Comment penser l'entreprise autrement et imaginer celle de demain ? Retrouvez ici tous les mois nos actualités, ainsi que des articles, des interviews et des livres blancs pour découvrir des expériences innovantes et vous offrir de nouveaux éclairages sur vos missions.


Interviews

RGPD : la prise en compte de la sécurité est un véritable enjeu pour Age d’Or Services

Interview croisée Olivier Klein et Théo Deparis

Olivier Klein, Responsable de Projets / Maîtrise d’ouvrage a rejoint L’Age d’Or Expansion (Franchiseur) en octobre dernier. Dans le cadre du RGPD, il est le relais vis-à-vis du groupe CNP Assurances, auquel appartient le réseau Age d’Or Services en tant que filiale.

Théo Deparis, Chef de Projets Up, dédié à l’accompagnement de réseaux, tel que l’Age d’Or, coordonne le projet du RGPD avec la franchise et les différents interlocuteurs de Up (DPO, développeurs…)


Qu’est-ce que le Règlement général sur la protection des données (RGPD) ?

THEO DEPARIS - Le RGPD est une nouvelle réglementation européenne qui est entrée en vigueur le 25/05/2018.
Il constitue le texte de référence en matière de protection des données à caractère personnel. Up a pour responsabilité de s’assurer que les solutions mises à disposition de ses clients sont bien conformes à la réglementation.

OLIVIER KLEIN – Le règlement européen dit RGPD est en fait le prolongement de la loi informatique et libertés du 06/01/1978. Dans le fond, il intègre peu de choses nouvelles par rapport à la LIL, il impose plutôt un cadre formel (consentement éclairé, relation avec les sous-traitants, procédure d’exercice de droits des personnes, registre des traitements, analyse de risques) assorti de sanctions réhaussées. Il introduit également de nouveaux droits comme la limitation des traitements et la portabilité des données, sans oublier le « Privacy by Design », c’est-à-dire la prise en compte du respect de la vie privée dès la phase de conception du traitement ou du service.
Certes le RGPD fixe un cadre général européen pour harmoniser les pays, mais en France, nous attendons beaucoup de la refonte de la loi informatique et libertés induit par ce nouveau règlement. Cette ré écriture prévue normalement avant la fin de l’année 2018 devrait nous apporter nombre d’éclaircissements.


Quel est son objectif principal ?

THEO DEPARIS - L’objectif du RGPD est de renforcer les droits des personnes et les préserver contre une utilisation n’allant pas dans son intérêt. Aujourd’hui un consommateur a assez peu de regard sur l’utilisation de ses données. Même si la CNIL le défend théoriquement depuis longtemps, dans la réalité cela reste un peu flou. Aujourd’hui l’objectif de ce nouveau règlement est d’orienter la protection des données vers le « par défaut vous êtes protégés ».

OLIVIER KLEIN - L’objectif du RGPD est d’informer les personnes de ce qui est fait avec leurs données (quelles données sont collectées ? Pour quoi faire ? Pour qui ? Et pour combien de temps ?) mais également des différents droits qu’elles peuvent exercer et comment le faire. Finalement, le RGPD permet de véritablement assainir la relation avec la personne concernée.
Pour nos clients, c’est de ce socle de confiance dont nous avons besoin pour inventer et promouvoir les services innovants de demain.


Quels sont les grands travaux menés conjointement entre l’Age d’Or et Up ?

THEO DEPARIS - Dans cette grande réforme il y a plusieurs grands principes que l’Age d’Or et Up doivent prendre en compte :
- La gestion du consentement : faire en sorte que les clients des différents franchisés soient d’accord pour que l’on stocke et que l’on utilise leurs données personnelles. Le consentement doit être clair, explicite et argumenté, et cela ouvre également le droit au retrait de consentement.

- L’accès aux données : couvert par la CNIL aujourd’hui, il doit en être facilité. Un client peut demander à son agence de rattachement l’accès à son dossier personnel, être informé de l’origine des données et en demander une copie.

- La portabilité des données : mettre à disposition des clients des outils permettant de pouvoir récupérer les données et les transférer vers une autre agence ou un autre prestataire.

- Le droit à l’oubli et à l’effacement : obligation pour Up d’informer en cas de fuites de données. Les délais doivent être minimisés. Hors de question de faire comme Yahoo où nous avons appris 2 ans après que des informations avaient été piratées.

OLIVIER KLEIN – Depuis le mois de juillet, nous pouvons gérer le consentement de la personne dans notre logiciel de gestion Up et nous sommes en train d’intégrer la gestion des exercices des droits. Attention, on parle beaucoup des clients, mais c’est également vrai pour les (ex) clients, (ex) prospects, (ex) collaborateurs, (ex) partenaires, etc. Toute personne doit pouvoir reprendre le contrôle de ses données de façon simple et claire.

Le droit à l’oubli et à l’effacement se fait à la demande de la personne concernée mais également via un référentiel de durée de conservation, toute donnée doit avoir une date de péremption programmée.
Nous travaillons actuellement sur le sujet avec les équipes du groupe Up pour que les outils d’effacement soient le plus facile à utiliser par chaque agence, sans pour autant lui retirer son libre arbitre (en cas de contentieux par exemple susceptible de proroger légitimement le délai de conservation).

Il ne faut pas oublier l’analyse de risque : Exercice imposé par le RGPD pour tout traitement sensible. Nous y travaillons actuellement conjointement avec le groupe Up, nous apportons la vision fonctionnelle et le groupe Up estime les niveaux de sécurité en termes de Disponibilité, Intégrité, Confidentialité, Traçabilité assortis d’un plan de conformité.
Nous engageons actuellement une réflexion pour nous placer en hébergement de données de santé (HDS). Ce n’est pas encore actuellement une obligation, mais il est très possible que ça le devienne. Cela aurait l’avantage de mécaniquement renforcer notre couverture de risque et de nous mettre en avance sur le sujet.

En cas de violation des données personnelles, nous devons communiquer dans un délai restreint à l’instance CNIL mais également aux personnes concernées. Il est de notre intérêt commun que nous travaillons ensemble Age D’Or et groupe Up sur le sujet afin d’être le plus réactif et pertinent possible.

Dans un premier temps, quelles sont les actions à prioriser ?

THEO DEPARIS - Nous avons aujourd’hui nommé un DPO attaché au groupe UP. Il est garant de la bonne exécution du règlement et a notamment pour fonction de responsabiliser chaque service sur la mise à jour des fiches de traitement. Compilées dans un registre cela permettra de savoir où sont les données et ce qu’on en fait.

Aujourd’hui nous pouvons enregistrer dans nos logiciels un grand nombre de données personnelles et dans ce cadre nous avons pour mission de développer différents outils. Ainsi, nos solutions intégreront un module de gestion du consentement et une sécurisation accrue des données avec notamment une gestion de mot de passe et de droits utilisateurs consolidés.

OLIVIER KLEIN - La gestion des mots de passe, des droits utilisateurs et de la traçabilité des accès est un réel enjeu, tout comme l’effacement des données selon les durées de conservation avec génération de preuves d’effacement. Nous devons également pouvoir limiter au maximum le risque de fuite de données.
Pour le Franchiseur, la principale difficulté est de faire avancer en harmonie le sujet dans un réseau composé d’indépendants aux fonctionnements et tailles divers.


Quelles opportunités l’Age d’Or et Up peuvent-ils tirer du RGPD ?

THEO DEPARIS - Présenté de cette manière le RGPD peut ressembler à une grosse contrainte. Mais il faut imaginer que c’est une tendance de fond novatrice sur le respect de la vie privée. On n’est pas seulement sur une conception artificielle mais sur un modèle bien concret permettant de rassurer nos différents réseaux ainsi que leurs clients.
Il faut pouvoir, de cette contrainte, en faire un avantage car ce nouveau règlement va nous permettre de gagner en clarté et en capital confiance.
Cette confiance est une des clés qui permettra d’améliorer la relation avec nos clients et ainsi nous permettre dans l’avenir de mieux les fidéliser.

OLIVIER KLEIN - Grâce au RGPD, nous pouvons gagner en efficacité en nettoyant nos fichiers, nos process et en ne conservant que les traitements et données strictement nécessaires (action en minimisation). Il est contreproductif de tout conserver durablement. Les agences vont pouvoir inscrire de nouveaux objectifs dans leurs plans d’actions commerciales et mieux travailler leurs prospects et ex clients avant la péremption de leurs données.

Nous allons également rationaliser les coûts : moins de mètre linéaire de papier à stocker et moins de Giga octets de données à gérer, puisqu’on ne conserve que ce qui est nécessaire.

Le RGPD impose de mieux protéger son patrimoine informationnel. Entreprise et sous-traitants sont placés dans une logique de responsabilisation se traduisant par la mise en place de mesures organisationnelles et techniques adaptées aux risques sur la vie privée. Cette incitation forte à la prise en compte de la sécurité nous permettra de réduire notre degré d’exposition aux risques. C’est un enjeu majeur difficile à assimiler en interne tant que l’on n’est pas confronté à un incident important, mais souvent il est trop tard.

Dorénavant, le RGPD est un élément clé, pour valoriser son entreprise dans le cadre d’un appel d’offre, d’un appel à projet, etc. Pour se démarquer, il est important de pouvoir démontrer que l’on s’est approprié le sujet, que l’on reconnait que la prise en compte de la sécurité est un véritable enjeu et que l’on est soucieux d’une bonne gestion des données personnelles.