ANNEXE 2 - Romain Ivoy - EVOS Infogérance
GUIDE D'ENTRETIEN
- Quelles sont les démarches ou réflexions qui ont
été entreprises au sein de votre structure ?
o Dans votre fonctionnement interne ? Vos outils de
communication, démarches marketing ? Type de données
collectées, usage, conservation ? Accompagnement, experts,
conseils...
o DPO, groupe de travail
o Dans les services ou l'accompagnement de vos clients ?
Ont-ils pris la mesure de leurs responsabilités ? PME,
peu responsabilisés
? Gros sont largement interpellés >
Démarches
? PME certains en parlent diffus
? Aucune réflexion petits clients > Occupé
par leur activité
Avez-vous eu des demandes particulière (cryptage,
recensement, documentation...) : Procédure d'effacement des
données pour vos clients ; demandes de certification ou label CNIL ;
analyses de risques/impact PIA (Privacy Impact Assesment) ou audit...
o Avez-vous révisé vos contrats clients et
sous-traitant ? Clause de garantie ?
o Avez-vous souscrit une cyber assurance ?
- Quelles adaptations techniques avez-vous réalisé
pour garantir la sécurité de vos données ? Quels impacts
économiques ? Investissements ?
- Pensez-vous que cette réforme constitue une contrainte
ou une opportunité pour l'entreprise ?
- Pensez-vous que ces dispositions soient suffisantes ? Quelle
est votre analyse ?
- Vous évoquiez plusieurs idées lors de notre
échange téléphonique - Pouvez-vous les développer
?
o Une forme de protectionnisme économique européen
face aux GAFAM ?
o Développement d'un business opportuniste autour du
sujet pas toujours justifié
o Adéquation des textes avec la réalité et
disparité entre les types d'entreprises
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
TRANSCRIPTION DE L'INTERVIEW Romain
Ivoy
Le 26/04/2018 à Saint-Ismier Responsable Technique,
associer Prestataire de service informatique
Mathieu Darmet : Romain Ivoy, quel est ta
fonction chez d'Evos Infogérance ? Responsable Technique ?
Romain Ivoy : Oui on peut dire Responsable
Technique.
MD : Je suis venu t'interroger sur le RGPD
et les données personnelles en générale, voir sur
l'identité ou la responsabilité numérique des individus.
J'aimerais notamment savoir ce que vous avez fait en interne, ce que vous
collectez, comment cela impacte votre démarche marketing ou votre
communication.
RI : Pour ce qui est des aspects marketing
et communication, nous n'avons pas d'activité. Notre métier
consiste à être le service informatique de nos clients et pour lui
changer son prestataire ou son service informatique, c'est cycle long.
Ça ne marchera pas avec une campagne d'emailing, c'est des
opportunités et des relations qui se créent. Il n'y a pas
spécifiquement de démarche marketing, en tout cas dans notre
société. Donc nous n'avons pas de problématique de
données personnelles à ce niveau. On va utiliser des
réseaux d'influence et c'est des gens chez nous qui sont dans ces
réseaux qui vont ouvrir les portes, trouver les contacts et ensuite on
engagera une démarche avec les prospects. Aujourd'hui, nous n'avons pas
de démarche de communication massive, ce qui nous simplifie la vie.
MD : Sur le plan du RGPD c'est certain.
En terme d'organisation et vis-à-vis de vos
traitements internes, est ce que vous avez mis en place des procédures,
nommé un DPO ?
RI : Nous n'avons pas besoin de DPO, mais
nous avons la particularité d'être service informatique pour nos
clients. De ce fait, nous sommes sérieusement impactés par le
RGPD, au moins du point de vue du temps que l'on passe à en discuter.
Par rapport à nos propres outils, qui nous permettent de faire la
maintenance et d'accéder à l'ensemble des systèmes
d'information de nos clients. C'est donc une vraie question pour nos clients.
Nous avons aussi les aspects légaux sur nos contrats à traiter,
les clauses de non divulgation pour nos salariés, mais qui existent
déjà, puisque n'importe lequel de nos techniciens qui intervient
chez un client a potentiellement accès à des données, il
peut les manipuler, les copier. Sur notre activité de support, nous
sommes en train d'apporter quelques fonctionnalités
supplémentaires, entre autres pour les prises en main à distance
et qui découlent directement du RGPD. Nous avons un mode de
fonctionnement où tout est centralisé par nos outils. Un
technicien ne peut pas faire de prestations chez un client sans que cela passe
par nos outils-métier. Beaucoup d'intervenants utilisent par exemple du
Team Viewer ou des outils gratuits pour se connecter chez leurs clients. Mais
l'inconvénient c'est que le client n'a aucune visibilité sur ce
qu'ils font, il n'y a aucune traçabilité possible. Depuis la
création de notre société, ces pratiques n'existent pas.
Tous les
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
outils sont internes à l'entreprise et chaque
technicien qui se connecte est tracé et doit systématiquement
renseigner le numéro de dossier concerné. Lorsqu'on se connecte
à distance sur un serveur, on a automatiquement un pop-up qui lui
demande d'identifier le dossier pour qu'il puisse réaliser
l'intervention. On sait qui est la personne et pourquoi elle est là, ce
qui nous permet de restituer au client l'ensemble des actions effectuées
sur les machines, dans quel cadre, par qui et combien de temps nous avons
passé.
MD : Et vos clients, est-ce qu'ils en ont
pris la mesure ? Est-ce qu'ils vous interrogent sur le RGPD ?
RI : Ce sont des PME et il y a 3 cas de
figure. Les plus gros qui sont harcelés par les différentes
communications commerciales, ont commencé à engager des
démarches et se sont déjà tournés vers nous pour
valider les choses. Nous avons les sociétés plus petites
où de temps en temps on nous en parle, mais c'est très diffus. Et
pour les tout petits clients, ils n'ont eu aucune réflexion et la
plupart d'entre eux ne savent même pas ce que c'est. De toute
façon, ils ont déjà du mal à assurer leur charge de
travail au quotidien, donc ne vont pas s'occuper de choses subalternes, pour
lesquelles il n'y a pas eu de communication et personne n'a pris le temps de
regarder.
MD : Oui, ils en ont au moins entendu parler et
il y a des contraintes.
RI : Dans une PME de 5 ou 6 personnes, c'est
en général le dirigeant qui gère ces sujets et c'est une
contrainte parmi d'autres, qui sont toujours plus urgentes. Etant acteur
informatique nous nous en sommes forcément occupés. Pour nous il
y avait deux axes, l'un interne pour la mise en conformité juridique, ce
qui nous rappelle bien que la RGPD est avant tout un problème juridique,
sur lequel les gens de l'informatique ne peuvent qu'accompagner dans la
traduction des moyens. Le prestataire informatique va être là pour
faire la translation entre les aspects très techniques et les besoins
des juristes. Nous avons donc pris rendez-vous avec notre juriste, pris
l'ensemble des contrats relatifs à notre activité, et lui
expliquer ce qu'on fait et notre juriste met un plan d'action en place pour
notre société. Compte tenu de notre taille, nous n'avons pas le
temps de nous en occuper. On ne peut ni détacher la personne et on n'a
pas obligatoirement les compétences pour traduire le texte correctement.
On est tous capable de lire du français, mais l'interprétation
d'un texte de loi c'est un métier. Mais quand on pense ne serait-ce
qu'à la définition de ce qu'est une donnée à
caractère personnel, c'est déjà une aventure. Par exemple
est ce qu'on est obligé de déclarer le carnet d'adresses Outlook
de ses salariés ? Puisqu'une fiche de contact, c'est bien une
donnée personnelle, qui identifie de manière explicite un
individu par son nom, son prénom, son numéro de
téléphone mobile, son adresse mail.
MD : Mais il y a aussi une question de
sensibilité de ces données personnelles.
RI : Là attention, il y a les
données à caractère personnel et ensuite celles qui se
rapporte à des sujets spécifiques, comme la santé
notamment. Mais ce dont parle le RGPD, au sens général du terme
c'est bien des données à caractère personnel, avec un
volet pour les données sensibles, avec des obligations
spécifiques. La personne qui s'occupe de l'administratif dans une PME,
qui a reçu des tonnes de documents, va me demander ce qu'elle doit
déclarer : « ma base
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
de gestion, mon fichier de paie, je fais comment ? »
Nous allons pouvoir l'aider à recenser ses données d'un point de
vue informatique, car en général dans l'entreprise une personne
n'a pas une visibilité transversale, mais plutôt verticale. Elle
voit ce qu'elle utilise, mais ne sait pas forcément qu'à
l'atelier ils ont mis en place des plannings, avec le nom des personnes, leurs
numéros de téléphone pour les astreintes, ils se sont
peut-être arrangés entre eux. Comme chaque personne passe par nous
à un moment, pour savoir comment traiter ses données, comment on
va les sauvegarder, on a une vision des demandes en entrée et une vision
du système dans son ensemble. On peut donc faire l'inventaire du
système de manière exhaustive et c'est là que l'on peut
accompagner le client, pour recenser les informations.
MD : Donc vous avez eu des demandes de missions
particulières vis-à-vis du RGPD.
RI : Quand on nous aborde sous cet angle, on
leur explique ce qu'on connait de la RGPD, on leur demande de se retourner vers
leur juriste, car il va y avoir des modifications dans les contrats de travail,
une charte informatique. Est-ce qu'une charte informatique peut-être
rédigée par un technicien informatique ? Je ne suis pas sûr
qu'elle soit légale à l'arrivée. Ensuite on peut
l'accompagner par rapport à son besoin, mais on ne va pas se lancer dans
un inventaire, qui prendrait des jours. On est peut-être de mauvais
commerciaux, mais tant qu'on ne connait pas l'obligation légale de ce
client, on le rassure dans un premier temps, car c'est avant tout le
problème qu'on va rencontrer dans une petite structure. En plus si notre
interlocuteur n'est pas le dirigeant et qu'il est le seul à en avoir
entendu parler, il n'est pas forcément audible. Le RGPD vise
différentes choses, c'est comme toute procédure qualité,
qui entraine des contraintes, mais pour moi, la vraie question, c'est comment
l'utiliser à des fins pertinentes dans l'entreprise. Est-ce qu'on le
fait juste pour être certifié, ou est-ce qu'on essaie
d'améliorer nos process. Pour moi, cela doit être abordé
sous forme de valeur ajoutée. Nous l'utilisons nous aussi au travers de
nos clients, pour valoriser nos prestations.
On va leur donner les éléments qu'ils pourront
eux-mêmes valoriser auprès de leurs clients, dans leurs propres
prestations grâce aux mécanismes qu'on a mis en place au niveau de
l'informatique.
MD : C'est-à-dire ?
RI : Sécurité, sauvegarde,
tolérance de pannes, moyens mis en oeuvre, période de support,
astreintes, qui permettent à nos clients de dire qu'ils ont une
continuité d'activité. De dire que les entrées/sorties et
les droits sont contrôlés, qu'ils sont aux normes et de le
garantir à leur client : « si vous avez besoin, on peut ».
Cela permet à nos clients de se positionner avec un niveau de
fiabilité de leur système d'information qui est
déjà plus élevé que celui de leurs concurrents.
Cela leur permet d'arriver sur le marché avec un autre niveau de
critères et de créer une barrière à
l'entrée, car le client va demander aux autres s'ils l'ont aussi. Du
coup, leur client ne sait pas vraiment pourquoi, mais si c'est moins bien en
face, il en tiendra compte. Donc si nos clients interviennent dans
l'aéronautique, de la chimie ou vis-à-vis de domaines qui sont
réglementés, ils pourront, même en tant que PME,
échanger avec le service informatique de leurs clients. C'est donc une
valeur ajoutée pour eux et une différenciation par rapport aux
tailles de structures, parce qu'ils accèdent à des moyens qui ne
sont pas normalement mis en place. Là on aborde un autre point de la
réglementation que l'on peut traduire sous forme de valeur
ajoutée, à savoir : comment je transforme cette contrainte
réglementaire en avantage
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
concurrentiel. Dans notre cas, grâce à cette
réglementation, cela permet d'éliminer un certain nombre
d'acteurs ou de leur créer des difficultés dans leur business.
MD : En d'autres termes, cela vous permet de
mettre en avant une valeur ajoutée qui n'était pas
forcément perçue par vos clients.
RI : Il ne faut pas aller trop loin non
plus, mais nous sommes toujours partis du principe que : pourquoi faire mal,
alors qu'on pourrait faire bien avec les mêmes ressources ? Si on est
bien préparé, on peut faire sa prestation proprement,
plutôt que tout faire dans le désordre en se débrouillant
pour que ça marche en partant, mais c'est de l'à peu
près... On s'est toujours focalisés sur cette approche, en
partant des bonnes pratiques, quitte à détourner quand on
rencontre un problème ou pour certains usages, mais nous respectons nos
process. On l'a vérifié ces dernières années, avec
des PME qui ont été rachetées par des grands groupes. Le
risque était de perdre notre client et les groupes en question ont
finalement recontracté avec nous, parce que ce qu'on leur fournissait
était tout à fait compatible avec leurs méthodes de
travail. Donc comme le service informatique de ces groupes est relativement
loin du site que nous gérons, pourquoi s'embêter à modifier
des choses qui fonctionnent parfaitement. Après lorsqu'on arrive sur des
clients plus petits, qui n'ont pas ces problématiques et ces
contraintes, on est plus chers et plus contraignants.
Mais depuis le vote de la loi en 2016, nous avons quand
même eu pas mal d'éléments qui sont venus heurter l'opinion
en matière de sécurité. Le sujet de la
sécurité numérique est devenu un sujet un peu plus
présent pour le commun des mortels, avec Facebook, Snowden, les
ransomware, qui sont des évènements très
médiatisés. Mais c'est un peu comme la peur du gendarme,
ça ne dure qu'un certain temps et les moyens et volontés se
diluent avec le temps. Donc ce qui n'est pas fait sur le moment, ne sera pas
fait, ou on attendra le prochain scandale pour réagir.
L'avantage de la législation c'est qu'elle va
permettre de définir une norme. Je rappelle que dans le domaine des
systèmes d'information et de l'informatique, il s'agit
d'éléments critiques qui permettent de faire fonctionner
l'entreprise. C'est le système nerveux de l'entreprise, mais il y a
beaucoup de sociétés en France qui ne redémarrent pas si
elles rencontrent un sinistre informatique, car elles ne le maîtrisent
pas. L'entreprise a tendance à considérer que type d'outil, c'est
comme l'électricité : on l'allume ça fonctionne et tout le
monde l'utilise. Il y a un bouton, j'appuie, ça doit marcher. Mais elle
oublie que contrairement à l'énergie, l'entreprise est
responsable de la production de son information.
Réfléchis aux structures dans les quelles tu as
travaillé, y compris avec moi. Aucunes n'étaient en mesure de
garantir qu'elles pourraient retravailler après un sinistre majeur.
Parce qu'on se consacrait à notre métier et que cela demandait de
gros investissements. Le risque se multiplie, avant on abordait les risques
liés aux sinistres naturels, aujourd'hui il est aussi numérique
et il s'amplifie.
Avec le RGPD, les gouvernements envoient aussi un autre
signal. On s'aperçoit que c'est comme avec un ascenseur, il faut un
entretien et si on laisse les gens le faire d'eux-mêmes, ils ne le font
pas. Donc on est obligé de contraindre et c'est ce qu'essaie de faire
l'Europe avec le RGPD. Elle cherche d'un côté à
protéger les données des citoyens européens et de l'autre
à créer un levier de compétitivité pour les
entreprises européennes, parce qu'on est très en retard sur le
numérique. Sur le traitement des données à
caractère personnel, sur le traitement de masse, tout simplement
inexistant.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
On a des compétences sur des domaines pointus et
techniques du traitement de la données, avec des mathématiciens
et de hautes compétences universitaires, mais nous n'avons pas su mettre
en place les géants permettant de traiter la masse de données
nécessaire. On n'a pas les tailles critiques. L'Europe est prise entre
la Chine et les Etats Unis, avec des acteurs majeurs, qui ne sont pas
forcément que les GAFA qu'on connait, mais qui sont tout aussi puissants
: Alibaba et autres. L'Europe a donc fait ce qu'elle sait bien faire, elle
légifère...
MD : Oui mais l'Amérique du Nord, qui a plutôt
une autre culture vis-à-vis des données personnelles, est en
train de se poser des questions, notamment suite aux détournements de
données qui ont été médiatisés et ont pu
influencer leur électorat.
RI : C'est vrai que quand on est
américain, imaginer qu'un ancien du KGB ait pu mettre quelqu'un à
la tête de son pays, c'est assez terrible. Ce que je constate aux Etats
Unis, c'est que tu fais d'abord puis tu sanctionnes à postériori.
Là, nous légiférons avant de faire, ce qui est
inhérent à notre fonctionnement, on le retrouve dans notre droit
ou dans d'autres domaines. On a une inversion des normes par rapport à
eux. Aux Etats Unis, ils attendent d'avoir franchi la ligne rouge. Zuckerberg
va devoir s'expliquer devant le Congrès et là ils vont
peut-être lui taper sur les doigts et peut-être changer les
règles.
Nous, on légifère pour éviter que cela
arrive, mais est-ce que ça va être compatible avec le
développement économique ? Est-ce qu'on va être mesure de
concurrencer ces acteurs américains ? Il est donc intéressant de
confronter les deux méthodes.
Mais la manière dont le texte a été fait
le rend extrêmement complexe à appliquer. Il est complexe à
interpréter et dans l'année qui vient, on entre surtout dans une
phase où on va faire des efforts.
MD : C'est d'ailleurs ce que la CNIL entend
mesurer, à s avoir ce que les entreprises auront mis en place dans
l'esprit du RGPD.
RI : On va faire des efforts, mais je pense
qu'on ne va pas s'énerver plus que ça, parce qu'on
s'aperçoit qu'il n'y a pas grand monde qui est capable de
répondre avec certitude sur ces sujets. Plus globalement, il y a aussi
certains domaines du texte qui sont très larges et qui vont à mon
avis nécessiter quelques cas d'école et procès pour avoir
des jurisprudences. Pour le moment le texte de loi est tellement ouvert, que
l'interprétation que va en être faite sera très importante.
Il faudra attendre ces premiers jugements pour commencer à avoir des
réponses un peu plus précises.
Cela rappelle l'usage de la messagerie en entreprise il y a
quelques années, qui a engendré quelques procès, avec des
jugements opposés sur des cas pourtant assez similaires.
L'interprétation de la loi en fonction du juge était
différente. Pour les PME comme nous, on met quelques moyens et on
investit du temps sur le RGPD et on pourra démontrer notre bonne foi
dans la démarche. Il ne peut pas y avoir d'objectif et d'engagement de
résultat aujourd'hui.
MD : Avez-vous des clients qui vous ont
interpellés sur des procédures d'effacement des données
?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
RI : Non en aucun cas. Nos clients ne
produisent pas de la donnée brute, ils utilisent des logiciels. Donc il
serait bon que les logiciels intègrent ces paramètres et on
s'aperçoit que ce n'est pas le cas. On a d'ailleurs certains acteurs qui
fournissent leur logiciel en mode locatif, comme un accès au service.
Donc leur responsabilité va un peu se transformer, car le client
accède à un service qu'ils gèrent.
Pour l'instant, ils mettent en avant le fait de respecter les
données de leurs clients, mais ils n'ont pas encore mis en place tous
ces mécanismes de gestion de la donnée dans le temps et n'ont pas
fourni les outils pour que l'utilisateur puisse le faire. Le RGPD arrive aussi
à un moment où notre monde est en mutation complète, dans
son fonctionnement et dans la manière de faire du business.
L'informatique évolue aussi, ne serait-ce que dans les
termes utilisés, on parle d'ESN, de responsables numériques, on
cherche des data scientistes, on parle de big data... La transformation est
très forte et la RGPD arrive en même temps. Ce que je
perçois c'est que pour le PME historiques, leur numérisation est
encore très abstraite et compliquée. Avec le RGPD qui s'applique
par-dessus, cela devient difficile à digérer. C'est plutôt
les acteurs du marché, qui en se mettant aux normes vont automatiquement
entrainer leurs clients dans la norme et c'est comme ça que le
marché va se structurer. On arrive dans un marché où on
n'est plus forcément propriétaire de son système
d'information, on consomme des services qui vont interagir les uns avec les
autres. Donc si tous les services sont aux normes, la question ne se pose
pas.
MD : Il restera la manière dont sera
utilisé le système d'information et ceux qui ne joueront pas le
jeu.
RI : Dans ce cas c'est une violation de la
loi. Le débat est récurent, notamment avec Facebook dont les
conditions d'utilisation et ce qui est fait des données n'a jamais
été très claire. Le sujet reviens
régulièrement sur la table depuis 10 ans, même si cela
prend des proportions plus importantes aujourd'hui. Des études
démontrent que les jeunes utilisateurs sont devenus très
sensibles à l'utilisation de leurs données personnelles et qu'ils
en ont pleinement conscience. Par contre, ils n'ont pas tellement
modifié leurs usages pour autant.
MD : Cela nous amène au niveau de
sensibilisation et d'éducation de ce public, qui est assez peu
cadré.
RI : En tant que parent, il me semble que
c'est à toi de le faire. Pour moi, ce n'est pas forcément le
rôle de l'école et c'est aux parents de s'occuper au sens large de
l'éducation de leurs enfants. On apprend à son enfant par exemple
qu'il faut faire attention au passage piéton. L'école fait des
journées de sensibilisation sur la sécurité
routière, mais c'est plus un rappel des bonnes pratiques et cela peut
traduire une insuffisance de la part des parents sur ce sujet. Pour le
numérique, l'usage est surtout fait sous le contrôle des parents.
Donner une tablette à un enfant de 3 ans, revient à ne pas
assumer son rôle de parent, ne pas prendre du temps pour son enfant, ne
pas échanger avec lui... C'est l'occuper pour pouvoir faire autre
chose.
MD : De ce point de vu, je suis d'accord.
Mais partant du principe que les parents utilisent eux-mêmes le
numérique sans être suffisamment éduqués, il me
semble illusoire d'espérer les voir accompagner correctement leurs
enfants dans l'usage qu'ils en font...
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
RI : Nous abordons là un sujet
beaucoup plus large, car en France le numérique apporte très peu
de productivité. On a investi dans le numérique depuis de
nombreuses années, il y a de l'informatique et des systèmes
d'information partout et on n'y trouve pas obligatoirement de gain de
productivité.
On s'aperçoit tous les jours que les gens en
entreprises ne savent pas l'utiliser, avec des utilisateurs qui impriment leurs
tableaux Excel et font des contrôles de sommes à la calculatrice,
avec ceux qui font du copier/coller pendant des heures et qui passent aussi des
heures à ressaisir les mêmes informations par ailleurs.
Cela revient à faire une activité manuelle avec
un outil numérique. Ils se demandent rarement comment ils peuvent
automatiser leurs tâches, ce qui est déjà un
problème fondamental, car par définition, l'informatique consiste
à automatiser des traitements.
L'utilisateur devrait donc face à ces situations se
rendre compte qu'il n'est pas en train d'utiliser l'outil de la bonne
manière. Sauf que ce n'est pas le cas, parce que lorsqu'on fait des
tâches répétitives, au bout d'un certain temps on a
l'impression d'être productif et ça nous rassure. Mais nous nous
éloignons du sujet.
MD : Pas forcément, car on est en
train de protéger les données des gens, mais on ne les
protège pas d'eux-mêmes...
RI : Il y a tout d'abord la culture
française et latine, pour laquelle le numérique et la
donnée sont encore des choses relativement abstraites. C'est devenu d'un
usage courant, pour les jeunes générations, comme pouvait
l'être à une époque le Rubik's Cube ou les baskets. C'est
des usages générationnels qui se sont ensuite
généralisés. Le smartphone, les réseaux sociaux,
c'est pareil, on ne reviendra pas en arrière.
Nous n'avons pas du tout la même approche du
numérique que les anglosaxons. Eux, vont protéger les
données, mettre en place des solutions et justement créer des
services qu'on ne créée pas. Ils ont une conscience du monde
numérique, il est palpable, il est tangible et a une valeur
monétisable. C'est très peu le cas chez nous les gens ont
très peu ce souci-là. A partir du moment où ça n'a
pas de valeur, pourquoi le protéger ?
On réagit aux effets de bord, mais nous se sommes pas
encore parvenus à rentrer dans ce monde numérique. Cela se
vérifie dans notre entreprise, car il est beaucoup plus simple de suivre
une prestation où l'on a du matériel à livrer, qu'une
prestation purement intellectuelle. Au niveau comptable et administratif, on va
réagir en disant, « ça s'était un gros truc »...
Non c'était juste un bien atomique, matérialisé, une fois
qu'on l'a livré, on ne l'a plus. Alors que nos prestations
numériques sont impalpables.
J'ai eu le cas récemment d'une société
de 300 personnes, qui a besoin de faire de la simulation pour leurs production
et ils ont un outil qui leur fournit des éléments pertinents et
exploitables. Le seul problème, c'est que pour faire les calculs cela
prend plusieurs jours et on a déjà terminé la production.
C'est normal, vous avez investi 2000 € dans le simulateur et le serveur
qui le fait fonctionner, alors qu'une machine adaptée aurait
plutôt coûté 30 000 €. Et là ils sont
tombés des nues. Je les ai ramenés au prix d'un véhicule
pour un de leur commercial, pour laquelle ils sont volontiers prêts
à mettre cette somme, en leur demandant pourquoi ils sont choqués
de devoir mettre cette même somme dans un matériel pourtant
crucial pour leur activité. Pourquoi ? C'est une question de poids ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
Ils vont encore une fois valoriser le côté
palpable de leur investissement. Et quand on creuse, on s'aperçoit que
si leur simulateur fonctionnait plus rapidement, ils pourraient gagner 20
à 30 jours de production sur leur usine. L'investissement me semble donc
rapide à amortir, surtout par rapport à la voiture du
commercial... Je leur ai donc demandé quel est le bon choix si vous
n'aviez que 30 000 € ? Mon interlocuteur, m'a alors répondu
qu'étant l'utilisateur de cette voiture, il comprend bien.
On n'est donc toujours pas dans quelque chose de rationnel,
quand il s'agit du numérique. C'est des mécanismes qui sont
humains, mais c'est toute l'entreprise qui s'appuie sur le système
d'information et c'est un des rares postes sur lequel on ne prévoit pas
de budget et on ne sait même pas ce qu'il coûte comptablement. Si
on confronte le cas d'une chaine de production industrielle et celui d'une
chaîne numérique, avec des gens qui font entrer de l'information
dans le système, est-ce qu'il y a vraiment une différence ?
Prenons le cas d'un avocat, qui finalement produit du document Word à la
chaîne et de la prestation intellectuelle. Leur chaîne de
production est donc leur compétence et le système informatique.
Mais même pour eux, l'investissement informatique reste compliqué,
c'est juste un centre de coûts...
MD : C'est assez révélateur. Il y a un vrai
problème de perception.
RI : Avec ce problème de perception,
le fait d'arriver en bout de chaîne en parlant de protection des
données génère une certaine incompréhension. Alors
qu'aujourd'hui, ce public devrait réfléchir à comment
optimiser ses moyens de production, avec des chat bot pour les avocats, qui
vont rédiger leurs contrats automatiquement ou prendre en charge leurs
utilisateurs, augmenter en volume et faire des investissements dans les outils
de compétition de demain. En dehors de quelques visionnaires ou
personnes sensibilisées, la majorité est incapable de mettre le
prix qu'il faut dans ce genre de choses.
Quand nous avons à faire à des gens qui sont
réceptifs, on peut les interpeler sur les changements qui
s'opèrent. Nous assistons à la mise en place de villes
numériques, ce qui veut dire de la délinquance numérique,
des accidents numériques et il faut donc des pompiers et de la police
numérique. Pour schématiser, on est en train de transposer notre
monde dans le numérique, on peut pas se limiter à faire les
choses à moitié. Ou alors on continue à le faire au fil de
l'eau et on fait notre apprentissage dans la dureté. Mais nous sommes
face à des gens culturellement adaptés et formés, qui vont
tout de suite mettre en place des centres de production numériques
« sizés », sans les incidents de parcours.
MD : Donc de ce point de vu, le RGPD est une
aubaine.
RI : C'est une aubaine, parce que cela
oblige à y réfléchir, mais ça ne suffira pas
à opérer la transformation numérique que nous devons faire
en France et en Europe. Et ce n'est pas parce que nous avons quelques start up
de pointe, la fameuse « French Tech », que nous pourrons transformer
l'état d'esprit. D'autant que le tissu économique de base de la
France reste les PME et que ce tissu a énormément de mal à
s'adapter. Après, avec le changement de génération dans
les entreprises, nous allons commencer à avoir des ruptures.
MD : Dans ce cas, il faut peut-être
s'interroger sur sa typologie de clients. Ai-je envie de travailler avec des
gens qui ne sont pas prêts à mettre les moyens nécessaires
?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
11
Le RGPD - Contrainte légale ou opportunité
pour les entreprises ?
RI : Oui, mais peut-on se permettre le luxe de
choisir nos clients ?
MD : Non, évidemment...
RI : Ce serait tellement plus simple ! C'est
quand même ce qu'on essaie de faire, mais on a des clients qui
travaillent avec nous par choix et d'autres par hasard. Les seconds, ne
comprennent pas toujours tous les enjeux, c'est cher, mais finalement comme
tout se passe bien... On a eu des cas où nos clients ont
interrogé la concurrence et qui nous ont dit que finalement, ils
aimeraient que ce soit un peu moins cher, mais qu'ils veulent continuer avec
nous car ces concurrents n'ont rien trouvés à redire sur notre
travail. On sait très bien qu'on ne gardera pas certains clients, car
ils n'arriveront pas à percevoir ce qu'on leur amène et donc nous
ne sommes est pas le bon prestataire pour eux.
MD : Même si ce n'est pas
obligatoirement le rôle de l'école, c'est bien là où
je voulais en venir quand je parle d'un manque d'éducation et de
maturité sur ces sujets.
RI : En plus c'est un marché qui
évolue très vite, donc même si on investit dans
l'éducation, cela reste difficile. Une Mairie nous avait demandé
il y a plusieurs années de former son personnel au numérique et
à l'internet. C'était des précurseurs et nous avons pu
expliquer les bases aux utilisateurs.
Je suis sûr que ces gens sont encore aujourd'hui
beaucoup mieux à même d'utiliser leurs ordinateurs que ceux qui
arrivent aujourd'hui sur le marché du travail, car ils comprennent les
mécanismes.
On peut comparer ça au monde de l'automobile, tout le
monde conduit, mais ne sait pas pour autant comment fonctionne un moteur
à explosion. On a souvent vendu l'idée que ceux qui
étaient nés avec, maîtrisent mieux les choses. Donc dans
cette logique, tout le monde étant né après l'automobile,
tout le monde devrait maîtriser comment fonctionne la mécanique
!
MD : Oui, mais on leur fait au moins passer un permis de
conduire.
RI : Est-ce qui faudrait que ce soit le cas
pour un ordinateur ? Il faut regarder quels sont les risques. Oui c'est un peu
anxiogène, mais pour ma part je n'existe pas sur internet et donc je
n'ai pas vraiment de problèmes. Pas de compte Facebook ou quoi que ce
soit. Quand je rentre chez moi, j'éteins mon téléphone,
car c'est un outil de travail. Quand je vois mes amis, que je fais un barbecue,
je le prends pas en photo, je mange ! Je n'ai pas besoin que quelqu'un «
like » ce que je fais pour me dire que c'est bien. Je le sais si c'est bon
! Cela nous amène vers autre chose.
MD : Oui dans le fait d'exister socialement.
RI : Etant un « geek » depuis
toujours, je n'ai pas ce besoin. Je n'ai jamais fait un site sur mon poisson
rouge ou sur mon chat. Mais si on se moquait de mon site, que je
considère être
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
l'oeuvre de ma vie, je comprends que ça puisse faire
du mal. Il faut donc un peu relativiser, on peut parfaitement vivre sans
être connecté et soumis au numérique.
Aujourd'hui, j'ai beau aimer les voitures ou le rugby, je ne
supporte plus d'aller sur les forums, tout le monde s'insulte...
Si on prend Twitter, cela ressemble à un
mécanisme visant à automatiser le bashing. Donc le système
d'information joue bien son rôle, il automatise le traitement. Au
même titre qu'on peut insulter quelqu'un dans la rue ou dans un stade,
aujourd'hui on peut le faire à des milliards d'exemplaires.
MD : Cela soulève un problème
d'impunité relative sur internet. Certains se permettent des choses
qu'ils ne feraient justement pas dans la vie.
RI : Mais aujourd'hui c'est
sanctionné. Il y a de nombreux cas ces derniers temps. Mais le RGPD n'y
changera rien, car les gens ont toute autonomie dans la bêtise. Est-ce
qu'on peut incriminer le numérique quand une végane se
félicite sur internet de la mort d'un boucher ? Que les convictions des
gens les amènent à penser ça ou à faire des blagues
entre amis sur certains sujets sensibles pourquoi pas, mais qu'ils le mettent
sur les réseaux sociaux...
MD : Ils sont sensés agir en pleine
conscience et assumer.
RI : La législation existe et a
toujours existé, c'est le code civil. On a tergiversé sur la loi
HADOPI parce qu'il faut s'adapter au numérique, mais si je te vole une
oeuvre, qu'elle soit numérique ou atomique, c'est du vol. On veut
réinventer des lois, mais elles sont déjà là.
MD : C'est vrai que si les gens n'ont pas le
sentiment de voler quand c'est quelque chose d'immatériel, ils n'ont pas
spontanément conscience de se faire voler leurs données non
plus.
RI : Si l'on prend la tenue de propos
racistes ou l'incitation à la haine, il n'y a pas matière
à faire des textes de loi, ils existent.
MD : Il y a quand même une forme
d'impunité, puisqu'internet permet de masquer son identité plus
facilement que dans le monde réel.
RI : Oui, mais on peut envoyer des lettres
anonymes ! Avec la protection des données, pour moi le danger est
ailleurs, c'est même très simple : Si le
3èmeReich avait disposé d'outils numérique, il
leur aurait fallu combien de temps pour faire un génocide ? En quelques
heures ils auraient fait leur liste et aller plus rapidement au bout de leur
démarche, ce qu'ils n'ont pas pu faire bien heureusement !
Il y a aussi des dérives modernes plus pernicieuses,
puisqu'on voit très régulièrement apparaitre des histoires
qui font du buzz sur les réseaux sociaux, sur des sujets qu'on pouvait
avant qualifier de rumeurs, qui se trouvent aujourd'hui
démultipliés. Ce qui induit finalement des fake news, qui te
permettent ensuite d'influencer l'opinion. Il y a donc un danger pour la
démocratie, qui n'est pas prête à ce
phénomène, entre la liberté d'expression et la
diffamation.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
Le principe de la fake news est d'insérer des faits
qui sont faux et d'influencer une pensée. Lorsque c'est fait
correctement, cela crée un état de fait qui n'existe pas. La
démocratie doit donc se doter des moyens permettant de lutter contre ces
phénomènes et c'est un peu le cas avec le RGPD.
Donc le RGPD va essayer de traiter à la source la
collecte de données de masse, ce qui permettra d'endiguer ces
phénomène, avec d'avantage de contrôle et de
traçabilité. On a aussi des problématiques de
criminalité, mais aussi de discrimination. Quand on va vouloir souscrire
une assurance, on va s'apercevoir que l'on aura pas forcément les
mêmes conditions que son voisin, parce qu'on aura pris en compte nos
données de santé, bancaires et autres. On se retrouve donc «
benchmarké », parce que l'ensemble de nos données auront
déjà été vendues. Mais est-ce que ce n'est pas
finalement une volonté de notre société ?
MD : Dans une démarche de profitabilité
permanente, j'en ai bien peur...
On est pourtant sensé pouvoir revendiquer un droit
à l'oubli, mais quand les données ont été
revendues, on en a pas la garantie.
RI : Normalement elles sont détruites
et la RGPD devrait pouvoir le réguler d'avantage.
Pour moi c'est vraiment une loi polymorphe, dans le sens
où au-delà des contraintes pour l'entreprise, cela permet aux
gens de prendre conscience du numérique et de réguler notre
marché.
Pour moi, c'est une bonne chose que le sujet soit
sérieusement pris en compte, c'est une loi qui est dans l'air du temps.
Donc sur le fond c'est plutôt positif, mais sur la forme la loi est
très peu applicable. J'aborderai aussi rapidement les aspects
économiques, car depuis quelques mois, tout tourne autour du RGPD,
même les souris sont « compatibles RGPD »... On voit bien
l'opportunisme commercial...
On ressent aussi la volonté de l'Europe de lutter
contre la concurrence déloyale des géants du numérique.
Finalement, je trouve que le bruit fait autour se
révèle plus productif que la loi en elle-
même.
En dehors des geeks et des earlyadopters, je dirais que 80%
des jeunes utilisateurs, donc la génération qui n'a connu que le
numérique, ne sont pas plus éclairés sur le sujet que
leurs parents.
Ils ne savent ni comment ça fonctionne, ni comment se
dépanner eux-mêmes, ni si leurs données sont
exposées, par contre ils sont usagers et dépendants. Un peu comme
pour l'automobile que nous évoquions, les gens les utilisent mais ne
savent pas les entretenir. S'il n'y avait pas un carnet ou leur voiture qui
leur dit de faire la vidange, la plupart ne la ferait pas. Si on prend le
permis de conduire, il y a aujourd'hui beaucoup plus de rubriques sur la
mécanique.
En plus le numérique est un domaine beaucoup plus
large.
Je dirais aussi que, comme dans Xfiles, le problème
« est ailleurs ». Le fait que Google soit aujourd'hui le plus gros
investisseur au monde sur les neurosciences est préoccupant. Parce qu'en
encore une fois, les américains font, puis on verra après si
ça dérape... Et sur certains sujets, ils seront allés
déjà très loin.
Travailler sur la lecture et l'écriture dans le
cerveau, c'est un sujet intéressant je trouve, mais que ce soit Google,
ça m'interpelle et ce n'est pas une entreprise caritative.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
On est dans un monde qui va être de plus en plus
connecté, on parle de réalité augmentée. Nous avons
eu la culture « cyber punk > il y a quelques années, avec des
auteurs comme Azimov, Gibson ou des films comme Matrix, Blade Runner pour les
plus connus. Cette culture a quasiment disparu, parce que finalement on y
arrive et ce n'est plus de la science-fiction. Si on extrapole, petit à
petit on se connecte à la machine.
Comme l'interface clavier, souris, écran est peu
adaptée, donc le plus simple c'est de se connecter directement pour
interagir avec le système. Quand on commence à parler de
réalité augmentée, de prothèse intelligente,
d'équipements comme le pilotage de pacemakers, de régulation
d'insuline, on arrive au corps humain connecté. Donc on peut parler de
manipulation de la pensée ou d'autres choses, mais l'impact d'un
ransomware sur un pacemaker, cela devient un vrai problème.
Pour l'instant le risque est encore bénin, on a des
adolescents qu'il faudrait peut-être envoyer en désintoxe
d'internet ou de smartphone. Par contre en passant le cap des objets
connectés, on va avoir de plus en plus de fonctions qui vont être
des extensions de notre propre corps, tout ce qu'on n'aura pas cadré
avant va occasionner des effets de bord sérieux. Pour le moment c'est
des effets indirects, quelqu'un pirate les hôpitaux comme le NHS avec un
ransomware et il faut repousser toute les opérations non urgentes,
à la télévision on voit des gens en chaises roulantes
déambuler dans la rue devant les hôpitaux anglais... C'est le
bazar général, il y a de la tension, médiatiquement c'est
terrible, on a perdu 2 jours, mais personne n'est mort !
Le jour où quelqu'un annoncera : Tous ceux qui ont un
pacemaker de telle marque, si vous ne payez pas la rançon, je les
arrête. Là l'impact est nettement plus direct.
Avec la manipulation du cerveau, je te laisse imaginer le
genre de moudjahidine qu'on va pouvoir fabriquer, là c'est un drone
humain.
Donc c'est au-delà du RGPD.
Il y a des moyens de se protéger, en ayant un
comportement « soft > et diminuer l'impact. Personnellement, je n'ai
pas beaucoup de données, donc je n'y fait pas spécialement
attention, car l'usage de mes données n'a pas beaucoup d'impact sur mon
quotidien. Je n'ai quasiment pas d'exposition numérique et d'ailleurs
ça devient tellement rare que, ceux qui n'ont pas de compte Facebook ou
Viadeo vont finir par interpeller les gens.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
ANNEXE 3 - Entretien Guillaume Pourquié, Grenoble
Ecole de Management
GUIDE D'ENTRETIEN
- Présentez-vous - quel est
votre cursus et vos attributions ? ORGANISATION
INTERNE
- Depuis quand avez-vous initié votre
démarche de conformité RGPD ?
o Comment vous êtes-vous préparé ?
Avez -vous suivi une formation spécifique ? Une
certification DPO ?
o Avez-vous été accompagné : Juristes,
experts, services spécifique de l'administration ?
o Echange avec une communauté, d'autres DPO ?
o Pensez-vous être en conformité au 25/05/18 ?
o Où en êtes-vous dans votre processus ?
- Qu'avez-vous mis en oeuvre :
o J'ai pu voir que vous étiez le CIL auparavant, qu'est
ce qui change réellement dans vos attributions et vos missions ?
o Comment vous êtes-vous organisé ?
o Avez-vous mis en place des référents, des
responsables de traitement ?
o Avez-vous cartographié vos données ? Combien de
temps avez-vous mis ?
o Comment avez-vous priorisées les actions à mener
?
o Avez-vous réalisé une analyse de risque ? Quels
outils avez-vous utilisé ? Analyse d'impact de la CNIL : PIA (Privacy
Impact Assesment) ? Outils internes ?
o Vous prestataire ou éditeurs de logiciels ont-ils
communiqué sur le sujet ? Avez-vous eu des exigences
particulières (label, cyberassurance) ? Leurs engagements contractuels
ont-ils évolués ?
o Avez-vous souscrit une cyberassurance ? Mis en oeuvre une
démarche de certification ou conformité CNIL ?
o Qu'avez-vous modifié en terme de sécurité
?
o Qu'avez-vous documenté ? registre des activités
de traitement (obligation >250 sal)
o Quels ont été les impacts financiers ?
- Quels type de données personnelles
manipulez-vous ?
o Quel est leur niveau de sensibilité ?
o Comment les collectez-vous (privacy by design et by default)
et quel impact sur la manière dont vous les collectez (conditions,
mentions, site web...) ?
o Comment sont-elles utilisées ?
o Etes-vous amené à les partager avec des tiers
?
o Avez-vous crypté, anonymisé ou
pseudonymisé ces données ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
o Etes-vous en mesure d'informer les individus qui font l'objet
du traitement ? De prouver le consentement des individus ?
o Quels mécanisme vous permet de supprimer les
données ? A la demande des individu ? Pendant combien de temps
pouvez-vous les conserver ?
o Avez-vous évaluer le coût de ces suppressions,
mis en place des ressources supplémentaires ? Une participation «
raisonnable » à leur suppression est elles demandée ?
- Sur quels aspects vous sentez vous plus
particulièrement concerné ou impacté ? Qu'est-ce
qui vous semble le plus compliqué ?
VOTRE ANALYSE : Quel votre avis
personnel si vous souhaitez m'en faire part ?
o Pensez-vous que ce dispositif soit suffisants ? Quelles
peuvent être les limites ?
o Pensez-vous que cette réforme constitue une contrainte
ou une opportunité pour l'entreprise ?
o Pensez-vous que c'est l'opportunité pour l'Europe de
reprendre la main sur le numérique ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
TRANSCRIPTION INTERVIEW Guillaume Pourquié
Le 07/05/2018 à Grenoble
Délégué à la protection des
données (Data Protection Officer) à Grenoble Ecole de
Management.
Mathieu Darmet : J'ai été
amené à échanger sur la notion de labelisation CNIL, que
ce soit pour les entreprises auditées que pour les auditeurs. A part
Optimex Data, il semble qu'il y en ait peu sur la région.
Guillaume Pourquié : Non, il y en a
d'autres, notamment à Lyon. J'ai recroisé une ancienne
Correspondante Informatique et Liberté de la CCI qui s'est mise à
son compte dans ce domaine et il y aussi des Délégués
à la Protection des Données militants qui ont créés
des structures. Comme la société DPMS dans le sud de la France,
qui a été créée par un des fondateurs de
l'association des CIL.
Depuis il travaille avec le bureau Veritas pour mettre en place
une certification.
MD : Oui j'ai vu sur leur site qu'ils proposent une formation
pour les DPO, mais à priori ce sera une certification de Veritas et non
CNIL. D'ailleurs la CNIL indique que ce n'est plus dans ses prérogatives
et que l'attribution des certifications est désormais
déléguée à la COFRAC. Mais je n'ai pas
trouvé d'information sur le site de la COFRAC.
GP : Oui absolument, vu les nouveaux rôles de la CNIL,
ils ne pourront plus. Car ils seraient juge et partie.
C'est le même problème pour la formation des
DPO, qui doivent être formés tout au long de leur carrière
et la CNIL réfléchit comment s'en assurer. Il y a donc un
business pour les écoles de management et j'en parle d'ailleurs en
interne.
MD : Travaillant dans l'informatique, j'ai
décidé d'opter pour la thématique du RGPD, plus dans
l'optique de m'intéresser au fait que les utilisateurs ne sont pas assez
formés dans ce domaine et qu'il y a un manque de normalisation. Je
trouve qu'il est impératif de mettre en oeuvre des moyens adaptés
aux enjeux du numérique, une formation pour qu'ils acquièrent de
bonnes pratiques, en prenant conscience des risques et de ce qui est
collecté.
GP : Ce thème peut être abordé sous
différents angles, on n'a pas la même lecture du texte selon que
l'on est juriste, informaticien ou dans la relation client. Je le vois avec les
avocats, car quand ils interprètent le règlement, on est sur
quelque chose de très particulier. En lisant le texte, je me suis
aperçu qu'on pouvait interpréter tout et son contraire. Par
exemple, les gens du marketing ont compris qu'il fallait redemander le
consentement des gens. Hors la CNIL l'a dit dès le début,
à partir du moment où vous avez une base de données avec
des clients et que vous respectez la loi Informatique et Liberté, vous
n'avez pas besoin de leur redemander leur consentement. Ce n'est valable
qu'à partir du moment où la personne ne vous connait pas.
MD : Ce consentement a une durée de vie
?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
GP : Il en a toujours une. Vous pouvez quand
même la redemander, mais ce n'est plus une obligation, dans la mesure
où vous avez déjà un relationnel établi. C'est
d'ailleurs ce que j'ai répondu au directeur de l'école, qui
s'inquiétait de ce qu'il fallait mettre en oeuvre. Le jour où
vous décidez d'arrêter votre relation avec un interlocuteur, vous
lui écrivez en indiquant que conformément au RGPD vous ne
souhaitez plus faire du business avec lui. Il vous rayera automatiquement de
ses bases de données. On essaie de faire une action marketing autour de
ça, mais qui n'est pas adaptée selon moi.
MD : J'ai le cas dans mon entreprise, où nous avons
une base de clients contenant les informations dont nous avons
légitimement besoin. Mais qu'en est-il pour les prospects ?
GP : Les données relatives à un prospect ont
une durée de conservation de 5 ans et devront être purgées
au-delà. Pour les conserver, il faudra trouver un levier marketing et
trouver un argument qui ne se limite pas à simplement demander ce
consentement. Ce consentement doit venir parce qu'on veut lui proposer du
business. Demander le consentement pour le consentement me semble un peu
bizarre. Nous allons justement nous occuper de notre population de
diplômés et je vais expliquer au responsable des Alumnis qu'il
faut mettre en place pour peut-être désactiver ou réactiver
des profils. Il faut proposer de nouveaux services, amener les gens à
s'interroger sur la formulation, proposer aux individus de consulter les
informations dont on dispose pour les mettre à jour... C'est le cercle
vertueux de la relation client. Le règlement dit bien qu'on ne doit pas
avoir de fausses informations sur les personnes, ni inutiles. C'est une
excellente occasion de les rafraichir et demander si la personne souhaite
poursuivre sa relation avec nous ou pas.
MD : C'est la question qui se pose pour les services
marketing, qui peuvent aussi avoir peur de voir leur base de contacts se
réduire, alors que c'est finalement l'opportunité d'épurer
les cibles qui ne sont pas appétentes.
GP : C'est typiquement le côté sympathique du
RGPD, car on va arrêter de s'embarrasser l'esprit avec des gens avec
lesquels on n'a pas lieu d'être en contact. S'ils n'ont pas vocation
à faire quelque chose avec nous, ce n'est pas la peine de les garder. Il
faut donc travailler sur ces aspects et c'est ce que j'ai commencé
à faire avec les gens du marketing. Les gens ont tendance à
utiliser le RGPD pour tout et son contraire et c'est là qu'il faut
être très vigilant.
MD : C'est vrai que le règlement est
assez compliqué à interpréter.
GP : C'est pour ça qu'en nommant un
délégué suffisamment tôt, cela permet
déjà de savoir en interne par quel bout prendre cette
problématique.
MD : Mais je crois que l'obligation de nommer un DPO
dépend de la taille de la structure, de la nature des traitements et de
la criticité des données.
GP : C'est vrai, sauf que si la structure est un
sous-traitant, elle n'aura pas le choix. Si c'est une start up de 15 personnes
et qu'elle travaille par exemple avec GEM, elle sera obligée
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
de déclarer un traitement vis-à-vis des
données qui lui sont confiées. Même si elle n'a pas de DPO
elle sera de fait obligée de tenir un registre. Dans le cas où
GEM serait contrôlée, la société prestataire sera
aussi contrôlée.
C'est là qu'est la différence avec la Loi
Informatique et Liberté, le registre doit être tenu par le
responsable de traitement et non plus par le Correspondant Informatique et
Liberté. Cela devient donc un outil mutualisé et c'est
très bien. Car pour les gens dans ma situation, qui avait tendance
à faire les documents à la place des gens, on va maintenant
entrer dans un processus collaboratif. C'est un peu mon challenge, car en plus
d'expliquer aux services ce qu'est le RGPD, je présente les outils que
je vais mettre en place et en même temps je leur explique que c'est un
outil de partage. Ni le mien, ni le leur, mais le nôtre, que nous devons
documenter, sécuriser, mettre à jour...
MD : C'est quel type d'outil ?
GP : A ce stade comme je suis lié à des
problématiques de process et de construction, c'est un fichier Excel
partagé sur un SharePoint, par projet, avec des données
accessibles selon les autorisations accordées aux personnes. De ce fait
on construit service par service. Je pense que je me ferai assister, car je
n'ai pas une bonne idée des logiciels disponibles.
MD : Est-ce qu'il en existe ?
BP : Bien sûr, les éditeurs se
sont mis en veille sur le sujet. Il y en a au moins 4 ou 5 qui se
détachent, comme DPO Consulting, Ricil, celui de DPMS, Captain DPO...
Grosso modo, c'est des produits de gestion de projet qui sont adaptés,
avec de la documentation et une interface.
Mais j'attends de voir comment on va travailler avant de
choisir mon logiciel. Pour l'instant j'ai utilisé la trame de la CNIL
sur Excel et j'ai réadapté les outils en place, dans lesquels
j'ai copié la documentation pour pouvoir interroger les services et
travailler avec eux sur tous les aspects. On est plutôt pas mal sur ce
point, mais il reste à travailler ce qui concerne la relation client.
C'est-à-dire bien réinformer les gens de leurs droits, car on
doit mieux le faire, être lisibles sur qui traite les données et
pour quoi faire, car nous avons différents publics . Le RGPD nous permet
de redevenir professionnels, de ne plus collecter pour collecter, ni de trop
collecter, mais de collecter pour rendre un service. C'est l'occasion de
montrer qu'on est le plus transparent possible.
MD : En terme d'image c'est une bonne chose.
Lorsque j'ai rencontré Optimex Data, j'ai demandé au dirigeant
s'il avait l'intention ou le droit de décerner un label. Il
espère bien pouvoir le faire et justement qu'il puisse le revendiquer
dans leur communication.
GP : Je pense que dans l'histoire du RGPD, il arrivera un
temps où l'on identifiera les entreprises véritablement
labelisées, avec des traitements qui le justifient, qui se
détacheront des autres car elles les auront intégrés dans
leur démarche.
MD : Je travaille en ce moment sur la
génèse du RGPD et après de grandes avancées, il
aura fallu un certain temps avant que les choses bougent vraiment. Il aura
fallu des scandales
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
pour qu'il y ait une prise de conscience et qu'on apporte des
modifications fondamentales au règlement.
GP : Il aura fallu 40 ans. Lors de la présentation de
la CNIL, ils ont évoqué le documentaire « Démocratie
» sur la génèse du RGPD. Et la CNIL soulignait que le texte
européen est une sorte de record, car il aura fallu 4 ans pour mettre
tout le monde d'accord. Compte tenu de l'ampleur du sujet, de ses aspects
politiques et économiques, c'est l'un des plus gros dossier que l'Union
Européenne ait été amenée à traiter.
D'autant que l'Europe n'a aucun GAFA et qu'elle doit mettre en place un
règlement permettant de réguler un peu ce qu'ils font.
Peut-être qu'à terme cela permettra à un GAFA
européen de voir le jour...
MD : J'ai l'impression qu'il y a une forme de
revanche à prendre pour l'Europe.
GP : Nous n'avons jamais eu la notion du business que cela
représenterait. On n'a pas voulu soutenir les entreprises qui à
un moment pouvaient le faire, les américains nous rachètent
très facilement. Dailymotion était une chaine française
à la base. Je suis sûr qu'en Europe nous avons des entreprises qui
ont plein de choses à proposer. Pour qu'un acteur européen puisse
ressortir, il fallait déjà une réglementation qui le
permette.
MD : De plus l'actualité nous est des
plus favorables ! Il y a aussi des différences culturelles avec les
Etats Unis, notamment sur la notion de propriété des
données.
GP : Aux Etats Unis tout est une question de business, puis
ils assument ce qu'ils sont en tant qu'individu. Nous n'avons pas la même
histoire, chez nous le fait de ficher des gens ramène à
l'Occupation et jusqu'où peut amener le fichage de personnes.
Quand on a voulu interconnecter les systèmes dans les
années 70, les gens se sont insurgés et cela a pris des
proportions politiques. Avec le RGPD, on parle du droit fondamental des gens de
disposer de leurs données, basé sur le juridique, l'informatique,
la pratique. Il s'agit de structurer et organiser un droit fondamental, tout en
permettant la libre circulation des informations.
MD : C'est justement cette dimension
sociétale qui m'intéresse.
RG : Quand je parle aux gens de la mise en place du RGPD, ils
réagissent en disant que c'est une contrainte. Certes il faudra mener
une conduite du changement, mais il s'agit d'un droit fondamental, car on parle
de société et de gens. Il faut sortir de l'informatique
liberté, il faut le prendre en compte dans les métiers et les
processus. Il ne faut plus s'en préoccuper après coup, car il
préférable de savoir comment purger une base de données
avant qu'elle représente 6 millions de personnes.
C'est un retour au bon sens et à une maitrise que l'on
avait perdue. Dans mon métier je ne suis pas là pour interdire
quoi que ce soit, mais pour poser des questions, comprendre ce qu'on veut faire
et imposer des limites. On va pouvoir rationnaliser les choses. Je vois des
gens qui conservent des données juste au cas où. Il faut devenir
capable d'accepter de ne plus avoir une information, parce qu'on l'a
supprimée et qu'on n'en a pas besoin. Je me suis forcé à
le
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
faire, c'est dur, mais ça fait un bien fou ! On est
beaucoup moins chargé. Aujourd'hui les capacité de stockage sont
telles qu'on ne se pose plus la question. Alors que c'était beaucoup
plus compliqué avant, on allait jusqu'à optimiser le nombre de
caractères. Passer sur 4 chiffres à l'an 2000, n'était pas
anodin. Désormais on ne se préoccupe plus du tout de la
capacité de stockage.
MD : Mais ce n'est pas sans
conséquence, notamment sur notre consommation d'énergie.
GP : Il y a au moins deux risques : La
consommation des serveurs et le coût de stockage. On ne sait pas trop
combien, mais ça coûte en énergie et il y a un impact non
négligeable sur l'environnement.
Il y a aussi le piratage, car les hackers sont capables
d'aspirer n'importe quelles données mal protégées et de
les revendre très facilement.
MD : Il y a effectivement un marché et
des courtiers en profils personnels.
GP : Il y a de vraies filières.
Aujourd'hui un numéro de téléphone se revend quasiment
plus cher que celui d'une carte de crédit. C'est étonnant, mais
plus utile en terme d'usurpation d'identité. Les données
personnelles deviennent donc plus chères que les données
bancaires ! Ce n'est par hasard que lors de la vente d'une
société, le fichier clients fasse partie des actifs.
MD : J'ai noté que vous étiez
déjà le CIL de GEM.
GP : Je suis devenu CIL il y a deux ans. Avant j'étais
Relai Informatique et Libertés, car nous étions un
établissement secondaire de la CCI, qui en avait un. J'étais son
relais pour GEM et j'ai apporté un premier niveau de réponse,
pour déclarer les traitements ou alerter. Etant moteur sur le sujet, je
me suis proposé de devenir le DPO, d'autant que pour une école
jeune c'est opportun de suivre les formations proposées. J'ai
travaillé avec l'équipe juridique qui a aussi géré
les aspects stratégiques et concurrentiels, puis cela a
débouché sur ma nomination en avril dernier.
MD : Je crois que vous êtes assez peu
nombreux.
GP : C'est assez récent, bien que dans certaines
grosses structures il y en avait déjà, notamment dans les groupes
internationaux qui ont voulu prendre le pas au niveau de la directive
européenne. Compte tenu des sanctions et des enjeux internationaux ils
avaient besoin de profils véritablement compétents.
MD : Ce qui est difficile, c'est effectivement
d'en déceler tous les enjeux.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
GP : Je vous conseille d'aller voir le site
de l'AFCDP, l'Association Française des Correspondants à la
Protection des Données, qui pourra vous donner des
éléments supplémentaires.
MD : Je ne peux malheureusement pas être exhaustif dans
mes recherches, mais je regarderai ce qu'ils publient. Pouvez-vous m'en dire
plus sur votre parcours ?
GP : Je suis un atypique, car j'ai une formation de
documentaliste. Donc je suis très sensible à tout ce qui est
documentation, partage et savoir-faire. Je me suis très rapidement
orienté vers les bases de données, c'était l'époque
dans les années 90. J'étais dans l'informatique documentaire et
tout est parti de ma spécialisation dans les bases de données,
dont je suis un très bon manipulateur et utilisateur.
J'ai ensuite travaillé dans l'humanitaire, comme
responsable de la base de données des donateurs, avec une bonne
sensibilité de la relation client et du stockage de données. En
terme d'informatique et libertés, nous étions déjà
respectueux du droit au donateur, mais il n'y avait pas de CIL à
l'époque, nous nous contentions de faire une déclaration simple
à la CNIL, mais pour le reste nous nous autorégulions. Nous
savions déjà stopper toutes les sollicitations quand un donateur
nous le demandait, épurer et archiver les bases données le
concernant.
MD : D'ailleurs, il y avait
déjà à l'époque des notions de déclaration
simplifiée, en fonction de la sensibilité des données
traitées. Je pense donc à vos donateurs pour lesquels vous
manipuliez des coordonnées bancaires qui me semblent être des
informations critiques, si ce n'est sensibles.
GP : Les informations bancaires ne sont pas à
proprement parler considérées comme des données sensibles,
même si elles nécessitent une protection particulière, car
on ne laisse pas un numéro de carte bancaire accessible à tous.
En terme de litige, si un donateur vous attaque parce que vous avez
laissé son numéro de carte bleue, je vous garantis que ça
peut faire très mal et les associations étaient très
vigilantes. Mais s'agissant de process financiers, ils étaient
contrôlés tous les ans par la Cour des Comptes et ils
étaient donc particulièrement suivis, du moins là
où j'étais.
Mais comme cela peut porter atteinte à
l'intégrité, je les considère comme sensibles en terme
d'impact et nous devons être en maitrise de ces données. C'est
l'un des avantages de mon rôle, je peux mettre le curseur où bon
me semble, car je suis responsable. En tant que délégué,
je peux opposer une forme de véto à un traitement, car j'estime
qu'il présente beaucoup trop de risques. Le responsable du traitement
pourra quand même le lancer, mais il devra le justifier et agir en
connaissance de cause. De fait en cas de contrôle, il y aura les deux
points de vue. Sachant que quand je donne un avis, j'ai en
général impliqué le juridique et l'informatique. Mais dans
le cadre de GEM, nous sommes rarement sur des traitements pouvant porter
préjudice.
Pour en revenir à mon parcours, ensuite je suis
arrivé chez GEM pour m'occuper du projet CRM, puis maintenant je
m'intéresse aux données personnelles parce que cela répond
à mes aspirations et que j'ai la maturité nécessaire. Par
rapport à quelqu'un de plus jeune j'ai la légitimité de
pouvoir interpeller les services, à moins qu'il ait travaillé
à la CNIL avant. On retrouve souvent des juniors qui ont commencé
à instruire des dossiers à la CNIL et qu'on retrouve ensuite
comme référent dans différentes structures. Dans une
entreprise normale, il
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
me parait difficile d'arriver et de se proclamer DPO, car il
faut aussi comprendre l'entreprise et son organisation, ce qui nécessite
un certain bagage.
Mais quand je discute avec d'autres CIL, je vois quand
même le chemin qu'il reste à parcourir, compte tenu de la jeunesse
de l'école, mais c'est aussi ce qui est stimulant. C'est aussi
l'avantage de travailler avec un réseau de CIL dans un même
métier, pour ne pas rester seul et échanger sur nos
interrogations.
MD : D'autant que la CNIL doit être
très sollicitée en ce moment !
Pour revenir sur mes questions, est-ce que vous pensez
être opérationnel ou en conformité au 25/05/2018 ?
GP : Opérationnel oui, mais c'est juste un point de
départ, il est impossible d'être en conformité au 25/05.
Avez mes homologues, il s'agit plutôt de se demander si nous avons
enclanché tous les bons processus. Etre en conformité ne veut
malheureusement pas dire grand-chose, car le RGDP est un processus
d'amélioration continu. Ceux qui n'auront pas fait de cartographie,
envisagé comment ils vont mettre en place la politique de traitement des
données à caractère personnel, identifier les
interlocuteurs et les personnes impactées en interne, auront plus de mal
que les autres qui sont déjà bien avancés sur le sujet.
J'ai déjà ma cartographie, j'ai commencé à
solliciter les services, je vais trouver des relais, je suis accompagné
par la DSI et le juridique, ainsi que par la qualité. Je pense donc que
j'aurai tous les ingrédients pour être prêt le 25 mai.
MD : Donc si la CNIL passait vous voir, vous
auriez tous les éléments pour justifier de votre bonne
volonté. Et c'est essentiellement ce qu'elle compte mesurer dans un
premier temps.
GP : Elle pourra effectivement voir que nous avons mis des
choses en place, avec un niveau de risque déjà associé
à l'ensemble des traitements.
MD : Vous avez donc fait une analyse
d'impacts, comme le conseille la CNIL. Vous avez utilisé le PAI qu'ils
proposent sur leur site ?
GP : On travaille sur ce sujet avec les informaticiens, pour
identifier tout ce qu'on a à faire sur chacun des projets. On part du
principe que tout ce qu'on lance doit être d'ors et déjà
conforme au RGPD. J'applique déjà la notion de
responsabilité conjointe et j'interpelle les sous-traitants lorsqu'ils
passent dans mon périmètre, pour qu'ils me documentent en
fonction de mes grilles de lecture. Nous avons donc bien enclanché la
notion de Privacy by Design. Nous ne sommes pas parfaits parce qu'on
débute et qu'on apprend à travailler avec le nouveau
règlement. Il y a une conduite du changement, mais nous sommes
déjà très vigilants. La jeunesse de l'école et son
organisation permettent d'être très réactifs. J'ai
l'avantage de ne pas être dans un cadre trop rigide. De plus
l'école est entrain de se transformer, donc j'ai aussi matière
à interpeller des gens qui se montrent réceptifs. J'ai par
exemple rencontré à GEMIC la directrice du service Innovation et
Expérimentation de l'école. Ils n'avaient aucun traitement
déclaré dans mon registre, car c'est une nouvelle direction. Je
lui ai dit qu'il faudrait faire rapidement un état des lieux de tout ce
qui présenter un caractère personnel, pour que j'ai au moins une
liste
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
d'actions ou de dossiers en cours le 25. Elle m'a
immédiatement trouvé un relai dans son équipe, alors que
je n'en ai pas encore dans les autres services. Nous allons donc nous voir la
semaine prochaine et commencer à lister tous les sujet rapidement et
nous verrons où cela nous mène. Après nous documenterons
les sujets en fonction de leur importance, avec dans certains cas une
étude d'impact, pour laquelle j'utilise les outils de la CNIL. J'ai
suivi un atelier en janvier sur la manière de les utiliser, c'est
très bien fait et je reconnais le côté pédagogique
de la CNIL française. Ils le sont même dans leur démarche,
car eux-mêmes ne seront pas prêts pour le 25 et ils ne s'en cachent
pas. Ils ferons surtout la différence entre les entreprises qui ont
enclanché le processus et qui s'en donnent les moyens et celles qui
n'ont rien fait.C'est là-dessus qu'il faut être vigilant et il
faut déjà maîtriser ce qui existe depuis 40 ans. Ce qui
n'est pas forcément le cas. Il est donc très compliqué de
répondre à la question d'être ou pas en conformité.
Le 26 mai, nous serons déjà en mesure de répondre à
un certain nombre de choses.
MD : Mais il n'y a de toute façon pas
de raison que vous soyez plus contrôlé qu'auparavant.
GP : Même si quelqu'un me demande maintenant un droit
d'accès à ses données, je sais déjà lui
répondre et j'ai une procédure qui est conforme. Ce droit
d'accès existait depuis 40 ans et nous avions mis en place des
procédures avec la CIL. Ce qui va être nouveau, c'est la
portabilité, la suppression des données, qui sont des chantiers
un peu plus compliqués. Nous avons des bases de données
existantes et supprimer des données n'est pas un processus anodin. Je
travaille à identifier ce qui est de l'ordre de l'archivage ou de la
donnée de conservation.
MD : Et pour le cryptage ?
GP : C'est ce sur quoi je travaille avec le RSSI, mais c'est
un sujet qui relève plutôt de de son périmètre. Je
sais qu'il faut que ce soit sécurisé, mais à mon niveau
cela doit seulement être documenté. Nous avons déjà
sécurisé notre site en https pour être conformes, mais je
m'assure juste que nous répondions bien aux obligations du RGPD. Du
moment que j'ai du répondant de leur part, c'est l'essentiel.
MD : C'est justement ce qui fait peur aux
PME, car ils l'ont pas forcément quelqu'un pour s'en occuper, ce n'est
pas leur métier.
GP : Il y aura effectivement des structures
qui auront beaucoup plus de mal à intégrer le règlement.
La spécificité des grandes écoles, c'est que nous sommes
dans un foisonnement de sujets, la recherche, la gestion d'étudiants, la
relation entreprise, avec partout des données à caractère
personnel. En plus nous avons une forme d'engagement sociétal, mais
l'avantage c'est que nous sommes plutôt bienveillants et que l'on essaie
de faire au mieux. Je ne suis pas freiné par des mauvaises
volontés, personne ne me cache des choses. Les gens essaient de
comprendre, s'impliquent et on essaie plutôt de s'enrichir
mutuellement.
MD : Vous avez donc pris les devants avec
vos prestataires et sous-traitants, mais l'ont-ils fait également ?
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
GP : Absolument, ça va dans les deux
sens. D'ailleurs dans nos dossiers de formation continue, je me positionne
comme un sous-traitant, car l'école n'est pas qu'un responsable de
traitement. Lorsqu'on signe un contrat avec une entreprise pour former une
partie de son personnel, on agit en tant que sous-traitant et j'applique le
RGPD. On a fait une documentation et on prévoit des clauses
spécifiques.
MD : Avez-vous souscrit une cyber assurance
? Il semble que cela se développe fortement.
GP : C'est plutôt le côté
informatique et juridique. Mais il est logique qu'un nouveau règlement
génère de nouveaux contrats pour couvrir les risques et nous
seront amenés à étudier la question.
MD : J'espère avoir un échange
avec une entreprise du e-commerce, secteur qui me parait l'un des plus
directement impacté et qui auront peut-être déjà
pris des dispositions sur ce point.
Nous avons abordé le cryptage, mais il y a aussi la
pseudonymisation et l'anonymisation.
GP : Comme dans beaucoup de traitement, il y a des choses qui
relèvent de la statistique. Les gens s'inquiètent de ne plus
pouvoir faire de statistiques, mais je leur réponds que ce sera toujours
possible, mais qu'il faudra anonymiser. Je ne dois donc plus être en
capacité d'identifier un individu.
MD : Vous avez mis en place des
mécanismes pour le faire ?
GP : C'est au chef de projet informatique de les trouver.
C'est l'avantage de mon rôle, qui consiste à dire ce qu'il faut
faire, mais pas comment le faire. J'interviendrai ensuite pour auditer et
vérifier qu'on ne peut pas remonter aux personnes. Je ne l'ai pas encore
fait et cela illustre bien le fait que la conformité au 25 mai est
compliquée. Cela sous voudrait dire que dès le 26 mai je serais
en capacité de faire un audit sur un traitement et nous n'en sommes pas
à ce stade. Pour le 25 mai, je vais surtout trouver des indicateurs qui
nous permettront de dire que GEM est vraiment impliqué pour
maîtriser ce sujet et se doter des moyens qui permettront de le piloter,
en plus de tout ce que nous avons à faire au quotidien. Le RGPD doit
être une préoccupation quasi permanente pour tout le monde, mais
ce n'est pas le fond du métier, qui consiste à dispenser des
cours et de former des étudiants. Il faut donc un certain talent pour
conjuguer les deux.
MD : Avez-vous une idée de l'impact de cette
réorganisation sur l'école, que ce soit que le temps ou les
budgets qui y sont consacrés ?
GP : Je n'ai pas encore fait d'enveloppe budgétaire,
mais j'ai une lettre de mission indiquant que mon employeur est tenu de mettre
à ma disposition les moyens dont j'aurai vraiment besoin. Comme je dois
par exemple me faire accompagner sur certains aspects, notamment pour trouver
le bon outil de pilotage, j'en ai discuté avec le secrétaire
général qui a
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
été d'accord pour mettre à ma
disposition les moyens nécessaires. Je lance des consultations,
étudie les offres et je budgétise.
Je pense que je vais aussi maintenir l'équivalent du
bilan du CIL, qui a disparu du RGPD, mais que tous les praticiens du
métier souhaitent maintenir pour donner de la visibilité et de la
légitimité à leur travail. Il sera plus facile de vous
répondre dans un an, mais en terme de temps passé, j'ai
constaté que lorsque je suis en amont des projets, cela ne me prend que
deux heures, avec les différents métiers, pour évaluer les
impacts, faire des recherches et documenter. Quand c'est à
postériori, cela représente facilement une journée de
travail, car il y a l'impact sur l'existant à prendre en compte.
D'où l'intérêt de faire de la Privacy bu design, car on
s'interroge dès le début. Si par exemple une base ne
prévoit pas de mécanisme de suppression, le travail est beaucoup
plus lourd et nécessite des process, avec des tests...
MD : Qu'est-ce qui vous semble le plus
compliqué dans la mise en place du RGPD ?
GP : Je pense plutôt à ce qui est le plus
challengeant et qui n'est pas forcément le plus compliqué. Le
plus intéressant est de mettre les gens en marche, de les sensibiliser.
On ne peut pas leur demander de lire le règlement et de
l'appréhender. C'est à moi qu'il revient de faire avancer les
dossiers, tout en leur délivrant un minimum de bagage pour qu'ils
puissent faire leur métier en conscience et en connaissance de cause.
Ils n'ont pas besoin de connaitre tout le RGPD, mais de savoir ce qu'ils ont le
droit de faire et comment trouver un moyen de régler le problème
quand le règlement les contraint. C'est une approche assez subtile, car
il ne faut pas qu'ils perçoivent cela uniquement comme une contrainte et
qu'ils ne soient pas entravés pour faire leur métier.
Cela peut paraitre compliqué, mais quand les choses
auront avancé, ce sera très gratifiant.
Il y a aussi des jours où je suis interpelé sur
un sujet urgent auquel je dois répondre en une heure de temps, ce qui
demande beaucoup d'agilité. Il faut s'organiser pour répondre
à quelqu'un et en même temps en profiter pour le sensibiliser.
MD : Pensez-vous que le règlement aille
suffisamment loin ?
GP : Pour l'instant ce texte me semble plein de bon sens, il
est très opportun et nous ramène vers de bonnes pratiques. C'est
autant du réglementaire que de l'amélioration continue, de la
créativité et de l'innovation. Ce qui sera délicat s'est
de s'assurer que ce qui est entrepris dans l'ensemble de la communauté
européenne soit en adéquation.
MD : C'est ce que j'ai justement beaucoup de
difficulté à mesurer. J'ai du mal à savoir comment chaque
pays avance sur le sujet.
GP : C'est très compliqué. Mais ce qui est
intéressant, c'est que dès qu'on interpelle la CNIL sur un sujet,
ils le renvoient systématiquement vers le G29 qui est capable de donner
des directives précises, car ils se sont déjà
interrogés sur la plupart des sujets. J'ai le cas d'un prestataire qui
me répond que la CNIL allemande lui a donné telle réponse,
mais je lui réponds qu'à partir du 25 mai, ce n'est plus la CNIL
allemande mais le G29 qui arbitre. Il y a aussi l'histoire
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
du cloud américain qui essaie de faire un enfumage du
RGPD et j'espère que la CNIL va réagir. Ils évoquent un
règlement cloud, mais ça n'a rien à voir avec le RGPD.
Ce qui m'embarrasse, c'est que je n'entends plus parler de la
loi qui devait passer par ordonnance au mois d'avril et que nous sommes
début mai. Je ne sais donc pas où en est notre nouvelle loi
Informatique et Libertés. Tant qu'elle n'est pas promulguée, le
règlement européen va s'appliquer, mais pour les dispositifs
spécifiques des états membres il y a des zones d'ombre. Nous
allons donc jouer les équilibristes.
MD : Pour terminer, ne pensez-vous pas qu'il
faudrait aussi former et responsabiliser d'avantage les utilisateurs
eux-mêmes ?
GP : Il est clair que dans les années qui viennent,
toute personne diplômée ne pourra pas ignorer la portée du
numérique. Il faudra envisager des modules plus spécifiques,
d'autant qu'à GEM nous avons l'avantage d'avoir une enseignante,
Nathalie Devillier, qui est spécialisée sur les données
personnelles. Elle anime des modules sur le big data et a des
compétences juridiques en la matière. Du coup on en discute
beaucoup, car elle m'inspire énormément et on se challenge aussi
l'un l'autre. Elle me permet d'intervenir dans ses cours pour illustrer en
présentant mes outils.
MD : J'ai quand même l'impression
qu'avec la croissance exponentielle du numérique, notamment avec les
objets connectés, nous sommes encore loin du compte.
GP : Beaucoup de données sont effectivement
collectés et c'est là que la notion de responsable de traitement
prend tout son sens. Tout est dans le titre, il sait ce qui se passe et ce
qu'on en fait des données collectées. Dans le cas de Facebook,
ils ne se sont pas inquiétés de ce qui était fait des
informations recueillies par le biais de leur plateforme. Mais
désormais, ils sont directement impliqués dans le processus et ne
peuvent plus le contester.
Mathieu DARMET - Mémoire de fin d'étude - Business
Manager 2018
| 
