RGPD : Ce qu’un institut d’études doit savoir

Marteau juridique sur un ordinateur

Survey-Magazine : Suite à l’entrée en vigueur du règlement, quelles précautions sont à prendre en tant qu’institut d’études ?

Aurélie Lo Monte : En tant que bureau d’études, nous sommes amenés à travailler sur des bases de données provenant de nos clients et par conséquent avec les données personnelles de leurs propres clients. Les données présentes dans ces bases sont extrêmement confidentielles. Nous devons donc veiller à protéger la base de données lors des transferts, mais aussi se protéger légalement quant à l’utilisation de celle-ci. Nous vérifions toujours que les personnes contactées donnent un accord explicite pour participer à notre enquête, comme la loi l’oblige. Nous étions déjà rigoureux avant l’entrée en vigueur du règlement, à nous d’être encore plus attentifs. Toutes les mesures de précaution sont également prises à l’égard de nos fournisseurs et de nos partenaires qui doivent s’engager à respecter la GDPR pour chaque projet.

Quels moyens concrets chez Mapp avez-vous mis en place pour y répondre ?

Comme déjà évoqué, nous avons nommé en 2017 un DPO. Nous avons au sein de nos logiciels la capacité de tracer le cheminement et l’utilisation des données en cas d’audit réalisé auprès de nos clients. Nous éduquons nos clients et partenaires afin qu’ils mettent en place les meilleures pratiques. Ce sont pour une grande partie des ETIs de taille moyenne qui n’ont pas nécessairement tous les moyens et ressources des grandes entreprises. Il est donc important de leur fournir sur ce sujet comme pour d’autres, un service personnalisé et de proximité qui correspond réellement à leur quotidien ainsi qu’à leur organisation. Une entité dédiée à la sécurité et protection des données se met en lien avec nos clients à leur demande par exemple.
Pour les études réalisées avec des panels externes, nous ne pouvons pas identifier les personnes ayant répondu à notre questionnaire. Dans ce cas, la GDPR n’entre pas en vigueur.

Comment un institut d’études peut-il bien s’y préparer ?

Bien entendu, il faut commencer par lire le nouveau règlement et essayer d’en comprendre le sens… De plus, nous faisons partie d’une association appelée Febelmar, qui a proposé à l’ensemble de ses membres plusieurs workshops avec des spécialistes pour nous former aux nouvelles règles. Ces personnes proposent également un accompagnement personnalisé afin de vérifier que les procédures internes sont légalement correctes. Nous avons donc fait appel aux services d’un juriste spécialisé. C’est important d’être entouré de professionnels ! Chacun son métier…

À quels risques s’exposent ceux qui ne respectent pas le règlement ?

Lorsque nous avons eu notre premier workshop, les juristes avaient insisté sur l’importance de respecter ce nouveau règlement aux risques d’encourir de lourdes sanctions financières. À présent, les esprits se sont apaisés quelque peu. Oui, les sanctions financières seront encore plus lourdes si la GDPR n’est pas respectée mais dans un premier temps, il est important de montrer que nous mettons tout en œuvre pour aller dans le sens de la protection des données personnelles. Nous devons montrer que nous avons adapté nos procédures internes, que nous affinons nos procédures légales mais aucun organisme de contrôle ne viendra frapper à la porte et demander des comptes. Comme auparavant, il n’y aura jamais de sanction tant que personne ne portera plainte contre vous. Si, par malheur, cela venait à se produire, alors oui… Les juges seront plus stricts et les sanctions plus fortes. À nous d’être vigilants !