Pour les grands groupes, la mise en conformité au RGPD est vitale. Une condamnation de la CNIL serait désastreuse pour leur image. Et même si la condamnation ne porte que sur l’une des filiales, les amendes potentielles sont fixées en pourcentage du chiffre d’affaires de l’ensemble du groupe.
Ces sociétés doivent donc veiller à la mise en conformité effective de toutes leurs filiales mais aussi de leurs prestataires. Le texte de loi définit en effet la notion fondamentale de co responsabilité. La société mère ou société cliente, considérée comme « responsable de traitement » de données, doit offrir la garantie à la CNIL que l’ensemble des co traitants respectent le RGPD afin qu’elle-même puisse être considérée comme conforme.
Ainsi, en exigeant de ses entreprises partenaires une conformité au RGPD, le grand groupe agit en tant que relai de la CNIL dans l’application du texte. Imposer aux acteurs majeurs de l’économie française de se mettre en conformité permet ainsi d’appliquer cette transformation à tout le tissu économique du pays.
KeleyData est intervenu à plusieurs reprises dans ce contexte. Voici nos retours d’expériences.
Cas d’un prestataire de grandes entreprises
Data On Demand est une PME spécialisée dans l’acquisition et la fidélisation marketing. La donnée est donc au cœur de ses prestations. Principalement des grands groupes, ses clients lui demandent des garanties en termes de conformité au RGPD. Les exigences sont variables tant dans le contenu que dans la forme, ce qui complique souvent les réponses aux appels d’offres.
Toutefois, un grand groupe ne peut pas tout demander et exiger de son prestataire. Ce dernier peut définir les informations qu’il souhaite garder confidentielles (le nom de ses propres clients par exemple) et les processus de contrôle qu’il propose à ses clients
Les garanties de conformité sont devenues une condition obligatoire pour que le client contractualise avec son prestataire. Data On Demand doit donc répondre avec diligence et précision à ces grands groupes. Pour l’aider dans son process, KeleyData a élaboré pour la PME un DPA [1] type, et une grille descriptive de chaque type de traitement qui ont pu être validés par des avocats experts. La prise en compte des particularités de chaque client et de chaque opération en est accélérée pour la meilleure satisfaction des grands groupes et sans prise de risque légal.
Cas de filiales d’un grand groupe
Keley Data est également intervenu sur la mise en conformité au RGPD de deux filiales de RCI Bank and Services : Marcel et Yuso.
YusoFleet est un éditeur de plateforme technologique positionné comme fournisseur de solutions de mobilité, à la demande. La plateforme propose des algorithmes de pointe spécialement conçus pour la mutualisation de trajets et l’optimisation en temps réel, à destination des taxis, VTC, transport public et services de livraison. Pour Yuso, la donnée est essentielle. C’est grâce à elle que ses algorithmes peuvent fonctionner et proposer une gestion optimisée des flottes de véhicules.
Marcel est le premier service citoyen de réservation de voitures avec chauffeur pour des déplacements professionnels et personnels en Ile-de-France. La startup s’engage au quotidien pour une mobilité urbaine durable avec notamment la 1ère gamme deVTC 100 % électrique. Cette gamme offre des prix avantageux pour ses clients et rentables pour ses chauffeurs, grâce aux économies en carburant et aux frais de service parmi les plus bas du marché. Cette solution sans émissions ni pollution sonore connaît un succès croissant et devrait atteindre 500 véhicules au printemps. Pour son fonctionnement, le service utilise et traite des données personnelles et sensibles : identité, adresses, géolocalisation, coordonnées bancaires.
Pour ces deux filiales, la donnée fait partie du business plan. La mise en conformité au RGPD était donc capitale, et devait être effectuée rapidement et complètement.
De plus, Valérie Tsoutsos-Boulet, DPO du groupe RCI Bank and Services, avait mis en place et diffusé des règles communes de mise en conformité à toutes les filiales européennes du Groupe. Mais ces règles ne sont pas toujours déclinables en l’état sur des petites filiales ayant une activité spécifique telles que Marcel et Yuso. Elles peuvent générer un surcoût et des lourdeurs difficilement supportables pour de petites structures. De ce fait, tout en gardant un contrôle permanent sur le sujet, elle a choisi de laisser à ces filiales la possibilité de se mettre en conformité à leur rythme.
La DPO du Groupe a cependant suivi et validé l’ensemble des audits et des plans de contrôle, et vérifié le bon respect de la réglementation, tout au long de la mise en conformité de ces deux filiales. La mission de Keley Data s’est achevée par la participation au partage des bonnes pratiques et des bons enseignements avec toutes les filiales du Groupe.
Volontairement ou non, la menace de sanctions (jusqu’à 4% du CA mondial du groupe) pesant sur les grandes entreprises conduit ces dernières à relayer les exigences de la CNIL auprès de leurs filiales et prestataires, permettant ainsi au RGPD d’être appliqué sur l’ensemble du territoire français et européen.
Les petites structures peuvent se retrouver assez démunies face à l’avalanche des exigences, parfois déconnectées de la réalité de leur activité. Pourtant la démarche de mise en conformité peut être menée efficacement à condition d’avoir la bonne méthodologie et d’être bien guidé.
[1] DPA = Data Processing Agreement : document décrivant les règles et les modalités entourant la réalisation du traitement de données demandé au prestataire.
