25 mai 2018, le temps de la responsabilisation des entreprises a sonné ! Les règles de transparence vont bon train. Realytics, leader du TV tracking, mesurant la performance des publicités TV grâce aux outils du digital, s’est conformé au RGPD. L'entreprise a confié à l'une de ses collaboratrices, Raphaëlle Grall, le rôle de DPO. Retour sur cette mission…
Le DPO installe la culture RGPD au sein de l’entreprise
DPO : Les règles de transparence
Ces nouvelles règles de transparence, permettent aux individus de consulter et modifier les données que les entreprises détiennent à leur sujet. Données personnelles protégées certes, mais surtout mises à l’abri de toute faille de sécurité…
Le RGPD impose, aussi, un DPO (Digital Protection Officer) pour les organismes publics ou pour les entreprises qui manipulent des données à caractère personnel à grande échelle et de manière systématique. Mais, au-delà, la désignation d’un tel responsable est fortement recommandée.
Au sein de l’entreprise, le DPO va jouer le rôle de conseiller et chef d’orchestre. Charge à lui d’informer les responsables des traitements de leurs obligations, de mener des actions de sensibilisation, et de superviser la conformité de l’entreprise avec les engagements qu’impose le RGPD.
La mise en conformité
Dans une société qui analyse et produit de la data, il faut évidemment être en conformité avec les lois relatives à la protection des données, et notamment le RGPD. Pour s’y conformer, Realytics a donc pris toute une série de mesures. Mais quelles sont-elles ?
La première fut de nommer et déclarer un DPO à la CNIL, car celui-ci allait devenir « le pilote et effectivement le chef d’orchestre chargé de la bonne mise en conformité de Realytics au RGPD » souligne Raphaëlle Grall.
Puis, il a fallu songer au registre des traitements. « En ce sens, il faut répertorier tous les traitements de données que nous effectuons (cela va d’une liste de personnes à inviter à notre prochain événement à celle de notre fichier du personnel ou aux données récoltées par notre équipe data). Chaque traitement doit apparaître dans ce registre des traitements, en y précisant les objectifs poursuivis par les traitements, les catégories de données personnelles traitées, la durée de conservation, les acteurs qui traitent ces données… ».
Une donnée personnelle est décrite dans l’article 4 comme toute information se rapportant à une personne physique identifiée ou identifiable, donc un nom, une donnée de localisation, un identifiant sont directement des données personnelles… « Il faut alors bien avoir conscience que la data est partout aujourd’hui ! Il est nécessaire de prioriser les actions à mener, et toujours réfléchir en fonction des risques éventuels de nos traitements qui pèsent sur les droits et libertés des personnes concernées » poursuit la DPO.
Realytics a renforcé sa politique de sécurité (physique ou informatique) et met tout en œuvre pour garantir la sécurité des données récoltées (chiffrement des données, sauvegardes régulières, silotage des données des annonceurs, accès sécurisé et conditionné aux données, double authentification à la plateforme).
Et de préciser « Il convient de rédiger plusieurs documents prouvant notre mise en conformité au RGPD : procédure à suivre en cas de faille de sécurité ou fuite de données, document explicatif de nos cookies et données collectées, document sur l’accès à notre portail, sur les mesures de sécurité mises en place pour réduire l’accès à nos locaux. Nous envoyons, ensuite, ces documents aux clients qui en font la demande et ils constituent l’une des preuves de notre mise en conformité en cas de contrôle d’une autorité ».
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Le DPO est aux manettes
Realytics a d’abord demandé à l’ensemble de ses collaborateurs, qui souhaiterait se porter volontaire pour devenir DPO. Raphaëlle Grall a soumis sa candidature et a été sélectionnée, notamment en vertu de son background juridique qui allait l’aider à appréhender et saisir l’ensemble des particularités du texte de loi.
Pour Raphaëlle Grall, « outre être un chef d’orchestre comme évoqué précédemment, mon rôle de DPO consiste, aussi, à informer et conseiller les fondateurs et les employés de l’entreprise sur les actions à effectuer pour se mettre en conformité (avec le reste !). Je contrôle le bon respect du règlement et de la réglementation nationale et jemets en place une veille sur les données à caractère personnel et la sécurité des systèmes d’information ».
Une des principales missions quotidiennes reste l’information et l’éducation des équipes en interne. « Il faut que chacun arrive à adopter les bons réflexes. Cela ne concerne pas que le traitement des données mais aussi et surtout la sécurité informatique. Ainsi, ne pas laisser ses ordinateurs allumés, faire attention aux documents que l’on jette sont des gestes essentiels pour la sécurité » alerte Raphaëlle Grall.
De plus, il faut que chacun prenne enfin conscience de l’importance de cette mise en conformité et apprenne à réfléchir avant d’agir, « par exemple, se demander, avant chaque nouveau traitement, s’il est en conformité au RGPD au lieu de s’en préoccuper une fois le traitement effectué ».
Une véritable culture RGPD a pris place au sein de l’entreprise.