Avant même l’entrée en vigueur du RGPD, EasyVista était sensibilisé à la gestion des données personnelles, notamment pour le compte de ses clients. En effet nous sommes audités chaque année depuis 2017 par un organisme qui valide notre conformité par rapport aux exigences de l’audit SSAE 18 – SOC2. Il permet une vérification de l’implémentation de processus liés à la sécurité de l’information de nos clients, notamment des données personnelles des utilisateurs.
Le RGPD a ajouté de nouvelles obligations et de nouvelles exigences. Nous avons donc lancé un chantier RGPD pour toute l’entreprise. Nous nous sommes projetés sur trois perspectives pour la mise en conformité, étant à la fois employeur, client et fournisseur. Sur chacun de ces axes, le premier défi a été de définir les priorités pour élaborer des plans d’actions. En outre, EasyVista étant implanté dans six pays européens, et l’Amérique du Nord (Canada et Etats-Unis), nous avons dû intégrer dès le départ une dimension internationale. De plus, il n’existe aucune solution clé en main pour la mise en conformité.
Nous avons été accompagnés au départ par une avocate spécialisée pour les entreprises IT et nous nous sommes appuyés sur les supports mis à disposition par la CNIL. L’autorité de contrôle propose des articles répondant aux questions essentielles que l’on peut se poser au sujet du RGPD, mais aussi un référentiel de documents de bonnes pratiques, et des modèles de documents (registre de traitement, analyse d’impact). Les premières priorités (2018) Un groupe de travail a été constitué dès le mois d’Avril 2018 réunissant des compétences complémentaires : le RSSI dédié aux architectures clients SaaS, le Directeur Administratif et Financier, une avocate spécialisée en droit des NTIC ainsi qu’un Data Gouvernance Manager recruté notamment pour ce projet.
Recueillir le consentement
Nos premières priorités ont été le marketing, les contrats des clients existants et les données personnelles de nos collaborateurs. Concernant le marketing, les données personnelles de prospects sont récoltées via des formulaires sur notre site internet public, ou via l’inscription à des évènements (salons informatiques) auxquels EasyVista participe. Nous avons apporté les modifications nécessaires pour mettre en conformité nos supports de collecte de données, c’est-à-dire recueillir le consentement des visiteurs de notre site, préciser la finalité du traitement des données et vérifier les durées de conservation. Cette mise en conformité a nécessité un travail conjoint avec le marketing groupe, et a conduit à une refonte significative de nos méthodes e-marketing.
Pour en savoir plus, TECH IN France publie un Livre Blanc baptisé Conformité RGPD : Quand les éditeurs deviennent prescripteurs de bonnes pratiques
Nous avons également adapté et mis en ligne notre Politique sur les données à caractère personnel. Tout comme le respect de la vie privée, qui concerne les données collectées dans le cadre des ventes et du marketing. Je pense également à la livraison du logiciel, la réalisation des services associés et à la gestion administrative.
Concernant les contrats des clients existants, certains se sont rapprochés de nous pour veiller à la bonne application de l’article 28 du RGPD par EasyVista en tant que sous-traitant. Cela s’est traduit par la signature conjointe d’un DPA (Data Privacy Agreement, Accord sur la Confidentialité des Données). Celui-ci a été annexé au contrat principal pour une quarantaine de clients. Dans ce document, nous rappelons les obligations de chaque partie. Notamment par rapport aux mesures techniques et organisationnelles à prendre. Mais également à la notification aux autorités en cas de violation de données personnelles et aux droits d’une personne physique (Articles 16 à 20 du RGPD).
Un chantier permanent
Les données personnelles de nos collaborateurs ont fait l’objet d’une attention particulière. La société détient des informations liées à la famille du collaborateur. Je pense à son numéro d’identification national, ses fiches de paye, son adresse. Nous avons donc émis d’une note à tous les salariés. Elle visait à rappeler les obligations de la société vis-à-vis de leurs données personnelles. Les registres de traitement des applications informatiques et autres supports ont été rédigés. Ces derniers sont accessibles par les salariés sur demande. Il leur est aussi rappelé qu’ils s’engagent à respecter la Charte IT de l’entreprise. Ella aborder la sécurité et les bonnes pratiques à mettre en œuvre au quotidien. Comme prévu au règlement, nous avons formalisé une formation de sensibilisation à la sécurité informatique.
Même après avoir traité ces premières priorités, il demeure un travail continu à effectuer. Nous traitons régulièrement des demandes de signature d’annexes RGPD provenant de nos clients et prospects français et d’autres pays. En plus de ces annexes, les prospects ont des questions toujours plus approfondies et demandent des preuves détaillées. Le travail effectué pour remplir les réponses aux appels d’offre est minutieux et peut mobiliser des collaborateurs de plusieurs services.
Il en est de même des clients existants, lorsqu’il s’agit de renouveler ou modifier un contrat. Nous avons renforcé notre équipe de travail par une présence juridique accrue au sein de l’entreprise en 2019. Cela a permis de centraliser toutes ces demandes. Mais aussi de libérer nos commerciaux des tâches administratives liées au RGPD. Chacun a ainsi pu se concentrer sur son propre business.
Des tests à effectuer
Pour notre système d’information interne, des tests sont à faire pour vérifier la robustesse de nos procédures de sécurité. Des tests d’intrusion sont également à prévoir. EasyVista étant implantée dans des pays hors Union Européenne, nous allons mettre en place des BCR (Binding Corporate Rules). Une vision conforme aux exigences listées à l’article 47 du RGPD. Les BCR permettent d’éviter de conclure autant de contrats qu’il existe de transferts au sein du groupe EasyVista. Mais également d’uniformiser les pratiques liées à la protection des données personnelles. Tout comme le fait de placer la protection des données au rang des préoccupations éthiques de l’ensemble du groupe.
En conclusion, la protection des données personnelles fait partie des préoccupations principales des entreprises. Et cela, au même titre que les problématiques liées à la stratégie RSE.
Olivier Robillart