Interview : Bénédicte Gimonet et le RGPD

Bénédicte Gimonet est chef de projet transverse chez Océane Consulting depuis maintenant trois ans. Elle fait partie d’Océane Consulting Conseil Services, la filiale qui gère les parties Conseil et Expertise Métier (AMOA, RGPD) au sein du groupe.

Depuis plusieurs mois, Bénédicte Gimonet développe une offre afin d’accompagner les entreprises dans leur mise en conformité au nouveau Règlement Général pour la Protection des Données.

Nous sommes revenus sur son parcours à l’occasion de notre deuxième interview « Portrait & expertise » :

 

Peux-tu me décrire ton parcours et comment tu es arrivée à Océane Consulting ?

 

J’ai commencé ma formation par une spécialité d’ingénieur en informatique pour intégrer des postes d’ingénieurs d’études. J’ai démarré sur du développement d’application dans la télé compensation ; puis me suis orienté vers de l’assistance à maitrise d’ouvrage pour travailler sur des projets de manière plus globale.

Il y a trois ans, je suis arrivée chez Océane Consulting, pour occuper le poste de chef de projet transverse.

Ce qui m’a attiré chez Océane Consulting, a tout d’abord été la taille de l’entreprise, ainsi que le bon contact avec le responsable d’Océane Consulting CS, David Rivière. Pour moi, une équipe comme celle-ci permet des relations plus humaines entre les collaborateurs et avec les dirigeants. Le fait d’être en mission la majorité du temps rendait l’aspect relationnel très important pour faire mon choix.

Depuis mon arrivée, la réactivité des équipes internes m’a permis de trouver différentes missions dans des secteurs qui m’intéressaient et avec des clients variés.

Un peu avant la fin de ma dernière mission, David Rivière, responsable d’Océane Consulting CS, m’a parlé de mettre en place une nouvelle offre sur la mise en conformité au RGPD. Cette problématique étant primordiale, j’ai donc décidé de travailler avec lui sur ce nouveau projet.

 

Du coup qu’est-ce que le RGPD exactement et quel impact pour les entreprises ?

 

Le RGPD est une réglementation qui reprend les principes de la loi informatique et liberté de 1978 en les enrichissant.

Pendant 5 ans, les états ont réfléchi à cette nouvelle réglementation européenne qui entrera en application le 25 mai 2018.

L’objectif était de proposer un règlement uniforme pour toute l’Europe afin de simplifier les actions des unités de contrôle sur les entreprises internationales.

Le RGPD s’applique à toutes les structures qui traitent des données personnelles de ressortissants européens. Son non-respect engendrera des pénalités conséquentes (2 à 4 pour cent du chiffre d’affaires mondial de l’entreprise), ce qui explique qu’il soit maintenant au centre des préoccupations.

Aux grands principes de la loi informatique et liberté de 1978, le RGPD ajoute certaines obligations qui renforcent le droit des personnes tel que le droit à l’oubli ou à la portabilité des données.

Il est désormais obligatoire de demander l’accord explicite d’une personne pour des actions comme l’envoi d’une newsletter ou autre action promotionnelle. Toute entreprise doit minimiser les données collectées et fournir une information précise sur la raison de collecte de ces données.

Le RGPD implique aussi la non-conservation indéfinie des données. Il est nécessaire de supprimer ou rendre anonyme les données une fois le délai d’exploitation expiré.

Le RGPD rend aussi possibles les actions de groupe pour revendiquer des droits consommateurs face à des entreprises.

L’entreprise doit maintenant tenir un registre des traitements où sont réunis tous les process qui gèrent de la donnée personnelle.

Avec le RGPD, on passe d’une logique déclarative à une logique de responsabilisation ; avec par exemple l’obligation de mise en place d’un DPO. Le Data Protection Officer doit être nommé dans toute entreprise qui collecte une grande quantité de données à caractère personnel et sensible.

Le pouvoir de la CNIL (Commission Nationale de l’Informatique et Liberté), l’instance de régulation française, est maintenant renforcé.

 

Pourquoi et comment t’es-tu spécialisée sur la mise en application du RGPD ?

 

Depuis déjà plusieurs mois, Océane Consulting CS a souhaité prendre en compte la problématique de gestion des données personnelles en proposant une solution aux entreprises concernées. À l’approche de la date butoir de mise en application du RGPD, la mise en place d’une offre d’accompagnement a été encore plus évidente.

Le sujet du RGPD m’a tout de suite intéressé puisqu’il s’agit de protéger l’identité et les données de chacun. Il est essentiel de laisser à chaque utilisateur la liberté de disposer de ses informations personnelles.

Pour renforcer mes compétences en matière de gestion des données, Océane Consulting m’a permis de suivre une formation sur le sujet. J’ai donc suivi une formation de 6 jours sur le rôle de Correspondant Informatique et Liberté qui deviendra maintenant le Data Protection Officer (DPO). Cette formation m’a enseigné les règles et applications du RGPD pour les entreprises.

Suite à cela, j’ai animé plusieurs afterwork en interne et en externe afin de sensibiliser les différentes équipes d’Océane Consulting au RGPD. Le but est de faire prendre conscience de l’importance de cette problématique et d’initier une démarche de mise en conformité au sein du groupe.

J’ai également organisé et animé une conférence en partenariat avec le cabinet d’avocats FTPA avec qui nous travaillons sur le sujet. Cette conférence exposait les grands principes du RGPD et surtout des exemples concrets pour expliquer ce qu’impliquait le RGPD pour une entreprise.

 

Aujourd’hui, que propose Océane Consulting CS aux entreprises qui souhaitent se mettre en conformité au RGPD ?

 

Océane Consulting CS propose aujoud’hui une offre en adéquation avec les besoins des entreprises.

Cette offre consiste à réaliser un état des lieux des process qui gèrent des données personnelles dans l’entreprise. Pour cela, nous interrogeons les différents acteurs de l’entreprise comme les ressources humaines, le recrutement… qui gèrent des données (papiers ou numérisées).

Nous identifions ensuite les écarts par rapport aux exigences du RGPD afin de proposer des solutions. Nous proposons enfin un plan d’action détaillé en priorisant les différentes actions à mettre en place pour la mise en conformité.

Afin de tester cette solution, j’ai commencé par réaliser un audit pour le groupe Océane Consulting. J’ai ensuite travaillé sur deux autres projets : l’un pour une ESN spécialisée en Agilité et l’autre pour un client de la grande distribution.

Nous avons également un nouveau projet RGPD en cours pour la mise en conformité d’un organisme de gestion des droits d’auteurs.

 

Océane Consulting CS est heureux de proposer une solution efficace pour aider l’organisation des entreprises avec le RGPD. L’équipe est actuellement en train d’entamer de nouveaux projets et envisage de compléter sa solution grâce à l’expertise d’Océane Consulting Data Management. Les deux filiales pourraient donc intervenir sur la totalité du processus de mise en conformité pour accompagner les entreprises dans leur audit, mais aussi dans la réalisation du plan d’action.