La protection des données personnelles, c’est un sujet qui nous parle forcément. On se sent concerné en tant qu’utilisateur parce qu’on ne veut pas que nos données soient utilisées n’importe comment. En revanche, on y pense beaucoup moins en tant que professionnel, quand on est à la tête d’une toute petite entreprise – à part peut-être pour son site Internet – alors qu’en réalité, c’est une question qui nous concerne tous.
Pour aborder ce sujet, je reçois Emmanuelle Houdet, dont c’est la spécialité puisqu’elle est consultante en protection des données personnelles. Bonne écoute/lecture !
NB. Cet article est une transcription de l’interview, disponible en version audio sur le podcast J’aime la paperasse – sur cette page et sur toutes les plateformes d’écoute (Apple Podcast, Spotify, Deezer, Google Podcast…).
La protection des données personnelles : une histoire de vie privée
Alors aujourd’hui, on est là pour parler de… Comment on va dire… Protection des données ?
C’est ça, protection des données ou protection de la vie privée.
Le mot que l’on utilise généralement pour parler de ce métier, ce sera plutôt délégué à la protection des données. On parle de mise en conformité RGPD (Règlement Général sur la Protection des Données), mais le cadre de mon travail, c’est d’équiper les entreprises, les entrepreneurs et les associations pour protéger la vie privée de leurs bénéficiaires, de leurs partenaires, de leurs clients ou même de leurs salariés.
OK, ça fait quand même quelque chose d’assez large parce qu’on entend parler de RGPD surtout, mais concrètement, on ne sait pas forcément ce qu’il y a derrière.
C’est vrai qu’on entend parler beaucoup de RGPD, surtout en ce moment, je pense, avec la législation sur les cookies. J’ai l’impression du e le voir partout. Entre ça et le passe sanitaire, c’est bien, ça nous fait de la communication (rire) !
Mais c’est vrai qu’on en entend beaucoup parler et que finalement, souvent, j’ai l’impression qu’on ne met pas les bons enjeux derrière les mots. C’est pour ça que, généralement, j’essaie de ne pas apporter le RGPD dans ma première approche avec les gens mais vraiment de parler de protection de la vie privée.
Parce que ça, c’est quelque chose qu’on comprend tous. Parce qu’on a tous des choses qui sont personnelles, des choses qui sont privées. Et on a tous envie de se protéger et de protéger nos proches. Donc c’est pour ça que j’utilise vraiment cet angle là pour essayer de sensibiliser et de rendre plus accessible, finalement ce dont on parle, quand on parle de RGPD.
La protection des données personnelles : tous responsables ?
Oui, parce que c’est vrai que le RGPD, je pense que souvent, on en entend parler si on crée un site Web, par exemple. Là, on s’intéresse un peu à la question, mais sinon, on ne se sent pas forcément concernés déjà au départ.
C’est vrai que souvent, c’est ce qu’on me dit : « Mais moi, ça ne me concerne pas, parce que c’est que pour les grands groupes, c’est pour les médecins. »
C’est un peu le préjugé auquel j’ai à faire face.
Est ce que ça concerne toutes les entreprises finalement?
Oui. En étant mesurée, ça concerne tout le monde.
La seule distinction, ce qui est vraiment très important de souligner, c’est que quand on va parler de protection de la vie privée, on va toujours être proportionnel aux risques.
Donc, ça concerne tout le monde, mais pas dans la même mesure. Ce n’est même pas une question de taille. En fait, un micro-entrepreneur, par exemple, un graphiste, n’aura probablement quasiment pas de données personnelles.
Et quand on parle de RGPD, c’est vraiment appliqué seulement aux données personnelles. Ce ne sont pas les données dans la globalité, ce sont les données qui se rapprochent à une personne identifiée ou identifiable. Donc, oui, ça concerne tout le monde, mais pas du tout dans la même mesure.
Et donc, tu dis que ce n’est pas proportionnel à la taille, donc ça veut dire qu’on peut avoir une grande entreprise, mais du fait de l’activité, on a peu de données sensibles. Mais moi, je me lance vraiment en tant qu’indépendante, je travaille seule, je vais faire du consulting, par exemple. Je n’ai pas forcément de site Internet ou j’en ai un, mais avec juste une vitrine ou une présentation. Dans quelle mesure ça va me concerner ?
Vraiment, tout va dépendre de ton activité.
Le premier point, et c’est intéressant que tu le soulignes, tu parles du site Internet. La protection de la vie privée, finalement, ça a peu de liens avec le site Internet. On se focalise sur le site Internet et même sur le numérique, comme si c’était le cœur du problème, mais pas nécessairement.
Et d’ailleurs, le RGPD s’applique aussi aux données papier. Donc, ce n’est pas du tout exclusivement numérique, d’une part, et d’autre part en plus, et ça aussi je le souligne, c’est qu’en France, on parle beaucoup de RGPD comme si c’était une nouveauté européenne, que ça avait changé plein de choses et que c’était nouveau.
Mais en France, on a quand même notre loi Informatique et libertés. Alors, elle a été modifiée en 2019 mais finalement, la législation, elle, existe déjà. Et de fait, il y a quand même beaucoup de gens qui savent déjà ce qu’ils doivent faire et le RGPD n’y a pas changé grand chose.
Donc toi, tu te lances, tu es toute seule, tu es consultante. Ma réponse ça va être : tout dépend en quoi tu es consultante.
Si, par exemple, tu me dis « Je suis consultante RH, j’aide les entreprises ». Alors oui, là, ça va vraiment te concerner. Parce que du coup, si tu as à gérer des profils de carrière, des fiches de paye, des choses un peu sensibles comme ça, des arrêts maladie… Là, on est vraiment dans la vie privée.
Si tu fais du conseil en nutrition, de la même façon, tu peux te retrouver avec des données de santé qui sont des données sensibles, particulièrement surveillées.
De la même façon, un coach sportif, c’est pareil : on peut se retrouver à avoir des données qui sont très sensibles, ou consultant en développement personnel. On peut avoir accès aux données de la vie privée des gens qui sont très, très sensibles. Donc vraiment, tout dépend. Tout dépend de la nature de ce qu’on fait.
Bon, en revanche, si tu fais du graphisme, de l’architecture, de la logistique, du transport, des choses qui n’ont pas vraiment attrait à des personnes physiques identifiables, là, de fait, on est sur un niveau d’enjeux qui est vraiment moindre.
La portée du RGPD, bien au-delà du numérique
Mais ça, c’est super intéressant parce que c’est vrai que tout de suite, on est dans cette optique numérique, web. Parce que risque au niveau des données, tout de suite on pense à Internet, réseaux sociaux… Mais finalement, ça veut dire que la petite entreprise du coin, qui est vraiment ultra-traditionnelle, qui ne touche pas du tout au web elle sera aussi concernée?
Tout à fait. Je vais te donner un exemple qui est très simple d’une situation qui m’est arrivée chez mon médecin traitant. Moi, j’ai la mauvaise habitude, quand j’arrive dans un endroit, j’attends 5 minutes chez mon médecin, je regarde les papiers qui sont sur son bureau… Et manque de bol, je suis tombée sur une ordonnance pour quelqu’un que je connaissais. Et c’était vraiment pas de chance parce que je n’ai pas croisé la personne dans le cabinet.
Mais malheureusement, je suis tombée sur quelque chose de très privé de quelqu’un qui était très proche de moi. Quelles étaient les chances que je tombe là dessus? Très limites.
Dans cette situation, c’est très gênant parce que je me suis retrouvée à connaître quelque chose de privé chez quelqu’un de proche et on n’est pas du tout dans le numérique. On est vraiment dans la confidentialité de base d’une donnée personnelle chez un médecin qui est censé connaitre son travail. Et du coup, là, on est vraiment dans la négligence basique et c’est cette négligence qui nous guette tous.
Parce que finalement, on est capables de perdre une clé USB sur laquelle il y avait le numéro de sécurité sociale de nos salariés. On est tous capable de recevoir un message d’un patient en déplacement personnel qui nous envoie un SMS un peu stressé mais c’est notre enfant qui joue avec le téléphone, il n’y avait pas de code dessus et il voit ce qui est écrit.
Enfin voilà, le premier du premier ennemi, c’est la négligence, c’est nous même, c’est le stress, c’est la charge de travail insurmontable. C’est vraiment tout ça qui fait qu’on peut se retrouver à poser des actes qui sont vraiment pas professionnels et qui peuvent avoir de graves conséquences d’un point de vue légal.
La démarche doit être adaptée à chaque situation
C’est vrai que c’est surprenant. C’est vraiment une approche très différente de celle qu’on entend tout le temps, focalisée sur le web, sans voir tout ça vraiment au quotidien.
C’est pour ça que je pense qu’il faut vraiment l’incarner, en fait, pour que ce soit pertinent. Il faut vraiment l’adapter à ce qu’on fait, être raisonnable et utiliser notre bon sens, parce qu’on voit vraiment beaucoup de choses passer sur le sujet.
Et souvent, on peut avoir envie d’appliquer les méthodes de ce qu’on lit, etc. Et puis on se dit « Mais c’est complètement ridicule parce que moi, je n’ai pas besoin de tout ça » ! Et c’est probablement vrai dans 90% des cas.
Pour autant, avec un peu de bon sens et en regardant de façon objective les données qu’on traite, les risques qui sont propres à notre installation : on ne va pas avoir les mêmes risques si on travaille chez nous, si on est en open space ou un bureau privé.
Dans toutes ces choses là finalement, la première approche importante c’est d’utiliser notre bon sens. Et de se dire « Bon, qu’est ce qui peut m’arriver et quelles vont être les conséquences pour mes clients, quelles vont être les conséquences pour mes partenaires si ces risques là venaient à se matérialiser ? »
Le point de départ de la démarche : évaluer les risques
Voilà donc la démarche en fait, elle commence finalement par un audit des risques, en quelque sorte.
Tout à fait. La démarche commence par une réflexion personnelle de chaque entrepreneur qui se dit clairement : il faut que je sois responsable sur ce que les gens me confient parce que le poids de la vie privée de quelqu’un, ce n’est pas à prendre à la légère.
Et aussi, et ça, c’est vraiment très important, se dire que les risques et les menaces, on ne pourra pas les exploiter au maximum. Et là, je reviens un peu sur le domaine du numérique et du Web.
On a tellement de données qui sont interconnectées que moi, professionnel, je peux laisser fuiter une donnée qui me semble complètement anodine sur une personne. Pour autant, le pirate en face, ça peut être justement la pièce du puzzle qui manquait pour lui permettre de reconstituer un gros puzzle sur la personne.
Donc moi, je me dis en fait « C’est anodin, ça c’est pas très important, je n’ai pas besoin de le protéger »… Ben en fait si, parce que je ne sais pas du tout qui va récupérer cette pièce là, d’une part, et d’autre part, et ça aussi c’est une des parties qui me passionnent le plus dans mon travail, c’est que quand on protège la vie privée, finalement, on protège les secrets des gens.
Et donc, si c’est un secret, nous non plus, on ne sait pas que ça valait la peine d’être protégé.
Donc, on peut se retrouver, par exemple, avec quelqu’un qui, à une époque, avait une vie, qui était marié, qui avait certaines pratiques et qui était dans un courant de pensées, puis qui a totalement changé.
Et donc, si nous, on l’a rencontré à un moment A de sa vie, peut être que quand il sera dans son moment B, eh bien il n’aura plus du tout envie qu’on sache qu’il a été marié un jour. Cette information, nous, elle nous semble anodine dans notre formulaire de recueil des données. Sauf que si c’est à cause de nous que dans dix ans, cette personne-là a sa vie détruite parce que personne ne savait qu’il avait été marié, ce n’est pas à nous de le révéler.
Donc en fait c’est aussi ça, se dire qu’on protège les secrets. On ne sait pas ce qui est secret et on ne sait pas ce que les gens ont envie de cacher.
Et vraiment dans les grosses affaires de fuites sur Internet, c’est souvent des choses abracadabrantes comme ça de la vie privée des gens. Par exemple, des fuites d’informations sur des sites p*rnos, ça peut donner des choses dramatiques dans la vie des gens. En fait, c’est tout ça qu’on essaye de protéger parce que sur Internet, on donne tellement de choses que finalement, on ne peut pas savoir ce qui est secret et ce qui ne l’est pas.
Et ce n’est pas à nous, en tant que professionnel, de déterminer pour les autres ce qui vaut la peine d’être protégé.
Attention à l’altération ou à la perte des données
Et du coup, ça me fait penser à une problématique. C’est que dans la sécurité des données, je pense qu’il y a aussi cette notion de modification, éventuellement, mais surtout de suppression des données.
Tout à fait, quand on parle de sécurité des données et de la vie privée, en fait, on va parler de trois risques différents :
- La confidentialité. Celui auquel on pense tous : une donnée privée, elle doit rester privée.
- L’intégrité. J’ai rentré une donnée AB. Il faut qu’elle soit AB, pas A’B ou AB’. Il faut que ce qui est donné, ce soit la vérité. Parce que par exemple, un nutritionniste qui se retrouve avec des données modifiées pour quelqu’un qui a le diabète : quelqu’un derrière est passé, a modifié la fiche et du coup, l’ordonnance qui va avec, les conseils qui vont avec sont dramatiques, parce que pour un diabétique si on lui donne un régime de quelqu’un qui n’est pas diabétique, c’est un problème. Donc voilà, l’intégrité aussi est très importante.
- La disponibilité. La disponibilité pour un consultant RH, par exemple, qui perdrait des fiches de paye ou des documents officiels légaux qui ne doivent pas être supprimés, c’est un vrai problème aussi pour un professionnel qui verrait ses données disparaître.
Donc, ce sont vraiment ces trois choses à chaque fois, pour chaque donnée, chaque traitement de données personnelles. Donc à chaque fois qu’on gère une donnée personnelle, il faut se dire : qu’est-ce que j’ai mis en place pour assurer la confidentialité, l’intégrité et la disponibilité ?
Les enjeux du droit de consultation / rectification / suppression des données
Du coup, là, tu as pris sous l’angle « disponibilité » donc on va penser à toutes les solutions, ne serait-ce qu’une sauvegarde, le truc super basique, mais auquel on pense souvent quand on a eu des problèmes, malheureusement.
Mais je pensais plus à l’aspect, quand on parle de politique de confidentialité, protection des données, je sais pas si je le mets dans l’ordre. On a toujours cette mention que les données peuvent être consultées, modifiées, supprimées.
Je me dis que derrière, il y a quand même quelque chose à mettre en place, ne serait-ce que penser un système, donner cette possibilité de supprimer les données… et en même temps, on a la problématique qu’on doit garder des traces de son activité, donc il y a des choses qu’on est obligé légalement de conserver.
Oui, alors là, tu rentres dans un des seuls points qui est un peu technique.
C’est qu’effectivement le RGPD a consacré de nouveaux droits et a reconsacré des droits qui existaient déjà pour les personnes physiques. Donc, on pense souvent à un droit de suppression, de rectification, etc. Tous ces droits là.
Donc ça, c’est très, très lourd parce que effectivement, il faut être en mesure d’appliquer vraiment ces droits et d’être certain qu’ils sont réellement consacrés dans notre structure. Donc il s’agit pas seulement de dire « Vous avez le droit de supprimer vos données », il faut derrière être certain, pour la suppression par exemple, que les données soient réellement supprimées, d’une façon légale et acceptable.
Parce que souvent, on est dans de la suppression de premier niveau donc les données peuvent être facilement retrouvées.
Donc voilà, c’est toutes ces problématiques-là qui sont effectivement assez lourdes et qui font qu’il faut mettre en place des procédures pour pouvoir utiliser les bons outils.
Parce que quand on a un bon outil qui fait la purge automatique, par exemple, qui supprime les données tout seul, qui nous met des alertes sur certaines choses, qui permet directement aux utilisateurs d’aller modifier eux mêmes leurs données, c’est tout un tas de choses qui nous rendent le quotidien beaucoup plus simple.
La clé pour faciliter sa protection des données personnelles
Mais pour un micro-entrepreneur, ce que je dirais surtout, c’est qu’il faut minimiser les données en fait, en avoir le moins possible, parce que moins il y en a, moins on parle de modifier.
Par exemple, demander une date de naissance, est-ce que c’est toujours utile ? Ce n’est pas utile et du coup, mieux vaut pas l’avoir et ne pas être amené à changer. Mais mieux vaut pas demander des données dont on n’a pas besoin. Parce qu’une adresse, un numéro de téléphone, il y a des choses qui changent souvent. Si on les demande pas, on ne peut pas demander de supprimer ou de les modifier. Donc, la minimisation des données est vraiment la clé.
Parce que moins on en a, moins on a besoin de supprimer, de modifier, de corriger et surtout, moins besoin de protéger.
RGPD et délais (légaux) de conservation des données
C’est intéressant, vu comme ça, parce que c’est vrai que ça me semble compliqué. J’ai tout de suite cet aspect légal, que pour mon entreprise, pour prouver que j’ai effectivement formé quelqu’un par exemple, je suis bien obligée de conserver certaines choses et il peut y avoir des éléments sensibles, comme tu le disais.
Moi, ça ne me parait pas forcément sensible là, de mon point de vue et à l’instant T. Mais à l’avenir, peut être, je ne sais pas.
C’est vrai que le premier point sur lequel il faut vraiment vraiment être clair quand on se dit qu’on veut commencer une mise en conformité RGPD, c’est les durées de prescriptions légales.
Parce que souvent, quand on commence à travailler, et ça je le vois avec les clients, quand on commence à travailler, on arrive souvent à un moment de rupture où, globalement, on se dit : « En fait, ça va pas du tout, il faudrait tout supprimer, ce serait tellement plus simple ». Et où là, c’est la folie, on a envie de tout mettre à la poubelle, mais surtout pas.
Il n’est absolument pas question de ça. Et parfois, garder les justificatifs de leur formation, garder leur fiche de paye et c’est aussi ça protéger les gens. Donc, c’est super important d’avoir cette fondation solide pour commencer le travail parce qu’il y a un effet cliquet qui se met en place naturellement, parce qu’on se rend compte qu’il va y avoir des choses à gérer et donc on a envie de tout balancer, mais non. Et puis surtout, ce n’est pas rendre service aux gens non plus.
Et puis ça, en plus, chaque professionnel va connaître les durées de prescriptions légales dans son activité. C’est souvent 3 ans, 5 ans, 10 ans. Mais c’est vraiment important de connaître ces durées-là, d’une part. Et puis, il y a aussi la possibilité et ça, c’est très important, de décider pour soi-même les durées quand les durées ne sont pas légales. Parce que ce n’est pas parce qu’il n’y a pas de durée de prescriptions légales obligatoires qu’on doit tout supprimer dans l’instant T.
Il n’y a pas d’urgence, en fait, et c’est ça qui est bien dans le fait d’avoir un système qui fonctionne où on prend en considération la protection, c’est que du coup, on peut se permettre de garder des choses et c’est pratique pour tout le monde.
Parce que le client va être content de se dire « Ah j’ai perdu tel document, je rappelle et je sais qu’il va m’être renvoyé » parce que tout n’a pas été supprimé tout de suite. C’est toute cette dynamique-là qui fait qu’une fois qu’on met en place un environnement de travail sécurisé et qu’on a mis nos procédures en place, on peut se dire par exemple, je garde les informations de tel client un an parce que j’estime que c’est à peu près dans ces délais-là que les clients reviennent vers moi d’habitude et qu’ils ont besoin de compléments, etc.
C’est rare que quelqu’un vienne vers moi après un an, donc je me dis que c’est raisonnable, je le formalise et chaque année, je fais ma purge automatique et j’enlève les données des gens au bout d’un an.
Mais il n’est absolument pas question d’entraver le travail opérationnel. Donc on ne va pas s’enlever des choses dont on a besoin pour travailler. Et puis, on ne va pas tomber dans l’illégalité en supprimant des archives qui sont absolument nécessaires.
Des solutions pour conserver les données archivées
C’est ça, parce qu’on a quand même beaucoup d’informations au niveau de l’entreprise qu’on est obligé de conserver. En général, on part sur 10 ans parce que c’est le délai le plus long. Si on se retrouve avec un contrôle et qu’il manque beaucoup d’informations, c’est un peu compliqué. C’est se mettre en difficulté.
Oui et c’est une non-conformité aussi. C’est ainsi tout aussi problématique que d’en avoir trop, il faut vraiment trouver le juste milieu. La seule chose qui est importante à dire quand même sur ce sujet des prescriptions légales, c’est que ce n’est pas parce qu’un document doit être conservé qu’il peut être conservé en base active.
Ce que je veux dire par là, c’est que je gère mon entreprise au quotidien. J’ai des données qui rentrent, des données qui sortent, etc. Tous les documents que je vais devoir conserver au titre de la prescription légale, ces documents là doivent être archivés, donc ils ne vont pas être sur mon ordinateur, sur le bureau, dans un dossier, dans ma boite mail, en attendant que le temps passe.
Ils vont être archivés dans un répertoire à part. Et si c’est des données sensibles, pourquoi pas chiffrer le répertoire-même carrément. De toute façon, les archives, on ne va pas les voir tous les 2 jours.
Ce n’est pas compliqué à mettre en place donc c’est ce genre de petites choses, dans la réflexion globale qu’il faut prendre en compte en se disant, si par exemple pour tel client, il faut que je garde mes données pendant 5 ans, mais que j’estime qu’au regard de sa vie privée, c’est quand même des choses qui peuvent être gênantes, je ne vais pas les supprimer, mais je peux les conserver chiffrées.
Me dire toutes mes archives, elles sont chiffrées, elles sont dans un répertoire qui est à part, qui est isolé de ma base active en base intermédiaire et je les conserve. Il y a cette possibilités là.
Et puis, il y a aussi le fait qu’une donnée personnelle, elle se rattache à une personne identifiée ou identifiable. Et ça, c’est la deuxième chose que je vois beaucoup chez mes clients à partir d’un certain moment du travail, c’est qu’on ne fait plus la différence entre données et données personnelles.
Tout ce qui est soumis aux RGPD , c’est une donnée personnelle, donc il y a plein de choses qui ne sont pas du tout des données personnelles et sur lesquelles on n’est pas du tout, du tout dans le même état d’esprit et dans la même réflexion, parce que ça ne concerne pas les gens.
De la même façon, si j’anonymise mes documents, que ça ne concerne plus les gens et qu’on ne peut plus remonter sur qui était la personne à la base, je peux le garder ad vitam eternam.
Donc, il y a aussi cette possibilité-là de se dire, il y a des choses que je ne veux pas perdre. Par exemple pour un thérapeute, j’ai eu tel suivi avec une personne sur lequel on a eu plein d’outils, ça a super bien fonctionné, c’était une première pour moi, je veux absolument garder la trace de cet accompagnement. Très bien. Il n’est pas question de perdre son travail, seulement s’assurer que jamais on pourra retourner à M. X ou M. Y, qui a été la personne avec qui a été fait ce travail.
Gérer la protection de la vie privée, c’est adapter l’environnement de travail
C’est vrai que ça donne des pistes de réflexion, mais on se rend compte que derrière, ça va vraiment toucher à l’organisation de l’entreprise. C’est vraiment tout un système à mettre en place, en tout cas.
Un système au niveau de la sécurité, c’est un vrai environnement de travail. C’est comme ça que même au niveau du texte, c’est pensé. C’est vraiment concevoir la sécurité dès la base du process.
Et c’est pour ça qu’une transformation, elle se fait avec du temps et elle se fait petit à petit parce qu’au fur et à mesure qu’on change d’outils, qu’on rajoute des choses, on peut les sécuriser dès la conception et donc finalement, au bout de quelques mois, quelques années, on se retrouve avec une structure qui est sécurisée depuis la conception, et donc sur lequel tous les process sont en place, ses pratiques, etc.
En micro, en fait, c’est finalement plus simple parce que souvent, on n’est pas nombreux.
Ça demande un peu de réflexion par rapport au choix des outils. Et puis, ça demande un peu d’investissement en temps pour comprendre réellement ce qui s’applique à nous, parce qu’il y a des choses qui vont être complètement disproportionnées.
Et il n’est absolument pas question de se lancer dans des chantiers qui sont incroyables et souvent un petit peu de chiffrement, un petit peu de suppression et quelques outils un peu sécurisés conforme au RGPD, ça fait très bien l’affaire.
Choisir des outils compatibles avec la sécurité
Oui, après la question des outils, elle est souvent compliquée parce que je me dis que pour une entreprise d’une certaine taille, on a d’autres problématiques. Mais on a aussi un autre budget qui fait qu’on partira beaucoup plus facilement vers des solutions qui vont être sur mesure pour les besoins de l’entreprise.
Mais une petite entreprise. Souvent, on va chercher une solution qui convient à peu près à nos besoins, à peu près à notre budget… Et du coup, ce n’est pas évident d’ajouter cette dimension RGPD/Protection des données en général.
On la voit de plus en plus parce qu’elle va être mise en avant par certains outils en disant « Nous, on est français, on est européen, donc on garantit ça ». Mais je trouve que c’est vraiment une problématique compliquée pour une petite entreprise.
C’est vrai que c’est difficile. Mon conseil, dans ce cas, c’est d’essayer de partitionner.
Si j’ai un outil pour lequel je suis consciente que la conformité RGPD est un petit peu compliquée, typiquement, j’ai un outil avec des serveurs aux Etats-Unis, j’utilise un outil américain, les bases de données, c’est compliqué. J’ai lu sur Internet que c’était plus trop possible, mais je sais plus où on en est. Et puis de toute façon je ne peux pas changer d’outil parce que je travaille avec eux et je suis engagé.
La solution, ça peut être de faire du tri en fait. De se dire OK, il y a des données qui sont déjà publiques, ce qui n’empêche rien au fait qu’il faut les protéger. Mais ce que je veux dire, c’est juste d’utiliser son bon sens.
J’ai un outil sur lequel j’ai des doutes, très bien, je ne vais pas mettre de données de santé dessus. Je vais pas mettre des données qui concernent les mineurs. Je ne vais pas mettre de numéros de sécurité sociale, si toutefois j’en avais collecté, ce qui est une très mauvaise idée.
Voilà, je vais faire en sorte d’avoir des choses sur ce logiciel pour lesquels on peut raisonnablement dire que le risque est vraiment très, très faible. Et finalement, par exemple si je suis thérapeute, les comptes-rendus, je vais les garder dans mes fichiers Word chiffrés sur mon ordinateur ou sur une box hébergée en France de façon sécurisée. Il y a toujours une solution pour pouvoir se dire : je prouve que j’ai eu ce problème et que j’ai mis en place à mon niveau, avec mes moyens, tout ce que je pouvais pour faire en sorte que les gens soient protégés.
Parce que finalement, aujourd’hui, on est vraiment dans ce paradigme là. On n’est plus, comme il y a 4 ans, dans l’idée de devoir demander l’autorisation pour faire. On ne demande plus l’autorisation. En revanche, en cas de contrôle, on va nous demander de pouvoir prouver qu’on a fait tout ce qui était en nos moyens pour que le risque résiduel pour les personnes soit faible.
Protection des données personnelles et consentement
Ça n’a rien à voir, mais c’est vrai que ça me rappelle que au départ, quand on parle de tout ça, RGPD et tout, c’est beaucoup avec cette notion de consentement aussi. Comme pour les cookies, ou pour ceux qui utilisent des solutions pour collecter des adresses mail, là, c’est une grande question quand on fait sa configuration de comment prouver qu’effectivement, on a le consentement de cette personne pour donner son adresse, et que le consentement correspond vraiment à ce qu’on fait derrière, le traitement qu’on va faire de ces données. Mais c’est un peu, pour reprendre un titre que j’ai vu chez toi : l’arbre qui cache la forêt, finalement.
C’est vrai. Le consentement, c’est très bien pour se sécuriser. A préciser une possibilité de ne pas demander le consentement : lorsque mon traitement est traditionnel et que la base légale du consentement ne s’impose pas, dans ce cas, je vais essayer de faire différemment.
Parce qu’on n’est pas obligé de toujours demander le consentement et quand on demande le consentement, il peut être retiré à tout moment. Donc, c’est un petit peu compliqué. Si je ne suis pas obligé de demander le consentement, je ne demande pas.
C’est bien pour se protéger quand on est sur quelque chose d’un peu tatillon, de compliqué, mais si on est sur quelque chose de classique et pour lequel le consentement est pas obligatoire, on demande pas.
Après, c’est vrai que c’est un peu le gros sujet quand même de la prospection commerciale. En même temps, de ma fenêtre, parfois, c’est un peu un faux sujet parce que quelqu’un qui n’aura pas donné son consentement, par exemple pour recevoir une newsletter, très concrètement, il ne va pas l’ouvrir, il ne va pas cliquer, il ne va pas passer de temps, et globalement, ça va être mauvais pour lui et mauvais pour la personne qui l’envoie.
Donc ça a changé les choses et effectivement, il faut être en mesure de prouver qu’on a fait ce qu’il fallait. Mais pour autant, ça permet je pense aussi aux personnes de recevoir ce qu’il faut et à ceux qui produisent du bon contenu, du coup, d’avoir un bon taux de délivrabilité et d’être sûr que leur email soit bien routé.
Parce que finalement, on était quand même tombé dans quelque chose où ça devenait démentiel. Le nombre d’emails qu’on reçoit et on ne sait même plus pourquoi on les reçoit, qui nous les envoie. Et du coup, pour ceux qui produisent du bon contenu et sont perdus au milieu de tout ça, ça devient compliqué d’être lu, finalement.
Inscrire à une « mailing list » sans consentement ?
Mais c’est vrai que ça, c’est quelque chose qui me surprend, que malgré tout ça, on ne peut pas dire qu’on l’ignore, surtout quand on manipule ces outils au quotidien… On ne peut pas dire que vraiment, on ne sache pas du tout.
Et pourtant, je vois encore régulièrement des mails que tu reçois comme ça, de prospection à froid, tu ne sais pas qui est cette personne, ce qu’elle veut vendre, quelqu’un qui débarque de nulle part et tu as à la fin du mail « Si vous ne voulez plus recevoir, désinscrivez vous », mais tu ne t’es jamais inscrit. Je trouve ça quand même surprenant qu’aujourd’hui, on ait encore ces démarches.
Alors il y a deux choses. La première, la conformité RGPD pour l’instant c’est un idéal, mais on ne peut pas dire qu’il y ait grand monde réellement conforme, très clairement. Ça reste encore très, très compliqué dans beaucoup de structures, d’une part.
D’autre part, pour ce qui est de ces emails. Le problème, c’est qu’en fait, assez souvent, les utilisateurs font attention à ce qu’ils font dans 95% des cas. Et le 5% des cas où tu dois inscrire sur un site parce que tu en a besoin pour telle chose, etc. Du coup, tu acceptes tous les cookies, tu mets ton adresse mail, tu cliques, tu valides le petit truc en bas, tu ne lis pas trop et voilà. Et tu fais ça rarement.
Sauf qu’en fait, tu l’a fait une fois. Et puis, dans les petits lignes, ce qu’il y avait marqué, c’est que les adresses mails pourraient être vendues aux partenaires ou communiquées à leurs partenaires commerciaux.
Et puis, les partenaires commerciaux, tu ne t’es jamais inscrite, mais ils t’envoient un mail. Bon ils sont quand même dans l’illégalité, parce que quand tu es récupères comme ça des fichiers de prospects, tu es normalement tenu de te présenter et de dire comment tu as reçu le mail, et de quelle source il provient en fait et qu’est ce que tu vas faire avec. Donc ça, on reçoit jamais ces emails-là donc ils ne sont pas 100 % conformes.
Mais c’est vrai qu’en fait, bien souvent, c’est nous-mêmes qui donnons nos adresses emails parce qu’il y a toujours ces 5% du temps où on ne fait pas attention, où on a vraiment besoin de tels fichiers, où il faut absolument qu’on se connecte sur celle-ci et où on laisse notre adresse mail et puis on ne fait pas attention en fait.
C’est pour ça que c’est aussi ça peut être aussi bien de vraiment avoir une adresse email poubelle, celle qu’on va utiliser sur les réseaux sociaux, sur le site Internet, sur tout ce qui n’est pas du personnel sérieux et qui, bien sûr, n’est pas professionnel. Mais pour pouvoir avoir cette adresse mail qui va recevoir ces choses là et qui va probablement se faire pirater beaucoup plus facilement parce qu’elle va être sur une plateforme juste comme ça et qui n’est pas forcément bien sécurisée.
Ça simplifie la vie et c’est un bon réflexe d’avoir deux adresses perso, une un peu poubelle et une sérieuse, pour les proches, les choses importantes et qui elle ne sera pas communiqué sur les réseaux sociaux et sur Internet.
Distinguer le client professionnel et le consommateur (particulier)
Et est-ce que la démarche est différente si on s’adresse à un public de particuliers ou de professionnels ?
Oui, parce que pour un public de professionnels, on va pouvoir essayer de ne plus être dans la donnée personnelle, mais du coup d’être dans le B2B. De dire que ce n’est pas une donnée personnelle puisque c’est une entreprise à qui on s’adresse. Et donc, en prospection commerciale, par exemple, les règles ne sont pas les mêmes pour du B2B et pour du B2C.
Cependant, attention, surtout pour des micro-entrepreneurs, c’est quand même très rare qu’on puisse dire qu’on est dans du B2B pur.
Surtout maintenant, avec une nouvelle approche de prospection. On est quand même beaucoup dans l’approche personnelle, où on contacte les gens sur LinkedIn, on se fait une communauté. Donc on parle avec les gens. C’est pour ça qu’effectivement, c’est tout à fait possible de travailler en essayant de se dire je tombe pas dans ma prospection commerciale sous le coup du RGPD, parce que moi, je ne fais que du B2B. Et ça, on le lit sur Internet. Il y a des gens qui le font.
Personnellement, je ne le conseille pas, parce que je pense que ça apporte rien. Parce que ce n’est plus du tout dans l’air du temps, sur la façon dont on fait la prospection, d’une part, et que, d’autre part, ce n’est pas si compliqué de respecter les gens. Et finalement, c’est tout ce qu’on demande.
Un prospect qui n’a pas envie d’être contacté, il n’a pas envie d’être contacté, donc ne le contactons pas. Ça sert à rien de dire que c’était du B2B, donc que c’était plus simple.
Mais c’est vrai qu’il y a certaines personnes qui ont cette approche-là. Personnellement, ce n’est pas la mienne. Et effectivement, il y a une différence. Si on est entre professionnels, on peut se permettre plus de choses que quand c’est un professionnel qui va vers quelqu’un qui est contacté au titre de sa vie privée.
Professionnel ou particulier, une frontière de plus en plus mince
Mais c’est vrai que la limite aujourd’hui est de plus en plus mince. Parce que autant il y a quelques années, pour créer son entreprise, même si on avait toujours l’entreprise individuelle, c’était quand même autre chose qu’aujourd’hui où on décide comme ça de lancer une micro-entreprise. Et on fait beaucoup moins la différence du coup entre la personne en tant qu’individu particulier et son entreprise. C’est tellement lié, que ce soit au niveau de l’activité, du fonctionnement, de la communication encore plus.
Oui, c’est complètement interconnecté du coup effectivement pour moi, c’est un peu utopique d’essayer de faire la différence. Et puis, c’est risqué d’un point de vue juridique parce que finalement, on va se retrouver à devoir décider… Ce sont vraiment deux points qui seront valables en fait, de dire c’était du B2B donc du coup, j’avais le droit de faire certaines choses et la personne en face qui dit « Oui mais moi à partir du moment où il y a mon nom, mon prénom et des choses qui ont attrait à ma vie perso… », c’est compliqué.
Surtout qu’aujourd’hui, il y a des numéros de téléphone qui sont pro et perso, il y a des adresses mail qui sont pro et perso. Il y a des adresses mail pro qui ne finissent pas avec un nom de domaine professionnel, qui sont des adresses Gmail, etc. C’est compliqué de savoir à qui on s’adresse et au titre de quoi on s’adresse.
Oui, ça, c’est quelque chose que je vois même dans la gestion. Tu es en micro-entreprise, tu ne peux pas déduire tes charges, tu vas acheter quelque chose.
Est-ce que tu vas l’acheter en tant que particulier ou professionnel, en sachant que derrière, ça revient au même pour toi ? Voilà, c’est difficile de dire derrière « Ah non, non, c’est un professionnel ». La personne s’est présentée en son nom, tu ne sais pas.
C’est ça, c’est compliqué. C’est pour ça que, à mon sens, vraiment, il vaut mieux se dire que de toute façon, même un professionnel n’a pas envie d’être embêté. Et même un professionnel doit être protégé.
Donc, qui peut le plus peut le moins. Si tout est mis en place pour gérer les relations avec des personnes, des personnes physiques privées, ça roulera sans aucun souci pour les entreprises, alors que la réciproque n’est pas vraie.
Les points de vigilance essentiels sur son site web
On voit qu’il y a beaucoup de points de vigilance. Tiens, je pense au site Internet. Est-ce que tu pourrais nous dire vraiment les points qui sont absolument indispensables quand on crée un site Internet, surtout quand on le crée soi-même, qu’on fait avec les moyens du bord, vraiment, en termes de protection des données, ce qui est indispensable.
En termes de protection des données, le premier point, j’enfonce un peu la porte ouverte mais c’est les cookies.
Savoir quels sont les cookies qui sont sur votre site, ça, c’est vraiment quelque chose. Je me suis rendu compte que ce n’était pas toujours évident, surtout pour ceux comme tu dis qui créent leur site tout seul, de savoir si j’utilise des cookies et de comprendre ce que c’est, de comprendre ce qu’il y a.
Mais donc vraiment savoir quels sont les cookies que vous l’utilisez, et puis avoir un bandeau cookies aux normes qui mette bien au même niveau « tout accepter » et « tout refuser ». C’est un peu comme ça pour vous de savoir si le bandeau de cookies choisi est bien. Est-ce que l’utilisateur peut tout refuser et tout accepter avec la même facilité, et est-ce qu’il a le choix entre les différentes catégories de cookies.
Ça va vraiment être le premier point et c’est celui que je mentionne parce qu’en fait, c’est celui que tout professionnel de la protection des données voit au premier coup d’œil en arrivant sur le site web. Et du coup, ça peut être vu au premier coup d’œil aussi par les contrôleurs, parce que c’est ce qu’on montre depuis l’extérieur. Donc, ce n’est pas le plus intéressant, mais c’est presque le plus simple. Et puis avoir la possibilité de changer d’avis sur les cookies à tout moment de la navigation.
Le deuxième point, c’est ce qui concerne les formulaires de contact.
À partir du moment où vous avez un formulaire de contact, vraiment questionner, en fait, ce que vous allez demander : est-ce que vous avez besoin d’un nom, d’un prénom, d’une adresse, d’une adresse mail, d’un numéro de téléphone ? De quoi vous avez besoin en fait ?
Ne demander que ce dont vous avez besoin et bien expliquer en dessous ce que vous allez faire des informations, pourquoi vous les collectez, combien de temps vous allez les conserver… Quels sont les droits des personnes vis-à-vis de ces informations…
Et aussi, vous devriez les informer qu’elles peuvent faire appel à la CNIL si elles ne sont pas contentes. Et puis surtout, respectez ce que vous avez écrit dans ces mentions d’information.
Derrière, si vous dites je conserve 30 jours, au bout de 30 jours, il faut que ce soit vraiment supprimé. Donc, ce formulaire de contact, il ne faut pas le prendre à la légère parce que finalement, c’est la première porte d’entrée pour que les gens confient leurs données donc être sûr de ce qu’on fait avec et que ce soit réel.
Après, une politique de confidentialité, c’est aussi très bien parce que ça peut vous permettre d’être au clair sur ce que vous avez comme traitement de données. Et finalement, c’est aussi le fait de constituer sa politique de confidentialité. C’est un bon moment, pour se dire : je cartographie mes traitements. Je mets tout à plat, je regarde ce que j’ai et puis j’explique comment je gère telle et telle chose.
Et donc, c’est bien déjà pour soi, pour être sûr que le travail est fait et vérifier que tout est en règle.
Et puis, c’est bien aussi parce que ça rassure les clients, ça rassure les partenaires et ça montre une vraie maîtrise et une vraie gestion. Avec encore le même bémol : si vous l’écrivez, il faut que vous le fassiez. Ça, c’est vraiment avant d’écrire, il faut s’assurer que ce soit quand même le reflet de la vérité.
Donc, ce sont vraiment les points les plus importants. Après, sur un site marchand, là, bien sûr, ça va être de choisir les applications qui sont conformes en termes de RGPD, mais surtout surtout en termes de sécurité.
Sur un site marchand, on est vraiment sur un autre niveau d’enjeux, parce qu’on va avoir des données bancaires, des données de facturation, des choses qui peuvent avoir des enjeux financiers, et l’enjeu financier c’est probablement ce qui va pousser les gens au contentieux le plus rapidement.
Parce que finalement, quelqu’un qui va voir ses données personnelles fuiter sur Internet, il y a des choses qui vont passer, mais des données bancaires, c’est sûr tout autant qu’on est, qu’on va être beaucoup plus enclin à aller au contentieux pour des données bancaires que pour une date de naissance d’un enfant ou quelque chose comme ça.
Et c’est aussi ce qu’il faut avoir en tête quand on a un site marchand, c’est que clairement, le client mettra pas beaucoup de temps à se retourner, à utiliser tous les moyens légaux qu’il a à sa disposition s’il y a quelque chose qui ne va pas. Il ne sera pas à l’écoute du pourquoi du comment.
Ce sont vraiment les enjeux principaux.
Mais de toute façon, un site Internet, bien souvent, il sera la vitrine de ce qui se passe réellement dans la structure. Et il faut qu’il soit la vitrine de ce qui se passe réellement dans la structure.
Mais donc, effectivement, avoir un beau site Internet et des choses qui sont bien, c’est super. Mais c’est vraiment important de prendre ça dans une démarche globale, de se dire il faut que ce que je fais dans mon quotidien soit en règle avec ce que j’ai noté et souvent, vraiment, souvent, ça se voit.
En fait, quelqu’un qui est encore dans son cheminement ou qui n’a pas trop de temps, il y a quelque chose qui ne va pas aller sur le site parce qu’en fait, il n’est pas allé au bout de la démarche et du coup on se rend compte que pas, ce n’est pas cohérent.
Ce n’est pas tout à fait cohérent d’un point de vue la protection de la vie privée. Donc vraiment souvent, il y a ce pendant entre le niveau de maturité réel de la structure et ce qu’on peut en voir depuis l’extérieur sur le site Internet.
L’intérêt d’externaliser les solutions de traitement de données
Alors, tu parles des sites marchands. Et justement, avec la question des outils, c’est vrai que je me rappelle que quand j’ai fait mon site, c’est une question que tu te poses, t’as besoin de recevoir des paiements, par quels outils, tu commences à chercher les solutions qui existent.
Tu découvres tout ça et je me rappelle m’être dit que pour tout ça, c’était beaucoup plus simple, ne serait-ce qu’en termes de sécurité, de passer par un outil extérieur.
Et ça, je pense que c’est vraiment une question à prendre en compte au niveau d’une petite entreprise, parce que parfois, ça sera moins cher de faire directement sur son site, mais on devient vraiment le responsable, pas seulement au niveau légal, mais vraiment, on gère des données qui sont hyper sensibles.
Oui, tout à fait. Et cette question là, elle va se poser dans le choix des outils, mais à tous niveaux et même sur des grands groupes. C’est une vraie question est-ce que j’ai externalise ou pas ?
Et donc, il y a plein de choses à prendre en compte dans cette question-là. Mais du point de vue de la protection de la vie privée, la question qu’il faut se poser, c’est est-ce que j’ai les compétences d’assumer la responsabilité qui va avec et d’être certain de la sécurité ?
Si la réponse est non, dans ce cas, autant externaliser parce que parce qu’on ne peut pas être compétent sur tout, et c’est très bien de pouvoir faire appel à des outils qui, eux, sont compétents et de se décharger du poids psychologique, de la charge de travail de toutes ces choses-là.
Il y a des outils qui sont très bien, donc vraiment en termes de sécurité, mais pas qu’informatique, en termes de sécurité tout court, il faut être très au fait de ses compétences et très objectif sur ses compétences, et parce que les compétences de sécurité parfois on ne les a pas. Et puis, si on ne les a pas, c’est pas grave, il faut juste demander à quelqu’un qui les a.
Surtout quand on voit que juste le site web qui n’a absolument rien en collecte de données hors données statistiques, la base avec les cookies, ça demande déjà une certaine maintenance, ne serait-ce que pour assurer la sécurité de son propre site, donc voire avec avec les données derrière et on n’a pas forcément les moyens au niveau technique.
Ou alors de payer quelqu’un pour le faire pour assurer toute cette maintenance et même ça, si on n’a pas les capacités de le faire, qu’on ne connait pas du tout, c’est difficile même de superviser, d’avoir un regard sur ce qui est vraiment fait, parce que c’est bien de déléguer, mais on reste le responsable, donc il faut savoir ce qui est vraiment fait.
C’est vrai que c’est une question qui revient je trouve assez peu, finalement, dans le choix des outils, de se demander derrière mais qu’est-ce qu’on peut vraiment assumer au quotidien ?
Mais c’est vrai que pourtant, c’est une question qui est centrale, même au-delà de la protection des données, en tant qu’entrepreneur. Qu’est-ce que je garde en tout, comptabilité, facturation ? Qu’est-ce que je garde et qu’est-ce que je fais faire ? Oui, parce que tous les domaines sont techniques.
Moi, je vois, je connais mon domaine, mais pour tout le reste, je connais pas et je suis ravie quand quelqu’un peut le faire pour moi. On ne peut pas tout connaître, c’est impossible.
Où trouver des informations fiables en termes de protection de la vie privée
Après, le problème, quand justement on est dans un domaine qu’on ne connait pas, c’est qu’on ne se rend pas forcément compte de l’étendue de ce qu’on ne sait pas. Donc, on a l’impression que c’est super simple. Il suffit de mettre en place, et puis ça risque rien. Mais parce qu’on n’a pas conscience, en fait, du risque derrière.
C’est vrai qu’on peut, on ne peut passer à côté de certaines choses. Pour ce qui est de la protection des données, ce qui est certain, c’est qu’il y a vraiment deux sites incontournables qui sont le site de la CNIL et le site de l’ANSSI.
Et vraiment, je renvoie tout le monde sur ces sites parce que la CNIL a fait un effort incroyable depuis quelques années et tout est dessus. En réalité, tout est dessus.
Alors ça prend du temps. Mais, avant de faire appel à des spécialistes, de paniquer ou quoi que ce soit ou d’aller lire 25 articles de blog, vraiment, tout est sur le site de la CNIL. La seule chose qui n’y est pas finalement, c’est tout ce qui va être propre à chaque structure, et puis quelques petits points techniques. Et puis, surtout, la sensibilisation et le fait d’avoir vraiment ce souci-là et de se lancer dans la démarche.
Mais sinon, en termes d’information, c’est une mine d’or, tout est vraiment dessus et ça veut aussi dire que tout est vérifiable et que quand on travaille avec un professionnel, on peut tout à fait vérifier ce qu’il nous a dit et puis regarder si on est d’accord ou pas avec son approche, c’est sécurisant je trouve.
Après la difficulté, c’est comme quand on est dans dans le domaine juridique, même quand on n’a pas forcément toutes les informations de manière très pointue. On a quand même énormément d’informations disponibles aujourd’hui, juste sur Internet. Mais justement, ça représente tellement d’informations que c’est difficile de s’y retrouver quand on ne connait pas du tout. On sait que tout est là, mais ça semble énorme en fait.
C’est compliqué, et puis, surtout en ce qui concerne le RGPD et la mise en conformité généralement, ça n’intéresse pas.
Le risque réputationnel, un enjeu à prendre en compte
C’est vrai, mais c’est tout ce qui touche au légal d’une manière générale, on le fait par obligation, parce que voilà, il faut. Et puis, c’est un peu la peur du gendarme. Qu’est ce qu’on risque ? Pas grand chose ? Bon, c’est pas grave.
Non c’est vrai que la matière n’intéresse pas du tout, à mon grand dam. Quand je suis invitée à un diner, je parle pas trop de ce que je fais dans la vie, on me pose pas trop de questions (rire).
Moi, je trouve ça passionnant. Mais effectivement, je connais fort peu de gens comme moi. Mais oui généralement, il y a un désintérêt incroyable pour la question. Et je pense que ce désintérêt vient aussi du fait que l’on n’incarne pas assez parce qu’on ne pense pas ou pense pas à la vie privée de notre comptable, on pense pas à la vie privée de notre dernier client.
En fait, on ne met pas des gens derrière les risques potentiels, on ne met pas du concret derrière les menaces. Je pense que ça commence à arriver parce que malheureusement, il y a les hôpitaux qui se sont fait pirater.
Il y a même une dame en Allemagne qui est décédée suite à une cyberattaque, c’est horrible, mais ce sont des choses qui font prendre conscience aux professionnels que ce n’est pas juste pour les embêter et que le jour où il y a un problème, c’est un gros problème. Et que la vie numérique a de grosses conséquences dans la vie réelle en fait, mais pour l’instant, on en est encore loin de cette prise de conscience généralisée donc forcément c’est pas du tout intéressant.
Oui, parce que là, tu prends un exemple effectivement qui est marquant. Mais on se dit c’est le médical. Tout ce qui va être médical, même si c’est un tout petit problème de santé, on considère vraiment que c’est privé, que ça doit être bien sécurisé, alors que dans le quotidien, aujourd’hui, on commence à s’en rendre compte parce que ne serait ce qu’avec les cartes de fidélité des choses comme ça, on se rend compte que tout est tracé. Donc là, ça fait son chemin.
Mais sinon, on se dit un acte d’achat, c’est quelque chose de banal. On se rend pas compte, c’est relativement anodin. Donc le problème derrière, c’est qu’on se sent toujours pas concerné parce qu’on se dit oui, mais moi, c’est pas sensible ce que je fais.
C’est vrai et puis, je pense qu’on on réfléchit pas forcément aussi assez au risque réputationnel. Parce qu’en fait pour une structure qui est piratée et quand ça se sait d’un point de vue public ou qui est sanctionnée par la CNIL et que ça se sait, les retombées commerciales sont énormes. Parce qu’on fonctionne de plus en plus en ligne.
Il y a un site de chaussures assez connu qui s’est fait pirater il y a quelques mois, suite à quoi les comptes bancaires des personnes qui avaient commandé ont été piratés, bon ben les retombées économiques sont énormes parce que les gens vont aller commander ailleurs finalement et puis l’offre est tellement énorme que c’est vrai qu’on pense souvent aux gendarmes, et on ne pense pas assez à nos clients qui ne nous pardonnerons pas.
La protection des données personnelles, un enjeu d’avenir à ne pas rater
Le risque zéro n’existe pas dans le monde du digital, ça, c’est vraiment important de le souligner.
Et au rythme où ça va globalement, toutes les structures doivent se préparer à être attaquées. Pas espérer que ça n’arrive pas, juste être prêt pour le jour où ça va arriver. C’est comme habiter en zone inondable, si on sait ce qu’il faut faire, c’est beaucoup mieux que si on fait comme si ça n’arrivait pas et que ça nous arriverait pas.
Et puis, en fait, la sécurité c’est comme les ceintures de sécurité dans la voiture. Quand j’étais petite, tout le monde trouvait ça embêtant. C’était le nouveau truc, c’était pas intéressant. C’était contraignant. Aujourd’hui, ça ne viendrait plus à l’idée de personne de conduire sans ceinture sécurité.
Et puis, dans quelques années, il y a plein de choses au niveau des mots de passe, de sécurisation, des choses qu’on demande aujourd’hui et qui semblent un peu tirées par les cheveux, et puis, tout le monde le fera dans 10 ans. Et puis, ça semblera complètement incroyable de ne pas s’y être mis, donc autant être dans les premiers à le faire, parce que ça reste un avantage comparatif.
C’est vrai. Mais c’est vrai qu’au niveau d’une petite entreprise, on ne se rend pas forcément compte de tous ces changements. Enfin, je dis petite entreprise, mais une grosse, c’est pas forcément mieux. Parce que la structure est tellement lourde que c’est encore plus compliqué de mettre en œuvre le changement. On a ce regard extérieur où on voit les changements passer, mais on se rend pas vraiment compte, en fait, qu’on est aussi acteurs du changement et que ça peut être un virage à ne pas louper, en fait, comme le passage au numérique.
Oui, ben oui, c’est tout à fait ça. Et je rajouterai juste qu’il ne faut pas avoir peur de se servir de son bon sens.
Vraiment, parce que tout changement apporte avec lui son lot de charlatans, son lot de mythes, son lot de déformation de la réalité, etc. donc vraiment il ne faut pas avoir peur de se servir de son bon sens. Parce qu’en ce qui concerne la vie privée, on est tous concernés, donc on est tous capables de réfléchir et d’avoir des idées assez claires sur le sujet.
Et donc, si on est de bonne foi et qu’on a envie de faire un changement, globalement avec du bon sens, on va réussir à avoir quelque chose de pas trop mal, au bout du compte. Parce que oui, si c’est un marché de niche, c’est nouveau, donc, on dit des choses qui ne sont pas du tout adaptées et on oublie souvent de préciser que toute réflexion doit être proportionnelle au risque et que bien sûr, un graphiste freelance ne va pas du tout être au même niveau de risque qu’un médecin généraliste.
C’est important de le rappeler. Parce que c’est vrai que parfois, on voit des messages où ça fait paniquer, alors que bon, faut quand même rester pragmatique.
C’est ça. Il faut rester pragmatique. Globalement, quelqu’un qui arrive à mener un business qui va bien, sera capable, il aura suffisamment de connexions nerveuses pour réussir à savoir où il en est et se poser les bonnes questions. Tout est une question d’envie.
Qui est notre invitée, Emmanuelle Houdet ?
Alors pour conclure, est ce que tu peux nous présenter ton travail quotidien? Tu fais quoi? Qu’est ce que tu proposes comme service.
Alors au quotidien généralement, ce que je fais, ça va être soit de la mise en conformité, soit de la formation. Donc j’ai des clients qui sont assez diversifiés. Ça peut être des petites entreprises, des start up, des associations, des établissements recevant du public. C’est assez large.
Donc souvent, ce qu’on va commencer à faire, c’est déjà un audit pour faire un point où on en est, donc un audit RGPD et un audit sécurité aussi. Personnellement, je suis certifié ISO 27001, donc je fais aussi de l’audit ISO 27001 parce que je pense que c’est très complémentaire avec le RGPD et que c’est très important d’avoir cette base de sécurité informatique parce que sinon, on ne va pas loin.
Donc concrètement je vais chez les clients, on parle de leur process, où est-ce qu’ils en sont, de leur traitement de données, etc. Et puis, à partir de là, on regarde d’une part la documentation : est-ce qu’ils sont en règle d’un point de vue de la documentation, d’un point de vue du droit des personnes et d’autre part, le côté de sécurité informatique.
Concrètement, qu’est-ce qu’il faut mettre en place le plus rapidement possible pour que l’on puisse avoir un niveau de sécurité qui est à peu près acceptable.
Et en plus de ça, le volet sensibilisation, comment est-ce qu’on fait en sorte que la structure avance dans son organisation interne pour que les gens puissent être vraiment partie prenante du changement et comprendre et que ce ne soit pas une couche de plus qu’on rajoute. Donc, ce qui est très, très important pour moi quand je travaille avec mes clients, c’est que toutes les solutions qu’on met en place sont des solutions qui doivent être productives d’un point de vue opérationnel.
Donc, clairement, je ne fais aucun sacrifice sur la sécurité. Ça, c’est une de mes bases, je n’accepte pas de clients qui sont là pour se mettre en conformité sans avoir le niveau de sécurité nécessaire parce que je pense que ce n’est pas une façon de faire qui est durable, mais pour autant, je pense qu’une mesure qui ne sera pas productive d’un point de vue opérationnel ne tiendra pas. Donc, même si elle a l’air sympa d’un point de vue sécurité, si ça ne fait pas gagner du temps, ça ne tiendra pas.
Donc, il y a un vrai travail en fait de créativité avec les équipes, en leur disant OK : votre problème est là, mon exigence est là. Il faut que la solution à mon exigence soit aussi la solution à votre problème.
Donc, parfois, on est sur des choses qui sont un peu… pas conventionnelles et qui changent, etc. Mais c’est aussi ce qui est super intéressant, ce qui est passionnant. Et c’est aussi une des seules raisons pour lesquelles les équipes adhèrent. Parce que sinon, bien entendu, tu t’imagines qu’en arrivant dans une entreprise quand tu es le consultant RGPD, on ne te tient pas la porte, quoi !
Ce n’est pas l’amour fou… Mais bon généralement à la fin de l’accompagnement, c’est mieux qu’au début, donc c’est que ça ne fonctionne pas trop mal. Donc, il y a ce volet-là et puis après un volet formation simplement, formation de RSSI (responsable de la sécurité des systèmes d’information), formation de personnes qui doivent être DPO (délégué à la protection des données) ou soutien de personnes qui doivent être DPO pour pouvoir les équiper sur ce sujet là.
Et puis, peut être à terme, être DPO d’une ou plusieurs structures. Pour l’instant, je n’ai pas ouvert ce service encore parce que j’aime bien découvrir plein de choses. Ça fait un an que j’ai ouvert mon entreprise donc c’est assez récent et du coup, je voulais vraiment, sur les premières années, avoir le plus d’expériences différentes avant de vraiment me poser avec une structure.
Mais à terme, c’est aussi quelque chose que je ferai parce que c’est chouette de pouvoir avoir des liens dans le temps avec eux, avec une structure, puisque forcément, même là aujourd’hui, au bout d’un an de travail, les clients avec lesquels je travaille depuis longtemps se disent pourquoi pas, ça peut être intéressant aussi de rester sur un rythme de travail ou continuer à collaborer sur du long terme.
Donc c’est à peu près ça ce que je fais au quotidien, c’est vrai que, par contre, le volet conformité de site Internet, c’est quelque chose que je ne fais pas trop parce que c’est assez technique et je ne suis pas développeuse. Je suis assez sollicitée pour ça mais en fait, il y a des choses à côté desquelles j’ai peur de passer. Donc la partie documentation oui mais la partie back office derrière, c’est pas quelque chose que je propose pour l’instant.
Pour retrouver Emmanuelle Houdet :
- Sur LinkedIn : https://fr.linkedin.com/in/emmanuelle-houdet-ab20a411a
- Son site Internet : https://www.dataprotec.fr/