Le RGPD : contrainte ou opportunité pour les entreprises en Occitanie ? C'était le thème de la conférence-débat organisée lundi 29 janvier aux Abattoirs à Toulouse pour le lancement du Book Eco 2018. Avec ce nouveau règlement européen sur la protection des données, qui entrera en vigueur le 25 mai 2018, les entreprises n'ont plus le choix. Elles devront désormais considérer la protection des données comme un droit fondamental des personnes sous peine d'une amende de 4% de leur chiffre d'affaires.

C'est par une démonstration qu'a commencé le débat sur le RGPD. Pour toucher du doigt l'importance et la sensibilité des données que nous laissons en ligne sciemment ou pas, Alexandre Veses a présenté en direct son application Skeep. Le CEO et fondateur de la startup du même nom a expliqué avoir créé cette application parce que le RGPD a été mis en place.

"Skeep permet d'identifier les entreprises qui accèdent à nos mails et qui nous envoient des newsletters ou des spams. Skeep, c'est un tracking inversé, c'est vous qui traquez les entreprises qui vous traquent".

Alexandre Veses, fondateur de Skeep a présenté en direct son application (Crédit : Rémi Benoit).

Pour Skeep et son fondateur, l'objectif est de reprendre la main sur nos données personnelles, de les identifier, de savoir qui y accède et pourquoi. Skeep fournit les algorithmes de surveillance des données et permet finalement d'identifier et de stocker l'ensemble des pièces à conviction qui serviront à d'éventuelles poursuites judiciaires.

"Des entreprises, dont certains grands groupes très connus, font croire qu'elles sont à jour mais en fait aucune solution n'est mise en place en interne. Elles sont dans l'incapacité de répondre à une demande massive de clients d'accéder à leurs données personnelles. Elles ne mesurent pas l'impact qu'un bad buzz peut avoir sur leur réputation et donc leur chiffre d'affaires, malgré les exemples récents des vols de données chez Uber ou Equifax".

Sandrine Mathon, responsable du domaine ressources à la direction du numérique de la Mairie de Toulouse (Crédit : Rémi Benoit).

Sandrine Mathon, responsable du domaine ressources à la direction du numérique de la Mairie de Toulouse et de Toulouse Métropole, s'est elle étonnée, que certaines entreprises découvrent les obligations liées au RGPD, alors qu'elles existent depuis longtemps : "le fait que les amendes soient largement augmentées font que les entreprises se préoccupent enfin du sujet. Au-delà des amendes, afficher une rigueur dans la conservation des données personnelles devient un critère de confiance pour les clients et en cela, l'Europe est en avance par rapport au reste du monde".

Pour Sandrine Mathon, qui est aussi une ancienne de la Cnil (Commission Nationale de l'informatique et des libertés, ndlr), le vrai changement, c'est le "privacy by design" :

"Les organisations qui utilisent un système de traitement des données personnelles doivent mettre en place un 'bouton' qui permet de supprimer ces données quand elles n'en ont plus l'utilité".

Pour France Charruyer, avocate spécialiste des nouvelles technologies (cabinet Altij), le RGPD est une rupture :

"C'est un nouveau paradigme qui sur un plan juridique a des impacts importants, notamment sur les recours juridictionnels que pourront faire les clients des entreprises qui ne se seraient pas mises en conformité".

France Charruyer est avocate spécialiste des nouvelles technologies (Crédit : Rémi Benoit).

Elle a rappelé ce changement important qu'apporte le RGPD à savoir la notion d'opt-in et d'opt-out : "Les entreprises doivent dorénavant vous demander votre accord avant de collecter vos données : si vous n'avez pas dit oui, elle ne peuvent pas le faire".

L'avocate en a convenu, ce règlement qui devra être mise en place dans toutes les entreprises qui collectent des données personnelles peut effrayer : "J'ai envie de dire aux entreprises, n'ayez pas peur, vous serez accompagnées".

"On ne va pas supprimer la donnée mais l'anonymiser"

Pour France Charruyer, le RGPD c'est deux tiers de technique et un tiers de juridique : "il y a plusieurs étapes à respecter, étapes pour lesquelles, nous avocats, avons un rôle d'accompagnant à jouer, en synergie avec les spécialistes métiers, les informaticiens". Et France Charruyer de répéter : "le RGPD c'est un coût mais c'est aussi une formidable opportunité pour les entreprises qui vont pouvoir reprendre la main sur leur data. Les consommateurs sont de plus en plus sensibles à la cyber-sécurité et sont attentifs aux pratiques des entreprises dans le domaine. Le changement de pratique des PME et leur conformité avec le RGPD favoriseront leur réputation. Savoir valoriser sa data, sera un vrai plus".

Laurent Gerin délégué régional du Syntec numérique (Crédit : Rémi Benoit).

Un avis tout à fait partagé par Laurent Gerin, délégué régional du Syntec numérique (le syndicat professionnel des entreprises de services du numérique, des éditeurs de logiciels et des sociétés de conseil, ndlr) pour qui le RGPD n'est pas qu'une contrainte. En écho à France Charruyer, il rappelle que les entreprises du numérique vont effectivement devoir engager un chantier juridique, mais aussi numérique.

"Nous sommes là pour accompagner la conformité sur le plan numérique. Évidemment cela aura un coût mais il y aura de nouvelles opportunité. Par exemple, on parle de la suppression des données mais on ne va pas les supprimer, on va les anonymiser. La donnée a de la valeur, le RGPD permet de conserver des données anonymes à des fins d'analyse comportementale, ce qui peut ouvrir des débouchés en terme notamment de marketing".

Pour Laurent Gerin, faire savoir qu'on est en conformité à ses clients et partenaires, c'est un peu comme "un label de qualité".

Un label qualité qui devrait séduire les clients de plus en plus attentifs à la cyber-sécurité. Conserver les données personnelles de leurs clients sans leur demander leur accord, c'est une pratique assez courante notamment chez les Gafa a expliqué Jean-Louis Glorian, président d'Euro Information Epithète (filiale du groupe Crédit Mutuel-CIC, ndlr).

"Dès le départ notre positionnement stratégique a été de dire : les données sont avant tout celles de nos clients et on s'engage par contrat à ne pas les diffuser à l'extérieur. Si on les exploite en interne, c'est uniquement avec l'accord préalable de nos clients".

Jean-Louis Glorian a expliqué que ses activités notamment de gestion de facture électronique, d'outil de trésorerie ou d'espace de gestion de e-boutique, "font qu'on engrange des informations capitales, donc il faut garantir aux clients l'étanchéité de toutes ces données. Nos solutions sont en mode SAAS, la sécurité est par définition au coeur de nos préoccupations".

Jean-Louis Glorian, président d'Euro Information Epithète (Crédit : Rémi Benoit).

Jean-Louis Glorian, a également rappelé que certains clients pouvaient encore être freinés par les solutions d'authentifications jugées trop contraignantes. "Ils doivent alors assumer le risque de refuser des solutions sécurisées, dans ce cas on leur fait signer une décharge ", a-t-il expliqué.

À l'issue de la table ronde, tout le monde s'accordait à dire que le RGPD était l'affaire de tous et qu'un accompagnement des entreprises serait nécessaire pour les aider à le mettre en œuvre.