En mai, cela fera quatre ans que le RGPD (Règlement général de protection des données) est entré en vigueur dans l’Union européenne. Il s’agit de l’évolution réglementaire la plus récente, depuis la directive européenne de 1995 sur la protection des données personnelles. Depuis 2018, les enjeux et le cadre réglementaire ont profondément changé. Si à ce jour 90 % des entreprises ne sont toujours pas en conformité, une prise de conscience généralisée est en cours depuis quelques mois. Pour accompagner cette évolution des mentalités et des préoccupations, de nouveaux acteurs spécialisés dans la mise en conformité et la protection des données apparaissent, avec des méthodes et des outils innovants qui s’apprêtent à véritablement changer la donne. Parmi eux, la start-up Dipeeo, dont nous avons pu interviewer le co-fondateur et CEO, Raphaël Buchard.
Quels sont les services proposés par Dipeeo et en quoi êtes-vous disruptif sur le marché de la conformité ?
En règle générale, la mise en conformité RGPD est un processus complexe, long et cher pour les entreprises, et l’offre d’accompagnement existante s’adresse surtout à celles qui ont de l’argent et des ressources suffisantes pour l’assumer. Contrairement aux autres spécialistes de la conformité, Dipeeo fournit une délégation à la protection des données entièrement externalisée et dématérialisée. Le constat que j’ai fait, lorsque que je travaillais pour des projets de conformité dans un cabinet d’avocats, c’est que, contrairement aux croyances bien ancrées dans le secteur, toutes les étapes préalables à la mise en conformité d’une entreprise – comme la réalisation d’un audit et d’une cartographie et la rédaction de documents – étaient entièrement automatisables et qu’il était possible de réaliser un gain de temps considérable sur ce travail. Aujourd’hui, grâce à notre modèle d’automatisation et au développement de nos générateurs automatiques, nous pouvons réaliser la cartographie complète de l’entreprise en moins de deux heures, grâce à un simple questionnaire sur les éléments ayant une implication juridique – une tâche qui prenait auparavant plusieurs semaines voire plusieurs mois, ainsi que des ressources humaines importantes.
Quel est le principal enjeu auquel font face les entreprises concernant le RGPD ?
La protection des données devient un vrai sujet de société ! En général, le RGPD a tendance à faire peur, car le règlement a été conçu comme une vraie usine à gaz qui, en plus de coûter cher et de prendre de l’énergie, ne crée pas de valeur à proprement parler. Mais nous assistons, depuis quelques mois, à une évolution des mentalités sur le sujet, principalement parce que les utilisateurs se tournent de plus en plus vers des services qui respectent leurs données personnelles. Face à l’explosion des risques, les entreprises réalisent progressivement que la conformité peut devenir une source de valeur.
Concrètement, quels sont les risques encourus par les entreprises avec le RGPD ?
Celui dont on parle le plus est bien sûr la sanction financière, qui peut aller jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise ; mais la probabilité d’arriver jusqu’à ce point reste faible pour l’instant. Avant cela, les entreprises reçoivent une mise en demeure leur imposant de se mettre en conformité dans un délai de trente jours ; elles sont alors prises dans un long processus de contentieux, qui peut entraîner de lourdes conséquences allant jusqu’à la perte de leurs clients et la dégradation de l’image de leur marque, surtout dans le contexte de prise de conscience des utilisateurs sur la protection de leurs données. Une grande partie des risques concerne également le domaine des ressources humaines, avec les plaintes déposées auprès de la CNIL par les salariés à l’encontre de leur entreprise ; à l’heure actuelle, cela représente 20 % des plaintes enregistrées par la CNIL. Enfin, le secteur B2C est particulièrement exposé au risque lié à la prospection commerciale, qui intègre de nombreuses spécificités pour protéger les consommateurs en général.
En somme, respecter le RGPD, c’est aussi respecter ses clients et ses salariés.
Selon vous, le RGPD est-il amené à évoluer dans le futur et sur quels points ?
En tant que « loi fédérale » datant de 2018 et succédant à une directive de 1995, le RGPD ne sera pas amené à changer fondamentalement d’ici les quinze prochaines années. En revanche, il sera complété par de nouvelles lois, comme ce fut le cas avec ePrivacy en février 2021, et comme cela sera le cas en 2022, avec le DSA (Digital Services Act) et le DMA (Digital Markets Act) pour réguler l’espace numérique commun. De manière générale, je pense que la protection des données va exploser en termes de législation en dehors de l’Europe, car les autres pays s’y mettent en prenant exemple sur le RGPD : la Chine a adopté une loi similaire, le Canada prépare la sienne et les États-Unis y songent fortement.
De plus, la conformité va inévitablement monter en puissance, comme en témoignent le rythme de croissance de notre chiffre d’affaires et de signature de nouveaux contrats ces derniers mois. À terme, le rôle des DPO (délégué à la protection des données) sera amené à s’affaiblir et les entreprises feront exclusivement appel à des sociétés externes spécialisées dans la conformité comme la nôtre.
Quel est l’impact du RGPD sur les agences de relations presse dans leurs contacts réguliers avec la presse ?
Le RGPD encadre les pratiques mais ne les interdit pas. Pour comprendre l’impact du règlement sur votre activité, il faut évaluer plusieurs paramètres. Par exemple, si les coordonnées que vous utilisez pour contacter les journalistes sont issues d’une base de données que vous avez créée en interne ou que vous louez à un prestataire extérieur. Dans le second cas, il faut vous assurer que le prestataire est lui-même en conformité avec le RGPD. Un autre paramètre concerne la pratique de la prospection commerciale : si celle-ci est effectuée dans un modèle B2B, le consentement préalable de la personne n’est pas requis, contrairement à la prospection B2C. L’essentiel, dans la prospection commerciale B2B, est de permettre au destinataire d’un e-mail de se désabonner, tout en l’informant sur la façon dont vous vous êtes procuré ses coordonnées et ce que l’agence RP met en œuvre, en termes de conformité, pour protéger ses données.
Propos recueillis par Elodie Buch