Logo de Keley Consulting
Menu burger à 3 traitsCroix blanche de fermeture du menu

EXPERTISE + LIBERTÉ
= OPINIONS

EXPERTISE + LIBERTÉ
= OPINIONS

RGPD : retours d'expériences et conformité des prestataires et des filiales

Publié le
19/3/2019
|
BAUDOUIN DU BARET
|
RGPD
Temps de lecture estimé : 4 minutes
Publié le
19/3/2019
BAUDOUIN DU BARET
|
RGPD

Pour les grands groupes, la mise en conformité au RGPD est vitale. Une condamnation de la CNIL serait désastreuse pour leur image. Et même si la condamnation ne porte que sur l’une des filiales, les amendes potentielles sont fixées en pourcentage du chiffre d’affaires de l’ensemble du groupe.

 

Ces sociétés doivent donc veiller à la mise en conformité effective de toutes leurs filiales mais aussi de leurs prestataires. Le texte de loi définit en effet la notion fondamentale de co responsabilité. La société mère ou société cliente, considérée comme « responsable de traitement » de données, doit offrir la garantie à la CNIL que l’ensemble des co traitants respectent le RGPD afin qu’elle-même puisse être considérée comme conforme.

Ainsi, en exigeant de ses entreprises partenaires une conformité au RGPD, le grand groupe agit en tant que relai de la CNIL dans l’application du texte. Imposer aux acteurs majeurs de l’économie française de se mettre en conformité permet ainsi d’appliquer cette transformation à tout le tissu économique du pays.

KeleyData est intervenu à plusieurs reprises dans ce contexte. Voici nos retours d’expériences.

Cas d’un prestataire de grandes entreprises

Image Data Processing Agreement

Data On Demand est une PME spécialisée dans l’acquisition et la fidélisation marketing. La donnée est donc au cœur de ses prestations. Principalement des grands groupes, ses clients lui demandent des garanties en termes de conformité au RGPD. Les exigences sont variables tant dans le contenu que dans la forme, ce qui complique souvent les réponses aux appels d’offres.

Toutefois, un grand groupe ne peut pas tout demander et exiger de son prestataire. Ce dernier peut définir les informations qu’il souhaite garder confidentielles (le nom de ses propres clients par exemple) et les processus de contrôle qu’il propose à ses clients

Les garanties de conformité sont devenues une condition obligatoire pour que le client contractualise avec son prestataire. Data On Demand doit donc répondre avec diligence et précision à ces grands groupes. Pour l’aider dans son process, KeleyData a élaboré pour la PME un DPA [1] type, et une grille descriptive de chaque type de traitement qui ont pu être validés par des avocats experts. La prise en compte des particularités de chaque client et de chaque opération en est accélérée pour la meilleure satisfaction des grands groupes et sans prise de risque légal.

 

Cas de filiales d’un grand groupe

Keley Data est également intervenu sur la mise en conformité au RGPD de deux filiales de RCI Bank and Services : Marcel et Yuso.

YusoFleet est un éditeur de plateforme technologique positionné comme fournisseur de solutions de mobilité, à la demande. La plateforme propose des algorithmes de pointe spécialement conçus pour la mutualisation de trajets et l’optimisation en temps réel, à destination des taxis, VTC, transport public et services de livraison. Pour Yuso, la donnée est essentielle. C’est grâce à elle que ses algorithmes peuvent fonctionner et proposer une gestion optimisée des flottes de véhicules.

Image de la Homepage de Yusofleet
Homepage YusoFleet

Marcel est le premier service citoyen de réservation de voitures avec chauffeur pour des déplacements professionnels et personnels en Ile-de-France. La startup s’engage au quotidien pour une mobilité urbaine durable avec notamment la 1ère gamme deVTC 100 % électrique. Cette gamme offre des prix avantageux pour ses clients et rentables pour ses chauffeurs, grâce aux économies en carburant et aux frais de service parmi les plus bas du marché. Cette solution sans émissions ni pollution sonore connaît un succès croissant et devrait atteindre 500 véhicules au printemps. Pour son fonctionnement, le service utilise et traite des données personnelles et sensibles : identité, adresses, géolocalisation, coordonnées bancaires.

Image de la page de la politique de confidentialité Marcel
Page de politique des données personnelles de la startup Marcel

Pour ces deux filiales, la donnée fait partie du business plan. La mise en conformité au RGPD était donc capitale, et devait être effectuée rapidement et complètement.

De plus, Valérie Tsoutsos-Boulet, DPO du groupe RCI Bank and Services, avait mis en place et diffusé des règles communes de mise en conformité à toutes les filiales européennes du Groupe. Mais ces règles ne sont pas toujours déclinables en l’état sur des petites filiales ayant une activité spécifique telles que Marcel et Yuso. Elles peuvent générer un surcoût et des lourdeurs difficilement supportables pour de petites structures. De ce fait, tout en gardant un contrôle permanent sur le sujet, elle a choisi de laisser à ces filiales la possibilité de se mettre en conformité à leur rythme.

La DPO du Groupe a cependant suivi et validé l’ensemble des audits et des plans de contrôle, et vérifié le bon respect de la réglementation, tout au long de la mise en conformité de ces deux filiales. La mission de Keley Data s’est achevée par la participation au partage des bonnes pratiques et des bons enseignements avec toutes les filiales du Groupe.

 

Volontairement ou non, la menace de sanctions (jusqu’à 4% du CA mondial du groupe) pesant sur les grandes entreprises conduit ces dernières à relayer les exigences de la CNIL auprès de leurs filiales et prestataires, permettant ainsi au RGPD d’être appliqué sur l’ensemble du territoire français et européen.

Les petites structures peuvent se retrouver assez démunies face à l’avalanche des exigences, parfois déconnectées de la réalité de leur activité. Pourtant la démarche de mise en conformité peut être menée efficacement à condition d’avoir la bonne méthodologie et d’être bien guidé.

 

 

[1] DPA = Data Processing Agreement : document décrivant les règles et les modalités entourant la réalisation du traitement de données demandé au prestataire.

Photo de l'auteur de l'article
BAUDOUIN DU BARET

Consultant chez Keley Data

Passionné par la stratégie digitale et la valorisation de la Data, Baudouin a notamment travaillé pour Système U, La Poste, Optic 2000 ou encore des start-ups comme Marcel et Sendinblue.

Consultant chez Keley Data

Passionné par la stratégie digitale et la valorisation de la Data, Baudouin a notamment travaillé pour Système U, La Poste, Optic 2000 ou encore des start-ups comme Marcel et Sendinblue.

Partager cet article :

Vous avez un projet digital ? Nous pouvons vous aider à définir et concrétiser rapidement votre stratégie.

Contactez-nous

Commentaires

Inscrivez-vous à La newsletter keley

Recevez tous les mois nos paroles d'experts et l'actualité du digital dans notre newsletter.

Merci ! Votre inscription a bien été envoyée.
Désolé ! Votre inscription n'a pu être envoyée.