Pack'n Drive : se mettre en conformité avec GDPR

Le règlement général sur la protection des données entrera en application le 25 mai 2018 dans tous les pays de l’Union européenne. Si toutes les entreprises qui traitent des données à caractère personnel sont concernées - du grand groupe international à la jeune pousse locale -, nombreuses sont celles qui ne connaissent pas encore la réglementation, ne comprennent pas ce qu’elles doivent faire, ni l’impact sur leur activité de ce véritable chambardement réglementaire.

« Les implications de GDPR sont très variables d’une startup à l’autre, explique Charles Bienfait, Consultant Principal chez SG Consulting. Dans certains cas, le nouveau règlement peut remettre en question le modèle économique de l’entreprise. Dans d’autres, les enjeux sont plutôt organisationnels ou techniques. Il s’agit alors de se mettre en ordre de bataille : identifier ce qui doit être fait pour être en conformité à temps. »

Ce fut l’objet de l’atelier organisé par SG Consulting, le cabinet de conseil interne du Groupe Société Générale, le 22 septembre 2017 dans le cadre de son séminaire annuel. Consacré au GDPR, et animé par Charles Bienfait, il réunissait une dizaine de consultants et la startup Pack’n Drive, fondée en 2015 par Badri Ahmed et Clément Beaujoin, qui développe un chatbot d’assistance à la déclaration de sinistre automobile.

Qu'est-ce que GDPR ?

Le règlement européen sur la protection des données personnelles entrera en application le 25 mai 2018 dans tous les pays de l’Union européenne. Il vise, d’une part, à renforcer les droits des citoyens et à leur donner plus de contrôle sur leurs données et, d’autre part, à créer un cadre juridique unifié.
En savoir plus

« Digérer » la terminologie juridique pour la retranscrire en termes intelligibles ; expliquer ce qu’est précisément une donnée personnelle au sens du règlement… Charles Bienfait a fourni un important travail d’information et de sensibilisation en amont de cette journée, faisant bénéficier la startup des recherches déjà menées au sein du cabinet. Il a aussi cherché à comprendre les besoins de l’équipe, à analyser sa capacité d’exécution et à déterminer ce qui était réalisable en une journée. « En discutant avec Pack’n Drive, j’ai compris que leur objectif était d’être prêts à la fin du mois de décembre. Je leur ai donc proposé de tracer une feuille de route recensant les efforts à mener pour y parvenir. »

Parmi les points clés abordés : le registre des traitements, le rôle du DPO (Data Privacy Officer), l’attitude à adopter en cas de fuite de données, la gestion des relations avec les prestataires

Qu'est-ce qu'un DPO ?

Au cœur du nouveau règlement européen, le délégué à la protection des données (DPO) est un véritable « chef d’orchestre » de la conformité en matière de protection des données. Il est principalement chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
- de contrôler le respect du règlement et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’études d'impact sur la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
En savoir plus

À la fin de la journée, la startup est repartie avec une roadmap détaillée ainsi qu’une liste de recommandations portant sur les principales questions auxquelles elle pourrait être confrontée, permettant de guider son action dans les prochaines semaines. « Par exemple, concernant le registre des traitements, explique Clément Beaujoin, co-fondateur et CTO de Pack’n Drive, la stratégie que nous avons adoptée, et qui a été proposée lors du séminaire, consiste à minimiser le nombre de données personnelles traitées et à les classer en fonction de leur risque pour les droits et libertés. À partir de là, nous sommes capables de pseudonymiser ces données et, pour les plus sensibles, d’appliquer d’autres mécanismes comme le chiffrement des données. »

Clément Beaujoint porte un regard très positif sur l’atelier : « Ce que j’ai vraiment apprécié, c’est la diversité des compétences et expériences des différents consultants présents, qui a offert un apport très large sur notre problématique. » Charles Bienfait a quant à lui apprécié l’engagement de ses collègues, qui se sont véritablement emparés du sujet. « L’expérience leur a permis d’être sensibilisés à l’entreprenariat, à des méthodes agiles, et de s’aguerrir sur la thématique GDPR tout en démontrant la capacité de SG Consulting à aider d’autres entités que Société Générale, » affirme-t-il.