Les feuilles de route d’AXA et Oddo BHF pour anticiper le GDPR

Qui ?
Florence Bonnet et Stéphane Petitcolas, experts en protection des données chez TNP Consultants, Pierrick Labarde, Directeur du programme "Data Care" d'Axa France et Karine Huberfeld, Head of corporate legal du groupe Oddo BHF.

Quoi ?
Le compte-rendu du Petit Club au Partech Shaker : "Shaker le GDPR : 210 jours pour s'organiser en interne et s'adapter à la nouvelle réglementation" en partenariat avec Amazon Media Group, Mondadori Publicité, Publicis ETO, Synthesio et TNP Consultants.

Comment ?

BandeauPetitClub

La plupart des entreprises sont désormais au courant : à compter du 25 mai 2018, le Règlement général sur la protection des données (RGPD, ou GDPR en anglais) entrera en vigueur partout en Europe. Ses implications sont larges (lire aussi nos articles à ce sujet), impactent les acteurs BtoC comme les acteurs BTB. L'assureur Axa et la banque privée Oddo BHF ont saisi l'opportunité pour revoir leur gouvernance sur le sujet, en 5 étapes.

1. En faire un projet de conduite du changement au plus haut niveau

Ni CIL (Correspondant Informatique et Libertés) ni juriste, Pierrick Labarde a été nommé à la tête du programme "Data Care" d'Axa France pour sa capacité à mener des projets transverses de grande ampleur. Le programme est européen, mais implémenté localement, pays par pays. En France, le projet s'appuie sur trois sponsors, tous membres du Comité Exécutif : Sandrine Duchêne, secrétaire générale d'Axa France, David Guillot de Suduiraut, Directeur des Systèmes d'Information et Antoine Denoix, Directeur Marketing, Digital et Data d'Axa France. "Nous voulons mettre en place une gouvernance solide de la data. Au total, une centaine de collaborateurs travaillent sur le sujet dans les différents départements d'Axa France."

Chez Oddo BHF, le volet juridique et conformité du projet GDPR est revenu à la directrice juridique, Karine Huberfeld, faute de ressources "data" en interne. Rattachée à Grégoire Charbit, bras droit du patron du groupe, Philippe Oddo, une de ses missions est de sensibiliser le conseil d'administration. "Pour mobiliser les dirigeants, c'est assez simple, il faut parler des sanctions" explique-t-elle.

2. Anticiper les risques pour prioriser les chantiers

Pour une entreprise du CAC 40, le budget de la mise en conformité du GDPR a été évalué à 30 millions d'euros, en moyenne : un ordre de grandeur qui ne surprend pas Pierrick Labarde. "D'après un récent sondage de l'IAPP (association internationale des professionnels de la Privacy), à l’échelle mondiale, 6 entreprises sur 10 pensent qu'elles seront en conformité en mai 2018 mais nous pensons que le chiffre sera bien inférieur", analyse Florence Bonnet.

"Plutôt que de viser une conformité à 100%, il vaut mieux se fixer des cibles pour mai 2018, puis à 6 mois, un an, en évaluant les risques liés aux traitements pour les personnes et les sanctions liées" ajoute Stéphane Petitcolas. Des amendes pourraient tomber dès mai 2018. "Les entreprises ont eu deux ans déjà pour se mettre en conformité. Il n'y aura pas de sanctions de masse mais les 200 employés de la CNIL pourront tout à fait contrôler tout un secteur d'activité et sanctionner pour l'exemple le plus mauvais du marché."

Chez Axa France, les discussions et consultations publiques qui ont conduit au GDPR sont suivies depuis quatre ans. "Le lobbying n'a pas réellement permis d'infléchir la réglementation, mais il était important de rester au plus près des débats pour se préparer" explique Pierrick Labarde.

L'évaluation des risques commence par une cartographie des données. La réglementation s'applique  aux données clients comme aux données des collaborateurs. Les outil du marché ne sont pas encore conformes au GDPR, à ce jour Axa France a opté pour un registre sur Excel. "On s'en sert comme outil de pilotage pour avoir une bonne vision des traitements de l'entreprise. Il faut noter aussi que le GDPR prévoit de tenir un registre de toutes les catégories d'activités effectuées pour le compte d'autres entitées et nous sommes concernés."

Chez Oddo BHF, Karine Huberfeld cherche encore à savoir comment circule la donnée. "Nous avons auditionné tous les leaders techniques et nos prestataires pour les répertorier et constituer les fameux registres". Il y a également des données sensibles. "Par exemple en Allemagne, les ressources humaines de nos établissements connaissent la religion des collaborateurs (car il y a un impôt applicable), c'est une donnée très sensible."

Au sein de la banque, le projet GDPR est concomitant à l'intégration de trois entreprises allemandes acquises entre 2014 et 2016 par le groupe. Le sujet est remonté grâce à une alerte du Directeur informatique en charge de l'harmonisation des SI. Depuis, le groupe bénéficie des conseils de ses établissements allemands, dont la réglementation nationale en vigueur est déjà un équivalent du GDPR. "Ils ont un temps d'avance sur nous et nous éclairent. Ils ont déjà un DPO [Data Protection Officer], des standards et des formules toutes faites."

Mais, pour  Karine Huberfeld ,la mise en place soit aussi s'adapter aux mentalités locales : "Les Allemands voudraient qu'on fasse comme eux, mais on se pose encore plein de questions car il manque des directives vraiment précises de la part des autorités. Outre-Rhin, la note d'information standard aux clients fait 9 pages. On ne peut pas envoyer cela aux nôtres en France."

3. Mettre les SI en conformité

L'impact sur les systèmes d'information est un chantier brûlant parmi les treize chantiers GDPR identifiés par le cabinet TNP Consultants. Notamment la durée de conservation des données  : "On a du revoir l'ensemble des systèmes applicatifs pour vérifier que les délais de conservation correspondaient bien à ceux demandés par la réglementation", raconte Pierrick Labarde. Problème, certains types de logiciel, comme SAP par exemple, qui gèrent les données pour diverses finalités, à la fois pour le marketing (CRM) et pour la facturation (EPR) sont incapables de purger les données sur les différents délais... "C'est un projet de deux ans pour mettre les applicatifs en conformité, évalue Stéphane Petitcolas, les données CRM doivent pouvoir être supprimées sans que cela impacte les données ERP qu'on peut garder plus longtemps." Autre chantier, celui de la sécurisation. "On voit des évaluations de l'ordre de 100 000 euros par applicatif : on ne parle pas seulement de protection des données mais de cybersécurité."

La démarche doit ensuite infuser toute l'entreprise. "Pour embarquer le plus grand nombre, il faut quelqu'un qui vulgarise le sujet. Mon rôle est de développer un vocabulaire simple" estime Pierrick Labarde. Pour préparer les plus de 10 000 salariés, administratifs et commerciaux d'Axa France à l'arrivée de la réglementation, le programme a mis en place des sessions d'e-learning obligatoires mais aussi des campagnes de communication interne simples sur cette réglementation mais aussi sur les bons réflexes de sécurité : "on verrouille systématiquement sa session, on attache son PC portable pour prévenir les vols. Les messages sont courts et répétés car le changement de culture est à mener en continu".

4. Embarquer les sous-traitants dans la mise en conformité, ou s'en séparer

"Nous serons aussi solides que le maillon le plus faible de la chaîne" prédit Pierrick Labarde, qui a engagé les mises à jour sur tous les contrats de l'assureur avec ses sous-traitants de données. "La modification d'un contrat est rapide mais les discussions sur les aménagements en ligne avec le GDPR ouvrent parfois des négociations sur d'autres points non visés par ces changements. Cela peut être très long."

Va-t-il falloir interdire certaines pratiques du digital non conforme ? Arrêter de travailler avec Facebook, Google, et tous les acteurs qui entretiennent encore des zones de flou sur le traitement de la donnée ? "Ce n'est pas un hasard si le directeur marketing est l'un de nos sponsors. Il croit au marketing digital et nous allons établir la direction dans laquelle nous voulons aller tout en veillant à la conformité des traitements. Nous allons utiliser le modèle de dossier d'étude présenté par la CNIL pour les EIVP (études d'impact sur la vie privée). Autant avoir la même méthode et le même modèle si nous sommes amenés à les solliciter."

Du côté d'Oddo BHF, l'heure est avant tout à la sensibilisation et la réassurance en interne. "Sur le terrain, on se rend compte que les gens sont assez effrayés. A Tunis, j'ai rencontré des informaticiens qui se disent qu'ils vont devoir tout changer. Il faut aussi rassurer en expliquant qu'on est d'abord dans l'encadrement."

5. En faire une opportunité pour le marketing et la communication

Axa utilise de plus en plus les données de ses plus de 8 millions d'assurés pour mieux les connaitre et construire des offres mieux adaptées. "Mais ce trésor de guerre vient avec un devoir : protéger les données de nos clients" explique Pierrick Labarde. Habitué aux études des risques et d'impact sur l'entreprise, les grands groupes doivent se préoccuper maintenant de l'impact sur la vie privée lorsqu'ils traitent les données en grand nombre. "Les GAFA ont un avantage certain, ils ont beaucoup de données, mais nous pensons que nous avons une carte à jouer. La bienveillance vis à vis de nos clients et futurs clients est un atout."

Le recueil du consentement n'est pas simple pour tout le monde : "Ce n'est pas nouveau mais on y accorde encore plus d'importance qu'avant. Quand on sollicite des personnes via un emailing, on vérifie systématiquement. On a tendance à oublier que la personne ne souhaitait pas recevoir d'offre." Sur ce point, la nouvelle réglementation semble favoriser Google et Facebook, qui sont en contact permanent avec leurs utilisateurs pour recueillir le consentement. "Je ne suis pas sûr qu'ils sont privilégiés, certaines mesures les visent par ailleurs directement, comme celle de la portabilité des données, alors que pour le secteur de l'assurance, le sujet existe déjà."estime Pierrick Labarde.

Karine Huberfeld travaille aussi à la transformation du règlement en  avantage marketing. "Philippe Oddo va rédiger une lettre adressée à tous nos clients et signée de sa main pour expliquer ce qu'on fait, comment on le fait et comment on protège leurs données." Le groupe Oddo BHF gère des patrimoines et connaît l'imposition de ses clients : les rassurer était une priorité. Chez Axa, une charte  des engagements sur les données personnelles est déjà publique.

Monelle Barthélemy 

BandeauPetitClub

Recevez La Lettre de Petit Web

Vous aussi, rejoignez les 43 000 professionnels qui nous reçoivent chaque lundi.

C'est promis, nous gardons précieusement cette adresse pour nous, elle ne sera transmise à aucun tiers.

Abonnez-vous