La conformité au RGPD : retour d’expérience d’une PME

Le 25 mai 2018 marquait l’entrée en vigueur du RGPD (Réglement général sur la protection des données). Trois ans plus tard, la mise en conformité a certes gagné du terrain, mais certaines structures ont parfois du mal à s’y frayer un chemin.

Antoine Brenner, cofondateur de Gymglish, partage son retour d’expérience sur la mise en conformité de Gymglish au RGPD.

Bonjour Antoine ! Le RGPD fête ses trois ans cette année. Pourrais-tu nous rappeler ce qu’est le RGPD ?

Bonjour ! Le RGPD (connu sous le nom de General Data Protection Regulation, ou GDPR) est avant tout une mise à jour des principes de protection de données personnelles qui s’inscrit dans la continuité de la Loi Informatique et Libertés de 1978. Alors que les Etats-Unis, l’Australie ou la Chine ne se sont pas particulièrement penchés sur la question de la protection des données personnelles, l’Europe, elle, s’est efforcée à en faire une priorité. Quoi qu’il en soit, nous saluons les grands principes du RGPD : protéger des données, la confidentialité et le consentement des internautes européens tout en favorisant la compétitivité des entreprises.

Comment s’est passée la mise en conformité chez Gymglish ?

Pour nous mettre en conformité, nous avons traversé plusieurs phases :

Nous avons tout d’abord fait un bilan pour identifier et comprendre les nouvelles dispositions et leurs implications sur notre mode de fonctionnement. En effet, le RGPD, c’est pas moins de 100 pages d’obligations à respecter et 99 articles de loi ! Heureusement, nous n’étions pas seuls pour franchir cette étape. De nombreux sites Internet dont celui de la CNIL par exemple, proposaient des articles et guides pratiques, grâce auxquels nous avons pu nous conformer. Cette première étape nous a permis d’identifier la présence ou non de données sensibles à protéger. Il s’avère que nous recueillons délibérément très peu de données dites ‘sensibles’, mais plutôt des données pédagogiques.

Nous avons ensuite mis à jour notre politique de confidentialité et sensibilisé nos équipes sur le sujet de la conformité et la protection des données. Nous avons notamment établi une liste de l’ensemble de nos fournisseurs et sous-traitants en y détaillant l’objet du traitement des données pour chacun d’entre eux. Notre politique de confidentialité explicite aussi tous les enjeux juridiques dans une colonne de commentaires explicatifs dédiée très synthétique facilitant la lecture pour les internautes non-juristes, car il arrive souvent que ce document soit tellement indigeste que cela découragerait la lecture. 

En somme, ce projet de mise en conformité était de longue haleine, mais ne s’éteint pas pour autant. Il vit toujours, nous nous efforçons de faire un bilan RGPD régulier et à sensibiliser nos équipes en interne.

J’imagine que la mise en application du règlement a mobilisé l’ensemble des équipes ? Comment Gymglish a mené ce projet en interne ?

Le RGPD est en effet un projet transversal. Étant donné que je gère le périmètre administratif et juridique chez Gymglish, j’ai naturellement pris les rênes du projet.

J’ai toujours été très sensible au sujet de la protection des données. Les missions de la CNIL m’étaient déjà familières. Pour cette raison, nous n’avons pas eu besoin de recourir aux services d’une société externe spécialisée.

En tant qu’entreprise internationale, Gymglish travaille avec des structures dans le monde entier. Est-ce un point à prendre en compte lors de la mise en conformité ?

Oui tout à fait. Nous travaillons avec des sous-traitants en Europe et au-delà. Nous vérifions systématiquement si nos potentiels futurs fournisseurs possèdent une politique de confidentialité, le cas échéant nous vérifions si elle est conforme et si elle demande le consentement explicite des utilisateurs. Nous refusons de travailler avec des prestataires ne respectant pas les clauses RGPD. Nos clients européens, notamment en B2B, ainsi que nos partenaires média et écoles de langues sont très vigilants sur ce point et souhaitent s’assurer que nous sommes conformes au RGPD avant de nous confier les données de leurs clients.

En avril dernier, de nouvelles règles concernant les cookies et autres traceurs ont été mises en place. Comment Gymglish a vécu ce renforcement des règles ?

Le mot d’ordre du RGPD, c’est bien la notion de consentement. Les données personnelles d’un utilisateur ne peuvent être traitées que si celui-ci a donné son accord explicite. Pour recueillir son consentement, il est nécessaire de préciser à quelle(s) finalité(s) ses données seront traitées. En d’autres termes, si une personne visite notre site, mais n’a pas cliqué pour valider, nous n’avons pas son consentement explicite.

Je dois dire que la mise en place de notre bannière cookies a été assez lourde pour nous. Ce n’est pas tant les obligations du RGPD qui nous ont ralenti, mais plutôt des aspects d’ordre technique. De façon générale, nous avons détecté un manque d’homogénéisation et de standardisation sur comment implémenter ces bannières cookies, ce qui a rendu l’intégration sur le site de nos partenaires plus difficile que prévu.

Selon toi, cette nouvelle réglementation des cookies est-elle bénéfique pour les internautes ? 

Non, elle ne fait que décaler le problème et ne le résout pas entièrement. C’est une belle démarche que nous saluons et nous nous réjouissons des actions prises par l’UE dans un effort de protéger toujours plus nos données. Selon moi, cette nouvelle réglementation permet surtout de sensibiliser à la fois les entreprises du web comme la population européenne sur les enjeux de protection et d’utilisation de données personnelles.

Mais dans les faits, les internautes savent-ils vraiment à quel point ils sont traqués ? J’en doute fortement. Beaucoup de sites, notamment de réseaux sociaux, conditionnent leur accès à la validation de leur politique de confidentialité (que presque personne ne lit en détail car trop longue) et à l’acceptation des cookies, ce qui rend le refus de ces derniers pas toujours facile. D’autres cliquent sur ‘OK, accepter les cookies’ par pur automatisme, sans réellement savoir (ni même se poser la question) ce qu’ils acceptent  et ce que cela engendre en termes de collecte de données. Malheureusement, la population est peu consciente que de nombreux sites s’appuient sur l’affichage publicitaire pour en tirer des revenus, et que cet affichage est basé sur la collecte de leurs données sensibles. Pour moi, le problème persiste donc malgré ces nouvelles réglementations, et c’est bien dommage !

Connaissez-vous les risques et sanctions possibles en cas de non-respect des principes du RGPD ?

La CNIL prévoit une sanction pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise. Si Gymglish devait un jour faire l’objet d’une inspection, la CNIL nous communiquerait dans un premier temps un audit complet puis un délai, quoique court, pour, le cas échéant, nous mettre en conformité si une irrégularité était relevée. Mais à notre connaissance, nous sommes bien conformes aux nouvelles réglementations. Nous estimons avoir fait notre devoir en tant que PME.

Tu indiques récolter très peu de données ‘sensibles’ : on ne fait donc pas de marketing chez Gymglish ?

Si, bien sûr. Mais c’est un fait : aujourd’hui, le marketing est de plus en plus invasif et irrespectueux vis-à-vis des internautes et cherche à exploiter toujours plus leurs données. C’est pourquoi chez Gymglish, nous récoltons délibérément très peu de données sensibles et surtout, nous ne commercialisons pas les données de nos utilisateurs. Nous recueillons principalement des données d’ordre pédagogique (forces, faiblesses, besoins en révisions, attentes et objectifs de formation), c’est-à-dire des informations qui nous permettent de favoriser la progression et l’assiduité de nos utilisateurs. C’est un choix assumé : nous vendons des cours, de la formation, et non de la publicité assise sur les données dont nous disposons.

De plus, nous veillons à ce que nos utilisateurs soient bien informés de toute disposition les concernant et qu’ils puissent retirer leur consentement à tout moment. Le principe de la conformité, c’est détailler au maximum ce que nous faisons de leurs données pour qu’ils nous donnent leur consentement explicite. 

Finalement, te réjouis-tu de la mise en place du RGPD ?

J’en suis ravi à la fois en tant que consommateur et entrepreneur. Certes, les réponses proposées à ce stade, comme l’acceptation ou le refus des cookies, ne sont pas les seules suffisantes. Mais le RGPD nous paraît tout de même être une belle avancée sur le front de la protection des données.

L’Europe – qualifiée par certains de “vieux continent” et parfois critiquée pour son supposé retard sur certains sujets d’innovation – nous paraît clairement en avance sur ce sujet sociétal de la protection de nos données, et dans la résistance aux grandes firmes technologiques qui tendent à en abuser. En tant que citoyen européen, nous pouvons nous en réjouir !



Lire aussi sur le même sujet :

Leave a Reply