Rencontre avec Rubin Sfadj, cofondateur de Proposition 47 et avocat, et Elodie Granger, Présidente d’Anyon, qui publient un *ouvrage, « Réussir votre mise en conformité GDPR », résultat d’une méthodologie éprouvée sous la forme d’un guide pluridisciplinaire (droit, gouvernance, cybersécurité et communication) qui a pour ambition de préciser les enjeux du GDPR et de permettre aux entreprises de mener à bien leur projet de mise en conformité.
Quel est le point de départ de l’ouvrage ?
RS : Nous avons écrit cet ouvrage en nous mettant à la place du dirigeant d’entreprise (DSI, directeur juridique, DAF ou DG) qui a des arbitrages à faire, des décisions à prendre et un projet à diriger. Construire une base de connaissances concrètes à destination des entreprises fait partie de l’ADN de Proposition 47. Nous nous efforcerons donc de publier régulièrement, et si possible chaque année, un guide pratique sur un sujet stratégique et de gouvernance. Pour 2017-2018, le GDPR constituait le thème le plus évident.
EG : Nous avons raisonné comme un dirigeant qui veut se saisir du sujet. Nous avons regardé l’état de l’art. Et pour être très honnête, à part des commentaires du règlement ou de simples résumés, nous n’avons rien trouvé qui permette réellement à un décideur d’appréhender les enjeux et les différentes phases stratégiques d’un projet GDPR. Nous avons donc conçu une méthodologie originale, et nous avons décidé de la détailler et de l’expliciter. Ainsi, notre guide pratique propose une vue d’ensemble du GDPR, avec non seulement les aspects juridiques, mais aussi ce que cela implique en termes d’implémentation technique et de maintien dans le temps : de quelles compétences ai-je besoin ? comment mon projet va-t-il se structurer ? qui va pouvoir le piloter ?
Pourquoi l’avez-vous écrit ensemble ?
RS : Ce guide pratique est le témoin d’une collaboration plus large entre Anyon et Proposition 47. Sur le GDPR, Proposition 47 n’avait pas les compétences IT, tandis qu’Anyon recherchait un partenaire sur les aspects de gouvernance, d’image et la vision juridique. C’est pourquoi nous avons décidé de travailler ensemble sur ce sujet pluridisciplinaire par excellence. Nous avons donc conçu une méthodologie qui intègre à la fois les éléments de gestion de projet indispensables à toute mise en conformité, et l’horizontalité du projet (droit et conformité, IT, communication) qui fait la spécificité du GDPR. Cette méthodologie originale, que Proposition 47 et Anyon ont élaborée « à quatre mains », est donc consignée, fixée dans cet ouvrage. Nous la mettons à la disposition des dirigeants.
Comment les entreprises abordent-elles cette problématique à 6 mois de l’échéance ?
EG : Il y a parfois un peu d’inquiétude. La première approche du sujet GDPR n’a souvent été faite que sous un angle juridique, avec l’idée qu’il s’agirait uniquement d’un travail documentaire, d’obligations à remplir : mettre à jour quelques mentions légales, nommer un DPO, établir un registre des traitements… Le temps aidant, le sujet a été mieux compris par les entreprises, parce qu’il y a eu davantage de sensibilisation sur le GDPR. Quand les dirigeants ont perçu l’importance du sujet et la transformation profonde qu’il implique en termes de gouvernance IT, des interrogations sont nées pour savoir si ce qui avait été engagé était suffisant. Nous rencontrons aujourd’hui soit des dirigeants qui n’ont pas encore lancé leur projet et qui s’interrogent légitimement sur la meilleure manière de rattraper le temps perdu, soit des dirigeants qui ont d’abord traité le sujet de façon un peu partielle, avec par exemple un avocat ou un partenaire IT, et qui souhaitent à présent reprendre en main le projet pour lui donner l’amplitude nécessaire.
RS : Nous entrons dans une période où l’on commence à parler de gouvernance des données non pas de façon anecdotique, mais en tant que véritable enjeu du GDPR. Les grands dirigeants sont désormais pleinement réceptifs sur ce sujet. Au-delà même du GDPR, il y a des démarches qui sont engagées par les entreprises pour mettre en place des outils de gouvernance et assainir la gestion des données. Les entreprises, tous secteurs d’activité et toutes tailles confondus, comprennent que la mise en conformité GDPR n’est pas une fin en soi, mais plutôt une opportunité à saisir.
EG : J’ajoute que l’actualité aidant, les dirigeants commencent à comprendre qu’une fuite de données personnelles peut leur coûter leur tête ! C’est notamment ce qui s’est passé chez Uber, Equifax ou encore Target : dans chacun de ces cas, l’incident a conduit à la démission du PDG. Désormais, l’entreprise n’est plus considérée comme une victime mais comme principale responsable de la catastrophe.
Est-ce que la peur de la sanction sensibilise davantage les dirigeants ?
EG : Je ne crois pas. Le GDPR bouscule les entreprises, notamment parce qu’il impose une très forte communication sur le sujet des données personnelles, quel que soit le secteur d’activité de l’entreprise. On n’est plus seulement dans la gestion de risques, on est aussi dans l’amélioration de la qualité de service. Par exemple, le responsable data d’une grande entreprise américaine, qui pensait appliquer le GDPR au marché européen, s’est rendu compte que ses utilisateurs allaient lui reprocher de ne pas apporter la même qualité de service au marché américain ! Par conséquent, il a décidé d’appliquer le GDPR sur l’ensemble de sa base d’utilisateurs, c’est-à-dire bien au-delà des résidents européens.
RS : La grande force du GDPR, c’est en effet cette application en dehors des frontières de l’Union européenne. La juridiction du GDPR, ce n’est pas la frontière de l’UE mais les données des résidents européens. Et à partir du moment où les entreprises étrangères qui ont vocation à traiter des données de résidents européens doivent offrir une sécurité supérieure et des droits plus étendus à ces derniers, il devient à la fois plus juste et moins complexe pour elles d’étendre leur projet de mise en conformité à toutes les données personnelles, européennes ou pas ! C’est véritablement un coup de génie juridique de la part du législateur européen.
Pouvez-vous évoquer des bonnes pratiques à adopter pour les entreprises dans le cadre de la mise en œuvre d’un projet GDPR ?
EG : D’abord, monter une équipe pluridisciplinaire, c'est-à-dire prendre conscience que le GDPR est un sujet qui doit dépasser l’organisation en silos pour réunir des expertises diverses, telles que l’ingénierie juridique, l’informatique, la cybersécurité, la communication. C’est cette première pierre qui est très structurante pour la conduite du projet.
RS : Le deuxième point est d’adopter tout de suite une approche projet, avec une gestion de projet et des objectifs à court, moyen et long terme. Il y a d’abord des audits à mener, avec notamment une indispensable cartographie des données (où sont les données dans l’entreprise ? qui les collecte, qui les traite, qui y a accès ?) et un audit des prestataires (en matière de sécurité notamment), qui détermineront le périmètre du projet. Une fois seulement ces audits réalisés, il est possible de d’implémenter le GDPR de façon complète et sans zone de risque. Enfin, il faut comprendre qu’un projet GDPR se joue dans la durée, c’est-à-dire que la date du 25 mai 2018 ne marque pas la fin du processus, mais véritablement l’entrée dans une nouvelle ère de responsabilité.
Propos recueillis par Arnaud Dumourier (@adumourier)
Suivre @adumourier
* Le guide pratique « Réussir votre mise en conformité GDPR » peut être commandé sur Amazon en versions brochée (184 pages) et eBook (Kindle).