RGPD et entreprise : contrainte ou opportunité ?

Interview d’Nicolas Andriamandimby, formateur et coach spécialisé dans les problématiques de désengagement et de mieux-vivre au travail, par Sophie Herrault – coach en motivation et intelligence émotionnelle et romancière (www.livre.sophieherrault.fr)

Sa démarche : J’ai une passion qui est la musique. J’ai toujours été admiratif et respectueux à toute création qui peut survivre à son auteur. Étant musicien, ça m’a toujours fasciné de constater que des morceaux devenus mythiques n’aient pas rejoints les annales de l’oubli et qu’ils ont survécus après la disparition de leur père. Depuis tout petit, j’avais cette ambition de pouvoir créer des choses qui resteraient gravées dans le temps. C’est aujourd’hui l’un des grands sens de ma vie, c’est de pouvoir laisser une trace de ce que je réalise. Accompagner mes clients, c’est aussi les aider à accomplir quelque chose qui va se poursuivre après eux, pour leur business, leurs collaborateurs, leurs familles, et en retour cela me permet de m’accomplir aussi et suivre mon chemin de vie. Je les en remercie tous. 

Présentation de Nicolas Andriamandimby

Sophie Herrault : Bonjour à tous ! Je connais Nicolas Andriamandimby depuis de nombreuses années. Nicolas est chef d’entreprise et a aussi une activité de délégué à la protection des données.

Sophie Herrault : Peux-tu nous en dire plus sur ton parcours de vie ?

Nicolas Andriamandimby : Avec le recul, je peux dire qu’il s’est essentiellement construit dans l’inconnu sur des choix expérimentaux, qu’il s’agisse de mes études de droit et de commerce que de mes expériences professionnelles, dans des secteurs divers comme l’internet, les assurances, les services à la personne et plus récemment le coaching managérial.  J’ai alterné les passages à vide et les projets marqués par la réussite. Cela m’a permis ainsi de nourrir mon optimisme et de développer un mental tourné vers l’action. Mon parcours de vie est plutôt clivant par rapport à des parcours plus classiques et c’est ce qui fait qu’aujourd’hui je dispose d’une vision à 360 % que je souhaite mettre au service de mes clients.

Pourquoi est-ce devenu si important de protéger les données personnelles ?

Nicolas Andriamandimby : Au préalable, je ne fais que délivrer de l’information. Cela ne dispense pas d’aller consulter les textes, notamment sur le site de la CNIL. Pour des avis juridiques, seul un conseiller juridique habilité est en mesure de le faire comme un avocat par exemple.

Les données personnelles sont devenues le pain des entreprises. Selon moi, nous avons développé un voyeurisme entrepreneurial en nous immisçant dans la vie privée des gens, cette vie privée qui devient une sorte de pépite à exploiter. Pour autant, les gens adorent raconter leur vie sur les réseaux sociaux. Un point d’équilibre est donc à trouver. Aussi, nous en tant qu’entrepreneurs, en utilisant les données personnelles pour mieux vendre nos produits et services, il est normal de les protéger en assurant la confidentialité. Bien évidemment, il s’agit d’être en conformité avec la législation pour éviter une condamnation en cas de violation ou perte de ces données, mais c’est également un moyen pour mieux vendre et développer notre chiffre d’affaires. Cette contrainte là que nous avons devient donc une opportunité à saisir.

Que désigne exactement les termes « données personnelles » ?

Nicolas Andriamandimby : Il s’agit d’une information qui permet de vous identifier ou de vous rendre identifiable directement ou indirectement. On peut savoir entre autres qui vous êtes, où vous êtes, ce que vous pensez, ou encore ce que vous faites.

Vous décidez de l’étendue de votre jardin secret. C’est vous qui déterminez ce qui vous dérange et ce que vous êtes prêt à communiquer aux yeux du monde.  Le problème ne réside pas tant dans ce que vous décidez de révéler de personnel sur vous, mais dans ce que les entreprises vont faire de ces informations sur vous et des risques de violation de vos droits.

Quelles sont les données d’entreprise qui entrent dans le cadre de la protection des données personnelles ?

Nicolas Andriamandimby : Ce qui nous intéresse, ce sont les informations socio-démographiques, les informations comportementales, les centres d’intérêts, les données relatives à la navigation. Ces données vont nourrir nos fichiers clients et nos bases marketing. Nous les traitons ensuite en fonction de la finalité poursuivie par chaque traitement, c’est-à-dire à quoi va servir le traitement des données collectées dans le cadre de mon business. Il faut savoir que dès qu’il y a stockage de données, même sans utilisation, quelle que soit sa forme, c’est-à-dire aussi bien dans une base de données qu’un tableau Excel par exemple, cela entre dans le cadre du RGPD.

Quels sont les droits, devoirs et sanctions qui s’appliquent aux entreprises et aux associations ?

Nicolas Andriamandimby : Nous pouvons collecter des données dès lors que celles-ci sont indispensables au fonctionnement d’un service. Pour autant, nous ne pouvons le faire qu’avec le consentement préalable de nos prospects et clients.  C’est donc conditionné. Le client décide et peut toujours avoir le dernier mot concernant ses informations personnelles.

Nous sommes aussi des employeurs. À ce titre nous sommes responsables de la sécurité et de la santé de tous nos salariés. Conformément au RGPD, nous avons donc le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de nos obligations légales et conventionnelles. La COVID illustre bien ce droit. Nous pouvons donc prendre des mesures organisationnelles comme la mise en télétravail par exemple, de formation et d’information, ainsi que certaines actions de prévention des risques professionnels. Il s’agit là à la fois d’un droit et d’un devoir.

Quelles sont les grandes étapes à mettre en œuvre pour protéger les données personnelles ?

1. Le registre de traitement pour recenser les données

Nicolas Andriamandimby : Tout d’abord, on cartographie toutes les données en les consignant dans un registre de traitement. C’est le point de départ essentiel pour avoir une vision d’ensemble des données qui circulent dans les services. Ce travail de recensement permet de mesurer son degré d’avancement au regard des obligations en matière de données personnelles et d’identifier les écarts avec le RGPD.

2. Le tri des informations collectées pour ne conserver que ce qui est strictement nécessaire

Ensuite, on fait le tri de toutes les données collectées. On conserve que ce qui est nécessaire, donc on minimise en éliminant ce qui est inutile par rapport aux produits ou services vendus. Même si le client ou prospect adore bavarder en communiquant des informations non essentielles, même insolites ou rigolotes, on les efface.

3. La communication sur les données récupérées et leur usage

Puis on informe les personnes de leurs droits lorsqu’on collecte. On dit pourquoi on collecte, sur quel fondement juridique, le temps d’archivage, les modalités d’accès, qui a accès …Il faut que ce soit le plus clair possible. Faites attention à la façon de rédiger, le consentement se doit être libre, spécifique, éclairé et univoque. Le consentement est une des bases légales du RGPD pour traiter de la donnée. C’est celui qu’on retrouve souvent dans les sites internet. Lors d’une étude, trois grandes universités ont montré que 88% des sites internet britannique sur 10 000 n’avaient pas respecté le RGPD pour recueillir le consentement. Les stratégies ne manquent pas, du type case précochée ou bouton « refuser » bien masqué dans un verbiage à n’en plus finir, la CNIL serre désormais les boulons et sanctionne. Pour exemple, en 2019, Google a été condamné à 50 millions d’euros.

4. La sécurisation des données

Enfin, on sécurise ses données.

Que faire si les données sont volées, piratées… (ou une suspicion que ce soit le cas) ?

Nicolas Andriamandimby : cela va dépendre du niveau de risque engendré par la violation ou perte de données. S’il n’y a aucun risque, on fait sa procédure en interne en complétant son registre de violation et en prenant les mesures nécessaires pour empêcher que cela ne recommence. En cas de risque avéré mais pas élevé, il faut en plus du renseignement du registre violation notifier à la CNIL l’incident dans un délai de 72 heures. Si le risque est élevé, s’ajoute aux deux obligations précédentes celle d’informer les personnes concernées.

Quels sont tes conseils pour protéger au mieux ces informations ?

1. Sensibiliser en interne

Nicolas Andriamandimby :  Mon premier conseil est de sensibiliser tous les utilisateurs et manipulateurs de données personnelles au sein de l’entreprise. La mise en place d’une charte informatique avec force contraignante peut être une piste à retenir.

2. Protéger les accès

Mon deuxième conseil, qui va de soi, est de protéger les accès des postes informatiques, les serveurs et les réseaux par les mots de passe, les authentifications, les « pare-feu », les mises à jour d’antivirus, les protocoles, les chiffrements …bien sûr sécuriser les sites web dont la CNIL constate des failles qui peuvent être aisément évitées. Il existe encore des sites qui collectent des données via des formulaires et qui n’ont pas de certificat SSL, presque le B.A.-BA. pour sécuriser la communication entre un navigateur Web et un serveur Web.

3. Sécuriser également les documents papiers

Mon troisième conseil : le RGPD ça ne concerne pas que les données numériques, le support papier n’a toujours pas disparu. Je pense notamment aux documents rangés dans les dossiers suspendus, dans l’armoire qu’on ne ferme jamais à clé, voire qui reste ouverte, qu’on peut apercevoir au travers de la vitrine de certaines agences d’assurances ou immobilières. On verrouille, on protège l’accès aux locaux, on installe des alarmes anti-intrusions qui ne donnent pas envie de s’attarder.

Peux-tu en dire un peu plus sur tes prestations ?

Nicolas Andriamandimby : Je propose d’assurer des missions de délégués à la protection des données pour les TPE et PME, en m’appuyant sur mon expérience d’entrepreneur et sur une formation juridique solide complétée par une certification DPO délivrée par le CNAM. La particularité de mon service a pour but d’aider mes clients à se mettre en conformité au RGPD tout en les aidant à mieux vendre leurs produits et services ainsi qu’à bien gérer les données salariales qui peut être sources de conflit aux prud’hommes.

Il faut savoir que j’inclue mon service DPO dans mon offre globale d’accompagnement lorsque j’interviens auprès des entreprises ou des associations de services à la personne ou d’aide à domicile.

Sophie Herrault : Comment peut-on te contacter ?

Nicolas Andriamandimby : 06.98.81.29.73 et nicolas.andria @rgpd-expert.fr

Sophie Herrault : Un grand merci, Nicolas, pour tes réponses.

Les liens utiles :

• Linkedin : https://www.linkedin.com/in/nicolasandriamandimby/

Autres sujet en lien avec cet article

• Interview de Christophe Menant : les enjeux stratégiques de la cybersécurité
• Témoignage de Bertrand Jacob : Pourquoi mettre en place une stratégie digitale (vidéo 1)
• Interview de Bertrand Jacob : L’équation de la performance digitale (vidéo 2)