Merav Griguer, Bird & Bird : « En assainissant le marché, le RGPD a un effet vertueux »

Pourquoi le RGPD constitue-t-il un des sujets les plus stratégiques à suivre en 2018 pour une entreprise ?

Avec ce nouveau règlement européen, le sujet de la protection des données à caractère personnel a été placé au plus haut rang de priorité de gestion de risque des entreprises, avec des sanctions allant jusqu'à 20 millions d'euros d'amende ou 4% du chiffre d'affaires annuel mondial d'un groupe. Le risque financier n'est pas le seul impact puisque le business même de la data est touché. En effet, offrir et vendre des services liés à la data ne pourra plus se faire sans la conformité au RGPD. Cette mise en conformité s'impose aussi aux sous-traitants. De fait, le RGPD vient rééquilibrer le régime de responsabilité entre les différents acteurs.

Les entreprises françaises sont-elles en retard sur la mise en conformité ?

S'il y a une réelle inquiétude, notamment des agences conseil en data, la plupart des acteurs ont pris à bras le corps le sujet depuis l'adoption du texte fin avril 2016 et je constate que la plupart d'entre eux sont montés en maturité. Les grandes entreprises du CAC40 ont été les premières entreprises à se mettre en conformité, et j'observe aujourd'hui une deuxième vague avec de nombreux acteurs de la data.

En quoi l'industrie publicitaire est-elle concernée au premier chef ?

Dès lors que la publicité recourt à de la data, elle est concernée. Or, la data s'est imposée comme le premier actif stratégique d'une entreprise pour mieux connaître ses segments de clients et de prospect, faire du ciblage et orchestrer au mieux les campagnes désormais omnicanales. Le RGPD est donc une grosse préoccupation pour tous les acteurs de la chaîne, des agences média, jusqu'aux sociétés de conseil spécialisées en data en passant par les agences CRM, les agences digitales, mais aussi les annonceurs et les régies publicitaires. Ces acteurs ont besoin d'expertise : c'est pourquoi par exemple, je sensibilise et forme le Syndicat des régies publicitaires internet (SRI) via la conduite de conférences et de workshops.

Le RGPD va-t-il assainir ce marché critiqué pour son opacité et la multiplicité des intermédiaires ?

Finalement, le RGPD exige une data de meilleure qualité, ce qui est positif pour le marché, tant du côté utilisateur bien sûr mais aussi du côté des acteurs collectant et exploitant la data car, en conformité et de plus grande qualité, celle-ci va prendre plus de valeur. Avec un véritable opt-in, soit un véritable engagement du consommateur, on entre vraiment dans une ère smart data, où on va désormais vendre de la qualité et de l'impact business. In fine, en obligeant les entreprises à faire un grand ménage et à améliorer leurs pratiques, le RGPD amène les acteurs de l'industrie de la donnée à plus d'efficacité, de précision et de rigueur. En assainissant le marché, le RGPD a un effet clairement vertueux. Et c'est beaucoup plus le projet ePrivacy, qui inquiète les entreprises aujourd'hui.

En quoi consiste votre mission chez Bird & Bird ?

Chez Bird & Bird, j'accompagne énormément de clients du secteur de l'e-mailing, de l'analytics, des agences médias, des régies ainsi que des annonceurs, dont notamment Orange et Essilor, deux sociétés du CAC40, sur des aspects stratégiques et de mise en conformité. La diversité de notre portefeuille client nous permet d'avoir une vision pointue de la chaîne data : outre une connaissance des pratiques du marché, nous apportons une vision du risque, une aide à la stratégie et bien sûr une approche opérationnelle sur la gestion des pratiques. Il y a beaucoup de procédures à inventer : le RGPD a amené les avocats comme nos clients à créer de nouvelles pratiques data ; c'est tout le principe de l'accountability (responsabilité), cette nouvelle notion créée par le RGPD.

Quels sont les impacts du RGPD sur l'organisation et la gestion de la data en interne ?

Le RGPD implique de changer la culture de la donnée au sein des entreprises (conformité, éthique, responsabilisation). Ensuite, il améliore concrètement les pratiques en termes de gestion de la donnée et d'intégration en interne d'une gouvernance de la donnée, avec un véritable réseau de référents qualité produit. Il faut une personne qui veille à la conformité de la data, et ce sera le Data Protection Officer. En conséquence, il est nécessaire d'engager le personnel en interne. Et cela passe par de la formation, des workshops par métier opérationnels, de la sensibilisation et du e-learning. En effet, selon l'article 37 du RGPD, désigner un Data Protection Officer est une obligation pour tous les organismes publics et pour les entreprises privées, soit parce qu'elles traitent des données sensibles comme la santé, soit lorsque les activités de base de l'entreprise exigent un suivi régulier et systématique à grande échelle des données personnelles. Et enfin, soit parce qu'il s'agit de traitements à grande échelle. Qu'est-ce qu'une donnée personnelle ? Il s'agit de toute donnée qui va permettre d'identifier une personne de manière indirecte. Sont de fait concernés les fichiers RH, client, et SAV.

Qu'est-ce qu'un DPO ?

Le Data Protection Officer est le chef d'orchestre de la conformité, et donc de la protection des données à caractère personnel. A ce titre, le DPO occupe une position hyper-stratégique. Par exemple, la DPO d'Orange - groupe télécom qui par définition gère un énorme de données - fait partie des trois femmes les plus importantes de l'entreprise groupe. Et son PDG Stéphane Richard a placé le RGPD comme une des grandes priorités d'Orange pour 2018. Chez Bird & Bird, nous accompagnons ce changement pour nos clients de grands groupes mondiaux. Chez Essilor par exemple, déjà une centaine de postes sont liés au RGPD (DPO et relais). Des sociétés tels qu'Orange et Essilor fonctionnent avec un groupe de DPO, pilotés par un DPO nommé au niveau du groupe. C'est la CNIL qui régule la règlementation RGPD, contrôle et sanctionne. Son compte Twitter épingle régulièrement des entreprises en faute (90 700 followers). Le DPO doit être accessible aux employés (données business et RH). Il faut à minima un DPO par zone géographique, voire par entité du groupe, et des référents par métier (pas forcément à temps plein), qui eux-mêmes auront d'autres relais.

Quelles connaissances et compétences requiert ce nouveau métier de DPO ?

Les DPO doivent être des spécialistes de cette règlementation sur la donnée personnelle. Or, appréhender toutes les données qui se cachent à travers le simple traitement de données personnelles pour lui donner une autre dimension n'est pas à la portée de tous. Cela oblige à une transparence dans tous les services et à une organisation efficace. Les DPO doivent aussi comprendre les enjeux politiques, économiques et humains de l'intelligence artificielle, des technologies, et de l'innovation. En conséquence, ils doivent savoir chercher l'information, alerter, auditer, contrôler, vérifier, sensibiliser, s'organiser et trouver des relais au sein de l'entreprise.

Comment ces DPO peuvent-ils être formés ?

La formation des DPO doit comporter des cours de droit mais aussi de management, d'audit, et d'économie. Par exemple, la formation avec Sciences Po est la seule à aller au-delà des aspects juridiques, en proposant la transmission de "soft skills". C'est un véritable lieu d'échanges et de réflexion en mode "think tank", avec ce fil rouge qu'est le programme. Nous y identifions les sujets bloquants, les enjeux, les problématiques, les orientations etc.

Quelle sera selon vous la plus grande difficulté pour un DPO ?

Ce sera de se faire entendre au sein de son organisation. L'art d'accompagner en douceur, intelligence et efficacité son entreprise vers la conformité. La plus grande qualité humaine d'un DPO sera de faire cet effort d'écoute pour ensuite prodiguer des conseils personnalisés selon la situation. Car c'est à chaque fois un nouveau diagnostic qu'il faudra apporter !