Les instituts d’études sont très concernés par le RGPD. Survey-Magazine a interrogé Praxis, un institut spécialisé dans les problématiques B2B, sur sa démarche de mise en conformité.
Survey-Magazine : Quelles ont été les actions menées par Praxis dans le cadre du RGPD ?
Laure Labeaume : Nous avons commencé par nous approprier dès 2017 une partie de la documentation disponible sur le site de la CNIL : la lecture du règlement pour commencer mais également les guides pratiques mis à disposition sur la relation fournisseur, sur les données collaborateurs, les analyses d'impacts… Ma première démarche en tant que DPO chez Praxis, a été de réaliser un inventaire de nos procédures. Une évaluation, qui a permis de constater que nos procédures allaient dans le sens du règlement mais que nous ne documentions pas suffisamment. Praxis, comme beaucoup de sociétés pour lesquelles la data est le cœur de métier, est impacté pour tous ses traitements de données personnelles : internes liés à nos collaborateurs (formation, recrutement et gestion des collaborateurs…) mais également liés à nos clients et prospects ; mais aussi par les traitements des données externes c'est-à-dire pour tous les traitements que nous réalisons pour nos clients. Nous agissons ici en termes de sous-traitant et sommes alors coresponsables du traitement. Nous avons alors fait le choix de rédiger 2 registres de traitement : un premier pour l'externe et un autre pour l'interne. A la suite de cela nous avons revu plusieurs de nos documents :
- notre politique de protection des données, qui précise les
engagements de Praxis en termes de confidentialité et protection des
données ;
- notre charte informatique, dans laquelle nous avons été plus
précis pour assurer la protection des données via le SI ;
- nous avons également revu les contrats pour nos sous-traitants au
sens RGPD. Praxis, sous-traite peu, et sélectionne ses sous-traitants au
sens RGPD uniquement en fonction de leur capacité à respecter nos
exigences en matière de protection des données. Ainsi, ils sont tous
tenus de signer un accord avec Praxis comportant des clauses de
protection des données au moins aussi strictes que celles que signe
Praxis avec ses clients. Nous souhaitions là également retranscrire la
notion de coresponsabilité.
Dans ce cadre-là, je me suis rapidement tournée vers nos prestataires d'enquêtes en ligne pour échanger avec eux sur leur démarche, les évolutions logiciels prévus pour être prêt au 25 mai 2018. Nous avons poursuivi notre partenariat si toutes les conditions étaient réunies.
J'ai ensuite revu l'ensemble de nos textes d'enquêtes, que ce soit nos enquêtes online ou par téléphone. Nous précisons dès l'introduction systématiquement l'objectif de l'étude, qui a accès aux données personnelles, la durée de conservation des données et comment l'interviewé peut effectuer son droit de retrait, de modification ou d'accès. Parallèlement, nous avons modifié nos formulaires en ligne, en réécrivant les mentions relatives au RGPD et créant une adresse mail dédiée pour permettre d'exercer son droit de retrait. Nous avons aussi mis en place des process internes afin d'assurer la notification de toute violation des données et ce dans les meilleurs délais comme le prévoit le règlement.
Une tâche primordiale a été de sensibiliser et former nos collaborateurs à la protection des données des enquêteurs à la comptabilité en passant par les consultants. Ils sont tous concernés, de par leur fonction et en tant que particulier.
Globalement, l'obligation la plus contraignante est la documentation systématique, permanente et exhaustive des actions réalisées pour la mise en conformité. Il est nécessaire d'avoir un véritable engagement de la direction. C'est un projet d'entreprise qui concerne tous les services.
La mise en application du RGPD a- t-elle impacté votre façon de collaborer avec vos clients commanditaires d'études ?
Florent Murard : Depuis le RGPD, deux catégories de clients ont vu le jour : ceux qui s'étaient préparés et ceux qui n'étaient pas encore au point sur le sujet. Les entreprises prêtes le 25 mai ont une approche différente avec notre institut puisqu'elles nous demandent de leur fournir des éléments concrets afin de leur prouver que nous sommes bien conformes aux exigences demandées. Le partage des documents se fait de façon constructive avec une volonté d'entraide. Les DPO respectifs (du client et de Praxis) entrent en contact et échangent sur les différentes modalités et procédures mise en place. Cette catégorie d'entreprise est plutôt exigeante et peut remettre en question un contrat en cas de non-conformité. Mais la conformité vis-à-vis du RGPD n'est pas encore un critère de sélection d'un cabinet, et ne figure pas systématiquement dans le cahier des charges.
Les entreprises qui n'étaient pas prêtes le 25 mai, et qui n'avaient pas mis en place de procédures visant à répondre au minimum aux exigences du RGPD sont finalement assez nombreuses (près d'une sur deux), et elles sont très sensibles aux conseils que Praxis peut leur apporter. Les conseils sont basés sur les bonnes pratiques en matière de protection des données. Par exemple, les échanges de fichiers clients se font de façon sécurisée, via un serveur dédié, et nous n'acceptons plus de recevoir ces données par mail. Nous intégrons aussi la notion de droit d'accès aux données, de modification ou de suppression, en alertant nos clients sur le fait qu'ils doivent également mettre en place ce dispositif au sein de leur organisation. Il est certes plus délicat de collaborer avec ces entreprises moins avancées concernant le RGPD mais il semble presque certain qu'elles seront prêtes d'ici quelques mois à répondre pleinement aux exigences majeures.
Le RGPD va aider à professionnaliser notre métier et peut-être permettre à des instituts comme Praxis de se différencier des prestataires dont la structure, les moyens mis en place ou la nature (comme la localisation géographique) ne sont pas compatibles RGPD. En tout cas, on le souhaite compte tenu de l'investissement qu'une telle démarche a engendré.
