein au développement de son business. De fait cela impacte forcément tous les états limitrophes, même lorsqu'ils ne sont pas membres.

MD : Comment es-tu arrivé dans ce métier ?

AD : Optimex Data va avoir un an. L'année dernière, j'étais encore étudiant, en stage chez Proxy Papers dont nous partageons les locaux.

MD : J'ai pourtant vu sur internet que l'entreprise existe depuis plus longtemps, avec un autre dirigeant.

AD : Nous avons préféré reprendre une structure, Optimex Formation qui existait depuis 2009 et pour laquelle mon associée Sandrine Barthelemy assurait des missions de consulting. Cela nous a permis de conserver leur numéro d'agrément pour dispenser des formations et démarrer rapidement. Optimex Data est donc le nom commercial d'Optimex Formation.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Mon associée a d'abord créé sa structure de services à la personne, Proxy Papers, dans le domaine de la gestion administrative, en intégrant un espace de stockage sécurisé dédié à la personne. Ce cloud permet de stocker tous les papiers, comme un Google Drive, mais respectueux des données. C'est son avantage concurrentiel, en plus du service proposé à la personne, elle dispose d'une interface pour consulter ses documents, de rappels d'échéances...

Sandrine avait entendu parlé du règlement et avait besoin d'un juriste pour la protection des données. Elle s'y est pris plus d'un an en avance par rapport aux autres, justement suite à une conférence à l'Université dans laquelle je faisais justement mes études. J'ai appris que Proxy Papers recherchait un juriste et cette mission correspondait exactement à ce que je souhaitais.

Au bout de 3 mois de stage, j'ai mis Proxy Papers en conformité et elle m'a proposé de créer une activité plus spécialisée pour les autres entreprises, car ça n'existe pas. Il y avait quelques entreprises sur Paris, mais c'était surtout traité par des avocats, plus sur la partie conseil juridique : rédaction d'actes et contrats, qui ne sont pas des choses sur lesquels nous intervenons. On fait de la mise en oeuvre et de l'opérationnel. Notre vraie valeur ajoutée est d'interpréter les articles du règlement pour les transformer en actions concrètes.

Nous réalisons des audit, proposons des formations et des missions d'accompagnement. Nous les aidons à cartographier les traitements, évaluons le fonctionnement des entreprises et leur niveau de confidentialité au regard des exigences du règlement. Puis nous émettons un bilan RGPD, avec des préconisations correctives, pour qu'elles puissent être en conformité. L'entreprise peut mettre en oeuvre elle-même son plan d'action, ou faire appel à nous pour l'accompagner.

MD : J'ai vu sur votre site que vous proposiez des DPO externalisés. Est-ce vous qui assurez directement ces missions ? Etes-vous en capacité de les assumer ou passez-vous par des prestataires ?

AD : Si à l'issue de l'audit, l'entreprise est concernée par l'obligation de nommer un DPO, nous nous proposons d'être leur DPO externe ou d'en former un en interne.

MD : Est-ce que vous assurez déjà ces fonctions de DPO, qui est donc mutualisé ?

AD : Non pas encore, mais nous commençons bientôt. C'est encore en discussion, mais nous allons accompagner une communauté de communes. Nous avons déjà fait un audit et ils réfléchissent à le faire en interne, mais je pense qu'elle va faire appel à nous. Cela pourra potentiellement être étendu aux communes qui la composent et dans ce cas nous pourrions mutualisé un DPO. Ce sera surement le cas de d'autres structures, comme une petite start up de 15 personnes qui n'aura pas les moyens de prendre un DPO et préfèrera s'allier avec une autre qui a le même besoin. Mais il faut que ce soit des structures assez similaires, qui est la même problématique.

MD : Cela veut-il dire qu'il y a des critères à respecter sur ce point ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

AD : Il n'y a pas de critères officiels dans le règlement. Le G29 est chargé d'interpréter le règlement, les points généraux du règlement et notamment sur le DPO. Le règlement étant assez vague sur ce point, le G29 a pu donner des indications pour déterminer en quel mesure un DPO pourrait être mutualisé. Après il faut faire preuve de bon sens, on ne va pas mutualisé un DPO pour des structures en concurrence.

MD : J'ai vu que vous êtes labellisés par la CNIL. C'est un point qui m'intéresse car la CNIL indique qu'elle a délégué ce rôle, à priori à la COFRAC, qui devra elle-même labelliser des organismes certificateurs. Pouvez-vous m'en dire plus ?

AD : Je crois que les labels existent depuis 2004. C'était la directive 95/46 de l'Union Européenne qui permettait à la CNIL de décerner des labels mais qui a été abrogée par le RGPD. Tous les états membres ne l'avaient pas transposée, car chaque Etat est sensé transposer les directives dans une loi, ce qui est assez long.

MD : Je crois d'ailleurs qu'en France la nouvelle loi Informatique et Libertés doit être votée par le Sénat autour du 20 mai.

AD : Elle devait même entrer en vigueur le 6. Je ne sais pas ce qu'il en est, mais ça va surement se faire au dernier moment. Le RGPD est au-delà d'une directive, ce qui veut dire qu'il n'y a pas de transposition et que chaque pays va devoir appliquer le même cadre.

MD : Mais sais-tu s'il existe quand même des disparités entre les pays ? Que ce soit dans le contenu de la loi ou dans la manière de l'appliquer ?

AD : La loi Informatique et Libertés 3 qui va être adoptée par notre gouvernement n'est pas obligatoire. Le règlement est le cadre juridique pour tout le monde, donc un pays comme la Roumanie qui n'avait pas de loi informatique devra appliquer le règlement. L'utilité d'une loi Informatique et Libertés 3, réside dans la marge de manoeuvre que laisse le règlement aux états membres, pour durcir le règlement dans certains cas, parfois pour l'assouplir mais c'est très rare. Par exemple, avec le RGPD, à quelques exceptions près, il n'y aura plus de formalités préalables de déclaration auprès de la CNIL. Sur ce point le règlement laisse donc une marge de manoeuvre aux états membres. Actuellement, lorsqu'on traite des données sensibles, il faut demander une autorisation à la CNIL tous les ans. C'est ce que font la CAF ou les mutuelles, ce qui est assez lourd. Le règlement permet aux Etats membre de conserver ce régime s'ils le souhaitent. Ce sera donc plus équitable pour les entreprises. Avant, la loi informatique allemande était plus stricte que la LIL française et cela pouvait compliquer les relations commerciales. Aujourd'hui, à quelques petits détails près, ce sera beaucoup plus simple.

MD : Comment as-tu obtenu ce fameux label CNIL ?

AD : C'est la CNIL qui avait décidé d'attribuer des labels, pour les audits, les coffres fort et les formations. L'obtention a été assez longue, puisque nous avons eu des échanges avec le pôle label de la CNIL pendant plus de 8 mois, sur la conformité de notre organisme, le contenu

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

de nos formations. Nous avons obtenu les labels il y a un peu plus d'un mois. A partir du 25 mai, il n'y aura plus de labels, mais des certifications, comme le prévoit le règlement. Les CNIL européennes se réunissent en ce moment pour voir comment vont être attribuées les certifications. D'après ce que j'ai pu comprendre, je pense qu'Optimex Data pourra être un organisme certificateur pour son client. Nous ferons un audit et on pourra certifier de sa conformité. C'est la même démarche que pour les normes iso, mais c'est encore en négociation et nous devrions être fixés dans les jours ou les semaines qui viennent. J'espère avant la 25 mai, car ce serait un comble qu'ils ne soient pas eux-mêmes en conformité avec ce qu'ils nous demandent. Le pôle label va se transformé et nous sommes l'un des derniers organismes a avoir pu en obtenir un, car ils seront remplacés par les certificats.

MD : Cela veut dire que vous allez devoir refaire toutes les démarches ?

AD : Non car les labels sont décernés pour 3 ans, mais nous ferons quand même des demandes de certification des sociétés. Mais ces labels étaient importants, car ils témoignaient de notre proximité avec la CNIL, ce qui est un gage de légitimité important pour les formations que l'on dispense.

MD : Avez-vous mis en place des partenariats avec d'autres acteurs ?

AD : Nous travaillons beaucoup avec les prestataires informatiques de la région, voir autour. Ils sont souvent les premiers à être interpellés par leurs clients, pour savoir s'ils sont en conformité et comment ils peuvent l'être eux-mêmes. Pour lancer notre business, nous nous sommes justement tournés vers ces prestataires pour leur proposer d'accompagner leurs clients sur la partie juridique. Certains proposent des prestations autour du RGPD, mais ils ne font pas du juridique. Quand on regarde le règlement, la partie informatique est finalement assez faible, puisque c'est surtout un outil pour arriver à la conformité. En schématisant fortement, pour être en conformité il faut sécuriser les données, soit de manière physique, car il y a toujours des données papier sur les clients et les salariés, soit de manière informatique pour tout ce qui est numérisé. Mais c'est vrai que les prestataires informatiques ont une carte à jouer sur le RGPD, parce qu'ils doivent mettre en oeuvre et garantir les mesures de sécurité appropriées.

MD : Sachant qu'ils ont uniquement une obligation de moyens.

AD : Oui, mais comme ils ne maîtrisent pas le juridique, ils nous envoyaient des clients et nous en faisions autant quand nous détections que la protection informatique n'était pas suffisante. Nous en recommandons quelques-uns et c'est les seuls partenaires que nous avons.

MD : Avez-vous pu bénéficier de financement ou d'aides pour lancer votre activité ?

AD : Non, aucune.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : Tout le monde utilise le RGPD comme vecteur, pour tout est n'importe quoi. Sur votre marché, avez-vous de vrais concurrents, en dehors du marché parisien que tu évoquais ?

AD : Il y en a beaucoup sur Paris et de plus en plus sur la région, à Lyon, à Chambéry.

MD : Est-ce qu'ils sont labellisés aussi ? J'ai vu notamment que Bureau Veritas proposait aussi une formation DPO.

AD : Non ils ne sont pas labellisés pour la plupart, à part sur Paris.

Pour Veritas, ils proposent leur propre certification, mais ils ont un nom et une réputation. Nous ne pouvions pas nous contenter de proposer des formations certifiées Optimex Data.

MD : Est-ce que vous vous limitez au secteur Rhône-Alpes ?

AD : Oui et non, car nous avons de gros contrats en dehors.

MD : Combien êtes-vous actuellement dans la structure ?

AD : Nous sommes 5 à plein temps, mais on recrute. Actuellement nous avons 3 juristes dont moi, mon associée sur la partie administrative, commerciale ou gestion de projet et nous venons de recruter une commerciale, qui assure aussi des tâches administratives.

MD : Vous avez plutôt une démarche offensive ou vous traitez surtout des appels entrants ?

AD : Nous avons beaucoup de demandes entrantes et nous avons communiqué. Le magazine Présence nous a contactés par l'intermédiaire d'un de nos partenaire pour participer à leur dossier sur le RGPD.

MD : Quel est le volume de demandes ?

AD : Je suis tellement dans l'opérationnel depuis ces derniers mois, que je ne saurais pas te répondre. Je sais qu'il y en a énormément, mais avec ma charge de travail, je découvre mon emploi du temps au fur et à mesure. Je gère plusieurs missions en parallèle, mais certaines sont plus longues que d'autres, entre une demi-journée et plusieurs jours. Cela dépend de la taille, de mon interlocuteur et des problématiques.

Nous le qualifions lors de la demande-client et adaptons notre offre en conséquence, mais ce n'est plus moi qui m'en occupe.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : Au-delà de votre intuition de penser qu'il y aurait de la demande, comment avez-vous monté votre business plan ?

AD : C'était un peu un pari, mais nous savions qu'il y avait une obligation légale. Nous avons un peu moins de visibilité pour l'après, mais nous savions aussi que nous étions les seuls sur Grenoble.

MD : C'est assez étonnant que vous soyez les seuls...

AD : Oui et non, il y a beaucoup de communication sur la partie informatique, mais peu sur le juridique encore actuellement.

Le règlement est beaucoup utilisé pour faire peur, alors que les incidences seront assez limitées pour la plupart des entreprises. Ce n'est pas du tout notre approche, on essaie au contraire de dédramatiser au maximum le règlement. On tient plutôt le même discours que le CNIL, qui est de dire qu'une règlement existe depuis 40 ans et que rien n'a été fait pour s'y conformer. Le RGPD est l'occasion de rattraper ce retard et si l'organisme n'est pas prêt au 25 mai, nous rappelons que la CNIL aura une démarche pédagogique. En revanche, sur ce qui aurait dû être fait depuis 40 ans, elle sera beaucoup moins indulgente.

Nous avons une population de petites sociétés ou d'artisans, qui nous interrogent sur leur fichiers clients, prospects, salariés et qui ne savent pas quoi faire. Nous les rassurons et leur rappelons que les actions de la CNIL seront proportionnées. Beaucoup de communications ont eu tendance à dramatiser et il y a effectivement des enjeux importants, notamment vis-à-vis des GAFAM. Il fallait jusqu'ici déposer une déclaration sur le site de la CNIL ce qui prenait quelques minutes.

Le RGPD a renversé la charge de la preuve et ce ne sera plus à la CNIL de dire qu'un traitement est en conformité, mais à l'organisme de prouver qu'il est bien en conformité lorsqu'il rencontre une violation de données, un crypto locker, ou en cas de conflit avec un client ou un salarié. Cela implique de tenir un registre de traitement, ce qui devrait se limiter à 4 ou 5 traitements pour une TPE ou un commerçant. Alors qu'on en rencontre 100 à 150 dans les grosses sociétés.

Le règlement est donc empreint de bon sens. Il n'a que peu évolué pendant des années, donc il faut forcément remettre les choses à plat. Cela nécessite une certaine mobilisation et une cohérence entre les services, mais ce n'est pas plus mal.

MD : En interne nous nous interrogions sur les contacts qui nous demandent un « opt-out » lorsque nous diffusons des mailings ou newsletter. Nous les supprimons de la liste de diffusion, mais avons-nous le droit de les conserver dans un autre fichier ?

AD : Il faut maintenant garder une trace des demandes de désinscription, c'est même exigé. Il faut garder une trace de cette demande et les conserver dans un fichier à part.

MD : Mais ce n'est donc pas un vrai effacement...

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

AD : C'est sûr, mais elle n'est plus dans la boucle de la prospection. La personne s'oppose à une diffusion, mais pas à figurer dans les fichiers. Mais si elle demande un effacement, là ce n'est plus un droit d'opposition.

MD : Cela existait déjà dans la loi Informatique et Libertés.

AD : Oui mais le RGPD va plus loin, car ce droit est renforcé avec la notion de profilage. Maintenant on peut s'y opposer, pour l'effacement des données cela peut aussi être demandé. L'entreprise peut refuser parce qu'elle a encore besoin de ces données pour ce qui est lié à son système d'information, comme la facturation ou ce genre de choses. Elle peut faire en sorte de pseudonymiser ou d'anonymiser les données.

MD : Mon entreprise se pose justement des questions de conformité de ses logiciels, avec des problématiques d'intégrité de nos bases de données. Car on ne peut supprimer totalement des clients ou prospects pour lesquels nous avons réalisé ne serait-ce qu'un devis.

AD : Le règlement ne donne pas de solution pratique. Même la CNIL n'en propose pas. D'ailleurs le guide qu'ils ont sorti pour les PME est très bien, il est pédagogique et dédramatise la situation, mais il n'est pas assez concret et opérationnel. Cela manque d'exemples pratiques et de ce point de vu les gens ne sont pas plus avancés.

MD : En même temps cela justifie d'autant plus l'existence de structures comme la

vôtre !

AD : On apprécie la démarche, car ce guide ne nous fait pas du tort, mais il est dommage qu'il n'apporte pas plus de réponses aux entreprises, qui ont tendance à dire qu'elles en ont marre et qu'elle n'y comprennent rien...

MD : Par quels types de clients êtes-vous sollicités ?

AD : On n'a pas vraiment de typologie de client. Nous nous posions la question lors de la création de la structure, mais finalement c'est aussi bien des petites sociétés que des grands groupes, des collectivités ou des associations. La semaine dernière j'étais chez un petit éditeur de logiciel et j'intervenais chez l'habitant, au domicile du dirigeant. C'est un indépendant, mais il travaille avec des collectivités qui lui demandent d'être en conformité. Comme il ne peut pas perdre ses clients, il nous a sollicité. Puis cette semaine j'étais dans un grand groupe et ce n'est pas du tout la même approche. C'est aussi ce qui est génial dans mon travail d'auditeur, qui nécessite une grande faculté d'adaptation.

MD : Avez-vous des perspectives de croissance, envisagez-vous des levées de fonds ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

AD : Nous avons des valeurs de petite société, donc pas vraiment. Nous prenons notre temps et on ne sait pas encore comment va être la suite.

MD : Après l'effet RGPD, comment réorienter l'activité ?

AD : Je pense qu'il est encore trop tôt pour se poser ces questions. Je suis peut être un optimiste, parce que je crois vraiment à ce projet européen de RGPD. Tout le monde nous l'envie et ça va devenir une base. Dans les marchés publique on demandera un niveau de conformité. Il y a les clients qui nous appellent parce qu'ils ont reçu des courriers de la part de leurs clients qui veulent savoir s'ils sont en conformité. C'est le schéma qui va porter l'application du règlement, qui va rentrer dans les moeurs et je pense qu'il y aura toujours besoin de DPO ou à minima des choses à faire à un moment donné dans les entreprises.

Je n'ai pas trop de vision sur l'avenir, car c'est trop tôt, mais nous sommes en train de créer un métier, d'autant qu'il n'y a pas grand choses sur le sujet. Le G29 a publié un dossier de 30 pages sur les DPO, qui là aussi n'apporte pas grand-chose de concret. C'est donc à nous de créer le métier et il y a déjà des associations qui se sont créées, notamment celle des DPO de France, qui a pris des initiatives, comme une charte de déontologie des DPO, un forum d'entraide, dont nous bénéficions et dont nous sommes acteurs. Il y a aussi des débats, notamment sur les certifications, mais souvent sur Paris et on ne peut pas toujours s'y rendre.

MD : Que penses-tu du niveau de sensibilisation des gens ?

AD : Il y a d'une part la sensibilisation des entreprises, mais aussi des individus eux-mêmes. On voit souvent des utilisateurs ou des responsables de service qui sont déjà très sensibilisés dans le milieu professionnel et la confidentialité. Au niveau des organismes, je ne suis pas le mieux placé pour répondre, car je n'interviens que chez ceux qui nous sollicitent. Soit j'interviens en audit et ils sont dans une démarche d'avantage concurrentiel en terme de réputation ou sur le plan commercial. Tout le monde est très impliqué et ça se passe très bien. Soit il s'agit de sociétés qui n'ont pas le choix. Elles peuvent le prendre comme une obligation qu'elles subissent en se disant qu'elles feront comme avec la loi précédente et verront bien, ou elles prennent conscience que c'est un enjeu pour leur business. C'est le cas des éditeurs de logiciels qui sont assimilés à des sous-traitants, ou les avocats ou cabinets d'expertise-comptable qui traitent des données confidentielles pour leurs clients. La notion de sous-traitant est donc très large, tout le monde est sous-traitant à un niveau ou un autre et doit pouvoir présenter des garanties au niveau de la protection des données. Il m'est arrivé d'intervenir dans des sociétés où les gens sont peu motivés et pas forcément de bonne foi.

MD : J'entends bien qu'il y a des opportunités, mais cela occasionne aussi des coûts pour les organisations, qui ne sont pas anodins, ni prévus. Je pense à l'organisation mais également aux moyens à mettre en oeuvre, notamment sur l'informatique. Même si ces budgets relèvent du bon fonctionnement des entreprises, beaucoup n'avaient pas été prévus cela.

AD : Il y a de moins en moins d'entreprises qui ne sont pas passées sur le cloud, ou qui n'ont pas mis un minimum de moyens en interne. Tout est beaucoup mieux structuré et sécurisé. Quand c'est le cas, on met en évidence les risques, on préconise de mener certaines actions

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

correctives ou un audit de sécurité informatique et je les renvoie vers des prestataires informatique.

Ce n'est pas dans nos attributions, mais fait partie du règlement et plus précisément de l'article 32 sur la sécurité des données. Dans nos rapports d'audit, on s'appuie aussi sur les publications de la CNIL qui propose des guides assez intéressants.

MD : Et combien coute un audit d'Optimex Data ?

AD : Cela dépend de la durée des missions, donc on applique un tarif journalier de 850 € HT, qui correspond à ce que pratique les prestataires de service. Un audit complet, interne et externe, peut varier entre 2 jours à 2 jours et demi minimum, jusqu'à plus de 10 jours.

MD : Avez-vous beaucoup de demande de la part d'éditeurs de logiciels, car ils sont nombreux dans notre région ?

AD : Il est trop tôt pour que nous puissions dégager une tendance sur les entreprises qui nous sollicitent. Sur les entreprises dans lesquelles je suis intervenu, j'ai croisé plusieurs prestataires informatiques et éditeurs de logiciels, mais quand je dis plusieurs, c'est 2 ou 3 à chaque fois.

MD : Cela me semble peu, vu leur nombre et les répercutions que peuvent avoir le RGPD sur leur activité. J'ai le sentiment que cela rejoint la tendance général, car je trouve qu'il y a un vrai retard dans les organisations.

AD : Ils ne savent pas forcément comment faire. Nous avons aussi des cabinets comptables, des avocats.

MD : Qui peuvent aussi être des prescripteurs. Est-ce que vous les démarchez spécifiquement ?

AD : Nous avons été amenés à intervenir au travers d'organismes de cette branche et avons un peu communiqué. Mais c'était surtout des opportunités et ils en ont ensuite parlé à d'autres, comme avec les Communautés de communes. Comme il n'existe pas beaucoup d'autres organismes, notre nom revient souvent.

MD : Cela doit vous poser des problèmes de réactivité et capacité.

AD : C'est pour ça que nous recrutons et pour l'instant nous parvenons à traiter toutes les demandes. Nous n'avons pas encore beaucoup communiqué et demain il faudra peut-être que nous nous adaptions. Mais actuellement nous faisons appel à des consultants externes.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : De quels types de profils s'agit-il ?

AD : Ce sont des juristes indépendants, que nous connaissons via notre réseau, notamment un ancien camarade de fac. Ça me donne justement l'occasion de reboucler avec mon parcours universitaire et d'anciens enseignants qui m'ont transmis leur passion pour la protection des données. Il y a un Data Institute à Grenoble, qui est un laboratoire de recherche sur les données, avec des personnes très compétentes et passionnées. Ma démarche est aussi un moyen de pouvoir leur rendre ce qu'ils m'ont donné, en recrutant des stagiaires qui ont suivi le même cursus que moi, ou de faire appel à des personnes qui ont fait des thèses sur le sujet. Mais nous recevons aussi des CV de personnes qui travaillent en indépendant ou ont été CIL. Selon la demande nous ferons aussi appel à ce type de compétence, mais c'est surtout des profils juridiques qui nous intéressent. Pour l'instant, j'ai beau avoir un emploi du temps chargé, je n'ai pas de visibilité sur l'évolution de la demande.

MD : Penses-tu que cette règlementation soit suffisante ? Est-ce que tu vois des limites ?

AD : Je ne la trouve pas adaptée pour les petites entreprises, notamment sur les aspects pratiques liés à la sous-traitance, auxquelles elles peuvent être confrontées. Elles le prennent comme quelque chose d'insurmontable, alors que ce n'est pas la bonne approche.

De manière général, je trouve que ce règlement est très bien fait. Il est rédigés dans des termes tellement généraux, qu'il en est presque infaillible. On ressent dans chaque alinéa les débats qu'ils ont suscités au Parlement Européen pendant 4 ans. On ressent l'influence des différents acteurs, de l'Etat, des associations de consommateurs, comme La Quadrature du Net par exemple, mais aussi celle des lobbys. Le texte est d'autant plus intéressant juridiquement, parce qu'il a une portée extra territoriale. Pouvoir imposer à des acteurs privés économiques le RGPD alors qu'ils ne sont pas sur le territoire c'est une vraie avancée.

Il y a aussi le problème des petites entreprise ou artisans, qui souscrivent des services en ligne, comme de la messagerie, sans trop se préoccuper des clauses qu'ils acceptent dans le contrat. Comme le règlement impose d'avoir un contrat avec tous ses sous-traitants, je trouve que cela a du sens quand il s'agit de contractants qui ont la même taille, sinon c'est trop contraignant. La CNIL a publié un guide pour les sous-traitants, avec des clauses que ces sociétés peuvent utiliser et qui sont simples à intégrer. Mais sur le terrain, il va être compliqué pour une TPE de les mettre en place, alors qu'ils ont tendance à intervenir entre eux de gré à gré.

MD : Est-ce que des collectifs ou des fédérations n'auraient pas matière à fédérer la mise en place de ces pratiques, à se positionner comme référents ou à accompagner ces petites structures ?

AD : C'est la question qu'on s'est posé. Vers qui pouvons-nous nous tourner pour accompagner les TPE ? C'est un peu la questions avec les ordre des avocats, des experts comptables ou celui des médecins. Il leur appartient aussi de se saisir de ces questions liées à la loi Informatique et Libertés pour leur proposer des solutions.

MD : Ce qui me semble préoccupant, c'est que ces grands acteurs, comme Google en profitent pour demander encore plus de données, en faisant accepter des conditions qui se

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

veulent plus transparentes et non plus acceptées par défaut. Surtout en partant en plus du principe que beaucoup d'utilisateurs sont enclins à les accepter pour bénéficier du service. Allons-nous réellement arriver à contraindre de telles multinationales ?

AD : Je pense que cela va donner naissance à un nouveau type de business, comme celui de LinkedIn, qui consiste à s'engager à ne pas vendre vos données. Ils ont saisi le RGPD comme une opportunité de renforcer la confiance client en mettant en avant leur politique de confidentialité. Contrairement à Google, ils ne sont pas rémunérés sur les données, préférant le faire sur les post sponsorisés, ou les comptes Premium et autres fonctionnalités additionnelles.

Je crois à un nouveau business modèle qui proposerait des services respectueux des données. Je trouve que c'est un bon compromis par rapport à ce qui se passe actuellement. Les citoyens ont aujourd'hui besoin d'accéder à des services qui leurs sont devenus indispensables, mais ne veulent plus pour autant qu'on utilise leurs données. Avant on pouvait avoir l'application Coyote moyennant un abonnement mensuel, c'était trop cher et maintenant on utilise Waze, mais on accepte de voir ses données collectées et d'avoir des publicités à chaque feu rouge. Même si on se pseudonymise, nous pouvons de toute façon être identifiés par notre téléphone. On peut bien sur minimiser son exposition, avoir plusieurs comptes, des adresses « poubelle »...

MD : Mais encore peu de gens ont ce type de préoccupation. J'y suis sensible et ne l'ai pas fait moi-même.

AD : Je suis venu à la protection des données, parce que j'ai utilisé Internet très jeune et j'ai été sensibilisé à ne pas donner mon identité. J'ai d'ailleurs mis du temps à avoir un compte Facebook et je n'ai pas mis mon nom de famille. Quand on me demandait pourquoi, je répondais « on verra » et aujourd'hui beaucoup de monde commence à le faire.

Le règlement va aussi remettre à plat des choses qui auraient dues être faites depuis des années. Beaucoup d'entreprises que j'accompagne sont plutôt contentes, car elles se disent qu'elles vont profiter du RGPD pour lancer quelque chose d'autre, une meilleure cohésion entre les équipes, revoir leurs process, gagner en rentabilité, éviter d'avoir des fichiers et des bases de données de partout, les sécuriser d'avantage, en faire des sauvegarde régulières. Ce texte est aussi l'opportunité d'apporter des choses concrètes dans les entreprises.

MD : Dernière chose, quand une entreprise à suivi l'ensemble du « parcours Optimex », tu leur décernes quoi ?

AD : Nous avons pensé dispenser des tampons estampillés Optimex Data. On ne l'a pas encore fait et on devrait le faire.

MD : Ce pourrait être un avantage pour la communication de vos clients.

AD : On attend aussi les certifications qui arrivent et nous ferons en sorte d'être organisme certificateur. C'est dans notre continuité et il est important de pouvoir garantir quelque chose et que notre rapport d'audit ait une vraie force juridique. Mais c'est aussi ce que

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

demandent les gens, ils veulent être accompagnés, mais ils attendent le 25 mai pour pouvoir obtenir la certification. Il faudrait d'ailleurs qu'on fasse un peu de communication quand nous le mettrons en place. Que nos clients puissent aussi utiliser notre tampon dans leur communication ou sur leur site internet. Mais nous avons déjà des recommandations via LinkedIn ou qui nous mentionne dans des messages.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ANNEXE 6 - Entretien Stéphane Bergerat, Cinetic IT

GUIDE D'ENTRETIEN

- Quelles sont les démarches ou réflexions qui ont été entreprises au sein de votre structure ?

o Dans votre fonctionnement interne ? Vos outils de communication, démarches marketing ? Type de données collectées, usage, conservation ? Accompagnement, experts, conseils...

o DPO, groupe de travail

o Dans les services ou l'accompagnement de vos clients ?

Ont-ils pris la mesure de leurs responsabilités ? PME, peu responsabilisés

? Gros sont largement interpellés > Démarches

? PME certains en parlent diffus

? Aucune réflexion petits clients > Occupé par leur activité

Avez-vous eu des demandes particulière (cryptage, recensement, documentation...) : Procédure d'effacement des données pour vos clients ; demandes de certification ou label CNIL ; analyses de risques/impact PIA (Privacy Impact Assesment) ou audit...

o Avez-vous révisé vos contrats clients et sous-traitant ? Clause de garantie ?

o Avez-vous souscrit une cyber assurance ?

- Quelles adaptations techniques avez-vous réalisé pour garantir la sécurité de vos données ? Quels impacts économiques ? Investissements ?

- Pensez-vous que cette réforme constitue une contrainte ou une opportunité pour l'entreprise ?

- Pensez-vous que ces dispositions soient suffisantes ? Quelle est votre analyse ?

o Pensez-vous que cette réforme constitue une contrainte ou une opportunité pour l'entreprise ?

o Pensez-vous que c'est l'opportunité pour l'Europe de reprendre la main sur le numérique ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

TRANSCRIPTION INTERVIEW Stéphane Bergerat

Le 07/05/2018 via Skype

Dirigeant de la société CINETIC IT à Limonest. Prestataire de services informatique

Stéphane Bergerat : Le RGPD pour nous c'est relativement simple car aujourd'hui on était déjà sensibilisé par les lois informatiques et liberté.

Mathieu Darmet : Est-ce que vous aviez déjà mis en place quelque chose ?

SB : Non parce qu'on ne collecte pas de données personnelles sur les clients.

MD : Si ce n'est leurs adresses ou leurs coordonnées...

SB : Les coordonnées c'est souvent une adresse professionnelle, un numéro de téléphone professionnel ou un 06 éventuellement et une adresse mail.

MD : Ce qui constitue une donnée personnelle puisque tu peux identifier les gens.

SB : C'est une donnée personnelle, mais pas une donnée sensible.

MD : Je vois bien la distinction. Tu es moins concerné que les personnes qui feraient du e-commerce avec le particulier directement.

SB : Ce qui semble être défini d'après ce que j'ai pu lire, c'est qu'il faut que la donnée puisse identifier une seule et unique personne. Donc aujourd'hui un numéro de sécurité sociale peut identifier une personne. Alors qu'un nom, prénom ça n'identifie pas forcément une personne. C'est à dire que Stéphane Bergerat potentiellement il y en a 50 ou 100 en France.

MD : C'est vrai. Rien que sur Skype j'en ai trouvé 3.

SB : Voilà ce que je veux dire. Comment on met en place des éléments qui protègent le fait qu'une donnée permet d'identifier une personne ? C'est un peu le débat. Si je me retrouve avec son 06, son nom, son prénom, sa date de naissance, son lieu de naissance. Tout ça cumulé me permet d'identifier cette personne.

MD : Et surtout de lui rattacher des informations plus spécifiques sur ses avis ou ses comportements.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

SB : Exactement ! Aujourd'hui une adresse mail et un 06 ça peut changer, l'adresse mail ne permet pas d'identifier une personne. Des s.bergerat ça peut être une Stéphanie, une Sylvie...

MD : Ce qui m'intéresse, c'est des retours d'expérience sur des problématiques que tu as pu croiser chez certains clients. Savoir s'ils sont prêts ou si ils n'ont rien fait ou même ne comptent rien faire. J'aimerais avoir un peu les tendances, savoir ce que vous avez fait en interne, pour CINETIC ou pour votre collectif TRANSITIF Groupe, où il y a peut-être une dimension marketing et de la prospection.

SB : Sur CINETIC je ne fais pas de prospection, donc en interne, nous avons simplement recensé les applications utilisées et fait l'inventaire des données personnelles susceptibles d'être utilisées dans ces applications. On utilise une douzaine d'applications dans lesquelles les seules données personnelles sont les logins des utilisateurs, voir leurs noms, prénoms. Rattaché à CINETIC, on peut identifier la personne, mais vu de l'extérieur ça peut être n'importe qui.

MD : Donc en cas d'intrusion chez vous, hors contexte ces données n'ont pas d'usage possible ?

SB : Aucun. Il y a des outils sur le net qui permettent d'obtenir les adresses mail des sociétés. Aujourd'hui si tu veux trouver toutes les adresses mail de CINETIC, il y a des outils qui scannent les flux de messagerie. Tout le monde s'en sert.

Par exemple tu cherches le nom de quelqu'un dans une entreprise, tu tapes le nom de domaine en extension, et tu peux trouver son adresse mail ou la reconstituer.

MD : D'ailleurs je ne sais pas où ils sont domiciliés les outils auxquels tu fais référence, mais de toutes manières, niveau conformité RGPD, ils posent problème.

SB : Bien sûr ! Je crois que c'est hébergé à Chypre

MD : Donc ils s'exposent en laissant à disposition ce type d'outil sur le net.

SB : Oui mais c'est comme un annuaire. C'est à dire que tu cherches un nom de personne on te donne son numéro. A ce moment-là, autant dire que les Pages Jaunes et les Pages Blanches posent aussi problème.

MD : C'est une question à se poser. En étant jusqu'au-boutiste sur le règlement, les contacts de messagerie, constituent potentiellement des données personnelles.

SB : Là on est déjà confronté à un premier problème, qui est la récupération des boîtes mails d'autres utilisateurs. Quand une personne quittait une société, son remplaçant prenait la

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

même fonction et on lui réaffectait l'ancienne adresse. Et bien ça typiquement on le fait plus. Plutôt que de détruire l'ancienne boîte aux lettres ou de l'archiver, on le mettait en « alias ». C'était le même profil commercial, avec le même secteur, les mêmes clients, donc on laissait volontiers les adresses mails en « alias » pour que la personne durant au moins quelques semaines ou quelques mois reçoive les mails de son prédécesseur.

Aujourd'hui, on crée de nouvelles boîtes aux lettres et on bloque les anciennes avec un message indiquant que « cette personne ne fait plus partie de la société merci d'écrire à son remplaçant ...».

MD : Tu veux dire que cela créée des problématiques qui n'en étaient pas avant ?

SB : Oui et non ! Parce qu'aujourd'hui tu peux être inscrit sur des sites qui te balancent de la pub, des messages qui peuvent révéler tes opinions politiques ou autre et ton remplaçant récupère ces informations.

Imagines que mon prédécesseur soit inscrit dans un parti politique un peu extrémiste et que je continue à recevoir toutes les lettres d'information. Ça veut dire que je peux attribuer à cette personne une étiquette politique ou religieuse et potentiellement divulguer des informations à son entourage, ce qui ne manquera pas de faire le tour de la société.

MD : Je n'ai pas pensé à ce type de répercutions, mais c'est relativement évident.

SB : Au-delà de la messagerie, il y a aussi le compte utilisateur. Mais on avait plutôt tendance à le supprimer et en créer un nouveau, parce que les besoins sont un peu différents.

Chez nous on a peu de turn-over, mais c'est ce que je préconise chez mes clients maintenant pour être conforme. Pareil pour les droits, avant nous avions tendance à renommer les comptes d'accès au réseau, maintenant on en créé des nouveaux et les anciens sont désactivés. On conserve de toute façon les informations de l'ancien utilisateur, car il peut y avoir un problème de traçabilité. Par exemple si j'ai besoin d'accéder à un de ses fichiers et que j'ai plus ses comptes, tout est verrouillé. Je peux être amené à réactiver les comptes momentanément pour aller chercher des infos.

MD : Sachant qu'il y a potentiellement des informations qui relève de la vie privée.

Est-ce qu'on ne touche pas du doigt un problème de discipline de la personne, qui aurait dû tout effacer avant de partir ?

SB : Attention sur ce point, car aujourd'hui dans l'éducation des clients les données présentes sur les serveurs ne sont sensée être que les données de l'entreprise. Cela doit normalement être spécifié dans une charte informatique du client. Les seules informations sauvegardées sont celles qui sont dans les serveurs et ce qui est sur les serveurs ne doit être que professionnel.

MD : Si ce n'est qu'en pratique rien n'interdit de recevoir un mail personnel sur son adresse professionnelle.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

SB : Oui et non. C'est à dire que souvent dans les chartes informatiques, il est précisé que tout ce qui commence par l'intitulé « perso » par exemple, ne peut pas être ouvert par l'administrateur. Le reste appartient à la société. A partir du moment où l'on met des moyens à disposition pour ton travail, on a un droit de regard. Si dans ta boîte aux lettres, tu as un répertoire noté « perso », typiquement on ne va pas voir. Mais on le sauvegarde forcément, puisque ce répertoire fait partie intégrante de la boîte aux lettres.

Vis-à-vis de la loi, je dois surtout tracer qui a accédé à quoi. Aujourd'hui je dois pouvoir dire qui a ouvert la boîte aux lettres et qui a consulté ce répertoire « perso ».

MD : Cela nous amène aux actions que vous réalisez chez vos clients, quand vous prenez la main sur leur système. Vous avez des outils pour tracer qui fait quoi ?

SB : Alors on est en train de mettre en place des choses. Ça rentre plutôt dans un 2nd temps au niveau du RGPD. Tu vas mettre des outils informatiques pour répondre à ce que tu fais.

Là on est plutôt dans le choix d'outils qui sont assez multiples. Nous avons d'abord référencé les applications utilisées en interne, quelles données étaient potentiellement sensibles. Les seuls éléments critiques sont les fiches de paie que nous sommes obligés de conserver au format PDF et qui sont aujourd'hui stockées sur un disque crypté accessible uniquement par la direction. Cela veut dire que nous n'avons pas nommé de DPO. Il faut que je le vérifie, mais il me semble que sur les petites structures ça peut être le dirigeant.

MD : Il n'est pas obligatoire d'avoir un DPO en dessous d'une certaine taille et quand l'entreprise ne réalise pas de traitement impliquant des données personnelles sensibles.

SB : Je ne fais pas de statistiques, ni de ciblage commercial, donc en terme de traitement, je n'ai pas de données sensibles.

MD : Après si je reprends tes clients, tu réalises des traitements qui impliquent des gens nommés. Ils ne sont pas forcément identifiables hors contexte, mais ils le sont quand même chez toi.

SB : Tout à fait. C'est compliqué, mais surtout pour les clients qui connectent des données publiques, comme les sites de vente en ligne, les mairies ou établissements publiques. Par exemple, lorsqu'il y a une manifestation et que l'on demande aux d'être pris en photo, cela permet d'identifier une personne. Aujourd'hui on leur fait signer un droit à l'utilisation de l'image, mais pas un droit sur la partie traitement des données.

MD : Effectivement, cela localise telle personne à tel endroit avec telle autre personne.

SB : Exactement ! Lorsqu'on collecte la photo, on collecte aussi des informations, puis on leur envoie de la pub. Tu viens à une manifestation associative et tu signes un droit de

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

diffusion à l'image et au final tes données sont quand même traitées par ailleurs pour être détournées du cadre initial.

MD : Est-ce qu'avec le RGPD, votre discours et les services ou les moyens que vous proposez sont mieux perçus par vos clients ou vos prospects ?

SB : Nous intervenons beaucoup pour homogénéiser les systèmes. Nous sommes directement sollicités pour avoir des conseils sur ce qu'il faut faire dans le cadre du RGPD. Souvent, on répond que la partie informatique arrive à peu près en avant dernière position et qu'avant de s'intéresser aux outils il y a un ensemble de processus à mettre en place. C'est le travail que nous avons entrepris en interne, c'est à dire identifier tout ce qu'on avait comme applicatif mais aussi les tableaux Excel qu'on consolide, car nous n'avons pas que des données structurées. Il peut y avoir des données brutes. Nous demandons donc aux clients de faire l'inventaire des traitements qu'ils réalisent avec ces données, si elles sont transmises ou pas à un sous-traitant et de savoir comment il les réutilise.

Maintenant chaque fois que des données personnelles sont collectées, il faut une charte de collecte. Donc il faut leur faire signer un papier qui indique que l'on va collecter telle information, pour telle finalité, qu'elles seront utilisées pendant 3 mois et puis archivées pendant 3 ans.

Il faut le faire chaque fois que l'on demande un nom, prénom, adresse ou quoi que ce soit à quelqu'un. Et en plus il faut pouvoir le prouver. C'est à dire que si tu as ces données, c'est qu'elles ont été communiquées de manière volontaire par la personne et qu'elle était au courant de tout ce qui allait être fait avec.

MD : Globalement est ce que tu as le sentiment que les gens sont bien informés ?

SB : Pas du tout ! Ils me disent qu'ils font signer un droit à l'image parce que les gens réclament les droits de diffusion à l'image et que ça coûte de l'argent. Mais sur les données personnelles, personne ne se pose encore la question.

Il n'y a aucune fiche de collecte qui est à jour pour toutes les données recueillies. On essaie de leur expliquer que l'utilisateur aura aussi le droit de les consulter, de les modifier ou de les supprimer s'il le souhaite, ce qui doit faire aussi l'objet d'un process.

Nous avons identifié 7 ou 8 tâches susceptibles d'être demandées par l'utilisateur ou la personne dont on a collecté les données. Et il y a donc autant de process à mettre en place pour répondre à ces demandes.

MD : Il faut pourvoir les automatiser parce cela aura un coût pour les entreprises ?

SB : On n'est pas encore aux outils informatiques. Là on est sur du process, comme dans l'industrie. J'ai une réclamation, qui concerne tel sujet, donc ça passe par tel service. Il faut recevoir une lettre recommandée et on répond que la demande a bien été prise en compte et sera traitée dans un délai raisonnable.

Dans la plupart des cas ce n'est encore pas fait. Il y en a 6 ou 7 droits il me semble : de modification, de consultation, de suppression de l'archivage, de portabilité... Donc ça va au-delà

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

des outils informatiques. Quand les gens ont un contact, ils essaient d'avoir un maximum d'informations, en se disant qu'ils en auront peut-être besoin par la suite.

Ça n'a plus de raison d'être et devient complètement illégal.

MD : En tant que commercial, j'avais effectivement tendance à ratisser large, partant du principe, que plus je collecte des informations, plus j'ai de chance d'identifier un besoin immédiat ou à venir.

SB : Tu identifies le nombre de PC, le nombre de site, s'ils ont des projets de rachat... Cela te permets juste de savoir que peut-être il y a un dossier à suivre et de le rencontrer d'ici 4 ou 5 mois. Donc cela ne constitue pas des données personnelles.

MD : Est-ce que ça vous avez retravaillé vos contrats de prestations ?

Je pense à vos clauses, vos responsabilités, ou les notions d'assurance par exemple.

SB : Non pas encore, mais c'est la prochaine étape. Il faut que nous puissions bien cadrer les choses lorsqu'on sous-traite de la prestation ou lorsque l'on est sous-traitant. Nous aurons probablement des clauses à ajouter, mais elles ne nous concernent pas directement car il n'y a pas de flux de données. Aujourd'hui ce n'est pas comme si je confiais mon fichier clients à une société pour faire de la téléprospection.

MD : Par contre quand vous intervenez chez un client et vous manipulez son matériel et les données stockées. Rien ne vous empêche de les lire ou de les copier. Est-ce qu'aujourd'hui tes clients t'interpellent sur la question ? Te demandent-ils un engagement ou de réviser tes contrats ?

SB : Pour l'instant je n'ai pas eu cette demande, mais ça fait partie des points qui vont être à traités d'ici peu.

MD : Tu as prévu de te faire accompagner juridiquement sur la question ?

SB : Non pas encore, mais je pense que ce sera une obligation. Dans nos contrats on a une vingtaine d'articles sur le non-embauchage ou non-débauchage, d'autres liés à la sécurité du site chez les clients, etc... Donc nous mettrons juste un article que l'on fera valider, selon lequel on s'engage à ne pas collecter de données personnelles. Sachant que ces informations ne nous intéressent pas et que nous n'avons aucune raison d'aller consulter les mails du client ou de regarder ses données.

MD : A partir du moment où ton technicien prendrait ce type d'initiative, il en prendrait la responsabilité et deviendrait responsable du traitement.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

SB : Cela pause une autre question et sous-entend qu'il faudrait potentiellement que je fasse resigner tous mes contrats de travail ou des avenants à tous mes salariés.

MD : Je ne suis pas juriste mais ça m'interpelle.

Tu m'avais laissé entendre que l'un de tes salariés s'était plus particulièrement intéressé au RGPD. Il a suivi une formation, participé à des réunions ?

SB : Oui, mais il s'est surtout renseigné sur les outils que nous pourrions mettre en place pour contrôler et automatiser un certain nombre de processus en entrée : comment modifier les données d'une personne, qui a le droit de les modifier... Sachant que nous ne sommes pas censés pouvoir modifier les bases de données sans avoir les droits nécessaires.

La suppression d'un contact peut aussi poser des problèmes, car un certain nombre d'actions lui sont rattachées et on ne peut pas perdre ces historiques.

MD : D'autant que cela compromettrait ta base de données.

SB : Oui et il est préférable de procéder à une désactivation invisible.

MD : Tu penses à une anonymisation ou pseudonymisation ?

SB : Exactement. Ce qui veut dire que lors d'un départ d'une suppression est demandée, il est donc préférable d'anonymiser, car on peut conserver le contenu. Par exemple j'ai des techniciens qui font une base de connaissances des incidents. Si l'un d'eux nous quitte dans 3 ans, je ne peux pas supprimer tous les incidents qu'il a traités et surtout les résolutions qu'il a trouvées. Il y a quand même derrière un gros travail que l'entreprise a fiancé. Désormais une partie des suppressions sera plutôt de l'anonymisation. On conserve l'information, mais on n'identifie plus qui l'a renseignée. Face à quelqu'un qui pirate la donnée c'est anonyme.

Il y a aussi des outils de cryptage pour les données confidentielles. Aujourd'hui nous sommes plutôt à la recherche de ce type d'outils. Il y en a beaucoup sur le marché mais entre ceux qui cryptent les disques, ceux qui cryptent les bases de données, ceux qui cryptent les PC, ceux qui cryptent les flux, c'est quand même très compliqué et ne veut pas avoir 50 outils à gérer.

MD : En plus tout le monde surfe sur le « RGPD effect ». On le ressent aussi sur les réseaux sociaux, qui ont réagis et redemandent un consentement utilisateur. Mais on constate qu'ils en profitent pour en demander encore plus. N'y a-t-il pas là un effet pervers ?

SB : C'est un peu à double tranchant. A partir du moment où tu demandes un consentement plus formel, on peut te dire que les données collectées vont être conservées pendant 10 ans, alors qu'avant c'était 3 ans.

MD : Mais la plupart l'accepte quand même...

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

SB : C'est un peu le risque. Après, il y a aussi un certain nombre de traitements qui sont identifiés. En cas de contrôle la CNIL pourra constater qu'un traitement contient plus données que ce qui est nécessaire au traitement. Par exemple, dans un export de données au comptable pour la paye, il n'est pas nécessaire d'avoir autre chose que le n° de sécu du salarié. La CNIL va dire attention vous collectez 50 données alors que pour ce traitement vous n'avez besoin que d'une ou deux. Dans ce cas, il y aura un abus sur la collecte et il faudra y remédier. Mais il faut encore que la CNIL dispose d'intervenants capables de reconnaitre les données strictement nécessaires pour le traitement.

MD : Il y a aussi les problématiques liées à la sécurité informatique.

SB : Il devient nécessaire de mettre en place des outils permettant de détecter les intrusions, qui nous permettent de croiser un certain nombre d'éléments du système d'information qui ressembleraient à un piratage. Parce que des personnes qui accèdent à une base de données, il y en a une dizaine identifiées dans le réseau et on les connait. Mais il faut aussi savoir si le poste utilisateur a été piraté et que quelqu'un ait accéder à cette base de données en son nom. Quelqu'un qui pirate une base de données on peut l'identifier facilement. L'accès n'étant pas autorisé, le système identifie un défaut de connexion à la base de données, on voit qu'il a des tentatives. La problématique est plus sur la corrélation d'évènements dans le système d'information. Lorsqu'il y a une tentative d'accès sur un poste que l'on ne surveille pas, parce qu'il ne contient pas de données sensibles, il permet potentiellement d'accéder au réseau et à la base de données. Là on a un vrai problème, à moins que nous ayons un outil capable de détecter cette tentative d'intrusion, au niveau du poste, puis de la connexion à la base de données.

MD : Ce qui normalement devrait déjà être mis en oeuvre.

SB : Ça coûte des sous ! C'est le problème que l'on a de partout. Par exemple, on beau avoir une porte blindée chez nous, nous avons aussi une entreprise de nettoyage qui sait accéder à nos locaux. Cette entreprise peut être cambriolée et nos codes d'accès peuvent être volés. Personne ne fera le lien entre le cambriolage de l'entreprise de nettoyage et des vols dans certaines autres sociétés.

MD : Cela veut dire que tu seras obligé d'avoir un niveau de sécurité plus important, parce que cette corrélation n'est pas toujours possible.

SB : Obligatoirement.

L'exemple est un peu extrême. Mais si tu prends quelqu'un qui se fait pirater son PC ou son téléphone mobile, permettant d'accéder au réseau, puis à la base de données. Même si nous surveillons l'accès à la base de données ou les tentatives d'accès au poste, on peut simplement se dire que c'est quelqu'un qui a voulu jouer avec le mot de passe et ne pas identifier qu'il s'agit d'une intrusion. D'où l'intérêt d'avoir des outils qui soient capables de corréler ces informations. Il faut aussi trouver des outils multi environnements et faire le tri, car comme tu le soulignais, beaucoup d'éditeurs de sécurité se sont jetés sur ce sujet pour faire du business.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Que ce soit les éditeurs d'antivirus, de solutions de sécurité ou de sauvegarde, tous traitent un point de la RGPD, mais aucun ne traite la totalité des besoins.

MD : Donc il y a de vrais impacts économiques pour vous, mais cela devrait aussi vous apporter du business.

SB : Oui, mais pour l'instant les gens ne sont pas encore prêts.

Il y a beaucoup d'éléments organisationnels à mettre en place dans les structures. Je travaille par exemple avec une Mairie et le nombre de données publiques qui sont collectées est énorme. Le service passeport, l'état civil, le cimetière... Ils ont bien 200 applications qui collectent des données personnelles.

Il faut déjà qu'ils établissent des procédures, qu'ils demandent des consentements de saisie, qu'ils puissent gérer les demandes d'utilisateurs (modification, consultation...). Mais ils n'ont pas fait grand-chose pour l'instant...

Cela doit s'inscrire sur le long terme. On ne pourra pas changer les mentalités comme ça. J'espérais une espèce de guide d'outils validés et proposés par la CNIL.

MD : Il y en a un, mais s'est plus pour vulgariser le règlement et sur les bonnes pratiques.

SB : Mais un guide pratique ce n'est pas des outils. Lorsqu'on fait la comptabilité d'une entreprise, il y a des logiciels validés par la DGFIP. Il y a des agréments et l'éditeur, comme l'utilisateur peuvent décider du niveau d'engagement qu'il souhaite garantir à ses clients ou obtenir. Il n'y a pas l'équivalent pour le RGPD. Comment peut-on vendre des solutions à nos clients sans pouvoir leur dire qu'elles sont « RGPD compliant » ?

MD : Ce sera surement le client qui le demandera.

SB : Oui, mais entre un produit RGPD compliant qui vient des Etats Unis et un autre validé par la CNIL, je vois une grosse différence. Un peu comme un logiciel de compta américain et un français, qui ne sont pas assujettis à la même législation.

MD : Mais avec le RGPD, si une entreprise outre atlantique espère adresser un marché européen, elle n'aura pas le choix. En cas de non-conformité, elle s'expose des sanctions pouvant aller jusqu'à 4% de son chiffre d'affaire mondial. Alors qu'avant, elles pouvaient préférer payer des amendes de 150 000 €...

SB : Encore faut-il pouvoir les emmener devant un tribunal international, qu'ils soient sanctionnés et qu'ils payent.

Je pense qu'aujourd'hui c'est surtout de la « flûte ». Quand on voit que l'Etat n'arrive pas à récupérer des impôts qui auraient dû être payer en France, comment veux-tu que la CNIL inflige 20 millions d'euros d'amende à Apple ?

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

MD : Après le scandale sur Facebook, en termes d'image les GAFAM semblent quand même pendre les devants.

SB : C'est exactement ça. C'est juste une question d'image.

Pour en revenir aux taxes comme la TVA, je pense que l'Etat était plus à même de récupérer l'argent que la CNIL.

Quoi qu'il en soit, il vaut mieux être en avance qu'en retard sur ce sujet. Mais je pense que la petite PME du coin, qui gère ses 30 ou 40 clients, cela lui passe largement au-dessus de la tête.

Mais ça va permettre aux gens de savoir ce qu'on fait exactement de leurs données. Aujourd'hui si tu leur fais signer un consentement à chaque fois, ils finiront par le lire, alors que jusqu'ici on s'attarde rarement sur les CGV.

MD : Parce qu'elles sont illisibles.

SB : Mais ce sera peut-être toujours le cas...

MD : Ils sont censés les rendre plus intelligibles et beaucoup plus explicites.

SB : Lorsqu'on demande un consentement, on ne le rédige pas obligatoirement en Arial 16 et en rouge... Rien ne me dit comment je dois rédiger les consentements.

En pratique la plupart des CGV restent écrites en police, 8 au dos du devis, avec une cinquantaine d'articles. Forcément personne ne les lit...

Je trouve que la RGPD reste globalement une démarche positive, mais cela se vérifiera sur le long terme.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

ANNEXE 7 - Plainte de la Quadrature du Net

De: La Quadrature du Net < contact@laquadrature.net>

Envoyé: mercredi 6 juin 2018 18:31

À: darmetmathieu@gmail.com

Objet: Dépôt des plaintes contre les GAFAM !

Chers participants aux plaintes collectives contre les GAFAM,

Après six semaines d'une campagne qui a été dense et très bien relayée, nous avons recueilli plus de 12 000 mandats pour attaquer les GAFAM dans le cadre de l'entrée en application du RGPD. Merci à vous pour votre soutien, votre confiance et pour les relais nombreux de cette action ! Et merci aussi à toutes celles et ceux qui ont participé à l'écriture

collective des textes des plaintes (voir le communiqué ici :
https://www.laquadrature.net/fr/plainteGAFAM) !

Nous avons officiellement déposé cinq plaintes devant la CNIL le 28 mai dernier, et nous avons reçu en fin de semaine dernière les accusés réception officiels. Chacune des plaintes déposées vise un des GAFAM, et concernent sept des services pour lesquels vous nous avez donné mandat (Facebook, Google Search, Gmail, Youtube, iOS, Amazon et LinkedIn).

Nous avons pris la décision de ne pas attaquer les douze services annoncés en une seule fois, mais de les étaler dans le temps, en espérant ainsi raccourcir le délai de réponse pour les premières plaintes et ainsi obtenir le plus rapidement possible des jurisprudence intéressantes. S'agissant des cinq services restants (Whatsapp, Instagram, Android, Outlook et Skype), nous allons attendre un peu de voir comment les choses évoluent avant de lancer les procédures contre eux.

Car les procédures que nous avons déjà initiées seront longues et nouvelles, et nous préférons y aller étape par étape.

Dans un premier temps, d'ici un mois au mieux, la CNIL devrait rendre une première décision pour répartir nos différentes plaintes entre les autorités de plusieurs États européens. C'est désormais la règle avec le règlement général sur la protection des données : si une entreprise collecte des données sur plusieurs pays, les CNIL de tous ces pays doivent collaborer pour trouver une décision commune. La CNIL d'un de ces États (celui où l'entreprise a le centre de ses activités dans l'Union européenne) est alors désignée « autorité chef de file » et est chargée de conduire l'instruction et d'animer cette coopération. Mis à part la plainte dirigée contre Amazon qui partira au Luxembourg, toutes les autres seront très probablement réceptionnées par l'autorité irlandaise.

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018

Bref, nos plaintes seront les premières à éprouver ce nouveau mécanisme de coopération complexe : inutile donc de nous précipiter en tirant toutes balles d'entrée de jeu !

Les cinq plaintes déposées sont accessibles en ligne, et sont bien entendu librement réutilisable par toute structure qui souhaiterait lancer des actions de groupe du même genre :

- Plainte contre Facebook : https://gafam.laquadrature.net/wp-

content/uploads/sites/9/2018/05/facebook.pdf

- Plainte contre Google : https://gafam.laquadrature.net/wp-
content/uploads/sites/9/2018/05/google.pdf

- Plainte contre Apple : https://gafam.laquadrature.net/wp-
content/uploads/sites/9/2018/05/apple.pdf

- Plainte contre Amazon : https://gafam.laquadrature.net/wp-content/uploads/sites/9/2018/05/amazon.pdf

- Plainte contre LinkedIn (Microsoft) : https://gafam.laquadrature.net/wp-
content/uploads/sites/9/2018/05/linkedin.pdf

En attendant la décision de la CNIL qui ne saurait trop tarder, vous pouvez découvrir comment le RGPD pourrait « rebooter Internet » en lisant la tribune enthousiaste que Marne et Arthur, les deux animateurs de notre campagne d'action de groupe contre les Gafam, ont publié le 25 mai dernier : https://www.laquadrature.net/fr/25_mai !

Merci encore à vous tous, et on vous tient au courant des suites !

La Quadrature du Net

PS : si vous souhaitez être tenus au courant de ce que fait La Quadrature du Net par ailleurs, vous pouvez vous inscrire à notre newsletter : https://lists.laquadrature.net/cgi-bin/mailman/listinfo/actu

Se désinscrire

Mathieu DARMET - Mémoire de fin d'étude - Business Manager 2018