[Témoignage] "La mise en conformité au RGPD concerne autant le B to B que le B to C!"

> Quel est l'impact du RGPD sur votre activité?

Notre métier, c'est de fournir des informations qualifiées et fiables à nos clients, pour leur permettre d'atteindre des objectifs de développement commercial. À cet effet, nous collectons des informations sur plusieurs centaines de milliers de décideurs en entreprise, et ce à plusieurs niveaux: leur fonction, leur périmètre de responsabilité et leur parcours. Or le règlement porte sur la protection des données personnelles: il vise donc toute information permettant, directement ou par recoupement, de remonter jusqu'à une personne physique.

Ainsi, une adresse mail professionnelle constitue une donnée personnelle, par exemple. Notre activité étant de collecter des informations sur les décideurs, nous sommes directement concernés par le RGPD, même si nous sommes en B to B. En matière de dataprotection, avec le RGPD, B to B et B to C, c'est le même combat!

> Comment avez-vous préparé votre mise en conformité? Quelles ont été les grandes étapes?

Il est impossible de raisonner uniquement par étapes, la mise en conformité avec le RGPD est un vrai chantier à part entière. L'idée a été de commencer par des choses simples, des actions de type "quick win", (modification des formulaires, désignation du futur DPO⁽¹⁾...), tout en menant en parallèle des tâches de fond plus complexes (analyses d'impact, éléments de sécurité informatique...). Nous avons démarré le chantier RGPD à l'automne 2016, avec un audit réalisé par le cabinet Alerion, qui dispose d'un département spécialisé en droit de la propriété intellectuelle. Durant 2 mois, ses avocats ont réalisé un inventaire de nos pratiques, analysé nos contrats clients et fournisseurs, avant de nous faire des recommandations sur les étapes à mettre en place.

Entre janvier et février 2017, nous nous sommes approprié une partie de la documentation disponible sur le site de la Cnil: lecture du règlement, bien sûr, mais également des guides pratiques sur la relation fournisseur, sur les analyses d'impact, sur la désignation du CIL⁽²⁾ (futur DPO)... Puis nous avons rédigé le registre des traitements, ce qui a nécessité un bon mois de travail afin de réaliser un inventaire précis. Là encore, la Cnil propose un modèle pour créer son registre.

Mission suivante: la réécriture de la politique de protection des données et sa mise en ligne sur notre site. Elle précise quelles sont les données collectées, l'utilisation qui en sera faite, qui sont les éventuels prestataires ou sous-traitants qui interviendront sur ces données, leur durée de conservation et le lien vers la page de désabonnement pour exercer son droit de retrait. Nous avons ensuite revu les contrats avec nos prestataires, afin d'y retranscrire la notion de coresponsabilité. Certains étant implantés en dehors de l'Union européenne, il a également fallu revoir les clauses de transfert hors UE.

En avril/mai 2017, nous avons désigné un CIL, qui deviendra en mai 2018 notre DPO.

De juin à octobre, nous avons mené les analyses d'impact et réalisé la cartographie des risques, afin d'envisager tous les scénarios qui pourraient entraîner une perte de données, de mesurer l'impact sur les personnes dont les données auraient été piratées et de réfléchir aux moyens à mettre en oeuvre pour limiter ces risques. Là encore, nous nous sommes appuyés sur la documentation de la Cnil, et cette démarche a débouché sur la mise en place d'un plan d'action visant à limiter les risques.

(1) DPO = délégué à la protection des données.

(2) CIL = correspondant informatique et libertés.