COMPTE RENDU : CONFÉRENCE RGPD BY EBG 2/3
Mardi 16 janvier à l’EGB s’est tenue la table ronde « RGPD : mesures phares, impact et organisation », animée par Dounia Zouine (Senior Manager chez Converteo). Retour sur cette matinée à travers une trilogie d’articles reprenant les 3 temps de cette table ronde :
1. Les mesures phares : rappel des principaux concepts du RGPD
Présentation des points clés de cette règlementation par maître Régis Carral, avocat associé du cabinet Hoche Société d’Avocat.
2. Impacts : un même règlement mais des implications différentes
Les entreprises détiennent différents types de données et ne les exploitent pas de la même manière. Quels sont les impacts de cette règlementation commune sur des entreprises aux structures et aux enjeux très différents ?
3. Organisation : comment mener des projets de mise en conformité ?
Immersion dans l’intimité des projets RGPD de différentes entreprises en s’intéressant à ce qu’elles ont choisi de prioriser et aux principaux changements auxquels elles font face.
Impacts : un même règlement mais des implications différentes
La Sacem a vu son volume de données collectées exploser au cours des dernières années :
Florence Graveline, Data Protection Officer (DPO) à la Sacem, nous explique qu’il y a eu une explosion du volume de données personnelles collectées par la Sacem (= données des morceaux écoutés sur les plateformes de streaming). En 2017, la société traitait 12 milliards de lignes de reporting. Défi supplémentaire, la majeure partie des données est collectée de manière indirecte (reporting des différentes plateformes).
La qualité du traitement de ces données est essentielle puisqu’elle détermine le paiement des droits d’auteur.
La Sacem a donc mis en place une gestion proactive de ces données depuis 2010. Avant cela, les projets informatiques étaient développés sans prise en compte native des données personnelles, ce qui générait de nombreux coûts de développement pour apporter des modifications en aval et rendre les projets conformes.
Pour elle, le RGPD n’est pas un frein à l’exploitation des données. Au contraire, il garantit que cette exploitation se déroule dans les meilleures conditions, tant pour les utilisateurs que pour les entreprises.
Depuis la crise de 2017, BNP Paribas a industrialisé les procédures de mise en conformité
BNP Paribas était représenté par Martin PAILHES Head of Legal IT / IP Practice. L’exemple de cette banque dans le cadre de cette mise en conformité est intéressant puisqu’il s’agit d’un acteur « data rich » : le groupe possède une grande quantité de données d’excellente qualité et susceptible d’être partagée entre différents corps de métier. Toutes les entités du groupe manipulent de la donnée à caractère personnel, voire sensible. La mise en conformité est donc un projet de grande ampleur.
Martin Pailhes explique que depuis la crise des subprimes, le secteur bancaire a été matraqué de nouvelles règlementations. En 2009, le Comité de Bâle sur le contrôle bancaire avait déjà conduit le groupe à mettre en place de grands principes pour garantir l’intégrité de la donnée, ce qui a préparé le terrain pour la RGPD. Cependant, pour Martin Pailhes, le projet de RGPD a un intérêt beaucoup plus grand puisqu’il englobe plus d’acteurs et s’attaque à la problématique de la gestion des données de manière plus approfondie.
NB : les données sensibles sont une catégorie particulière de données personnelles. Elles font apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses…etc. Elles font l’objet d’une protection juridique renforcée.
Le défi de la data pour l’industrie automobile en pleine mutation
Selon Virginie De Rigal, responsable de la protection des données personnelles pour Renault, l’industrie automobile est en pleine mutation. Avec les véhicules connectés, l’identifiant et toutes les données techniques du véhicule deviennent des données personnelles. La géolocalisation et les modes de conduite sont collectés pour offrir de nouveaux services aux utilisateurs. Les nouvelles pratiques telles que le car sharing impliquent que les utilisateurs d’un véhicule en sont de moins en moins souvent les acheteurs.
Alors que par le passé les concepteurs d’automobiles avaient pour priorité l’optimisation technique des véhicules, il leur est maintenant demandé de se centrer davantage sur l’expérience utilisateur. Le secteur de l’automobile connait un véritable changement de paradigme. Le RGPD permettra de s’assurer de la qualité de collecte et de traitement de ces nouvelles données.
Pour les Pure Players, la protection de la donnée est au cœur des préoccupations depuis plusieurs années
Ainsi, le business model des Furets.com est fondé sur la collecte et le traitement de données.
Pour Johanna Thivolle (Senior Manager Legal, Compliance and Risk des Furets.com), les services IT sont bien plus avancés sur les problématiques de protection des données que les services juridiques. Elle décrit cette règlementation comme une opportunité de mettre en valeur des principes éthiques déjà appliqués au sein des services IT depuis plusieurs années.
Johanna Thivolle souligne également que la protection des données personnelles est un sujet auquel les utilisateurs sont de plus en plus sensibles et qu’avoir une bonne politique de confidentialité est devenu un argument marketing de taille.
En conclusion, lors de cette table ronde, tous les intervenants se sont accordés pour dire que le RGPD représentait une réelle opportunité pour les entreprises d’assainir leurs pratiques dans le domaine de la collecte et du traitement des données personnelles.
Pour aller plus loin, Converteo vous propose d’assister à la formation RGPD & protection des données personnelles. Il s’agit d’une journée pour comprendre la nouvelle réglementation RGPD, les impacts concrets de celle-ci sur votre activité et votre organisation ainsi que les grandes étapes d’un projet de mise en conformité afin de construire votre feuille de route.
Retrouvez la vidéo de la conférence :
Auteur : Myriam Klikel, Consultante