Un an de RGPD @ OCTO

Il y a un an, nous recevions tous une avalanche de mise à jour de nos CGV ou CGU.

Il y a un an, le règlement général sur la protection des données (RGPD) entrait en vigueur et faisait la une.

Il y a un an aussi, plusieurs d’entre nous découvraient ce qu’était une donnée personnelle :

“Est-ce que je dois effacer de mon agenda tous les rendez-vous passés car ils contiennent le nom et les coordonnées des invités ?”

“Les traitements exploratoires en datascience, c’est fini ?! Mais je suis au chômage !”

“C’est bon, j’ai remplacé tous les noms et prénoms par un hash, j’ai bien anonymisé, non ?”

Ce nouveau règlement a permis d’homogénéiser la lutte pour la protection des données personnelles au niveau européen tout en donnant des moyens réels d’action aux entités chargées de l’appliquer.

OCTO, comme de nombreuses autres sociétés, est concerné par ce nouveau règlement sous différents angles. Nous souhaitions profiter de ce premier anniversaire pour revenir sur cette première année de RGPD, et montrer qu’en lieu et place d’une contrainte, nous en avons fait une opportunité.

Ça ne s’est pas fait tout seul. En l’absence de DPO dans un premier temps, une équipe composée d’octos s’est montée : un data geek, un expert sécurité, un PO data, encadrés par la directrice des opérations d’OCTO et accompagnés par Maître Violaine Selosse, avocate au barreau de Paris spécialisée en données personnelles. C’est cette équipe qui a lancé les chantiers et surtout accompagné chaque tribu dans sa mise en conformité.

1er chantier : OCTO en tant que responsable de traitement

Comme toute société, OCTO manipule les données personnelles de plusieurs catégories de personnes :

• ses salariés, à travers ses processus RH
• ses clients et prospects, à travers sa prospection, la fourniture de ses services, sa comptabilité, et ses outils marketing (newsletter, site web, etc.)
• les candidats à l’embauche (CV, lettres de motivation, etc.)

Pour ces traitements internes, relativement classiques, OCTO assume ainsi le rôle de responsable de traitement et doit donc s’assurer de leur conformité.

L’audit de ces traitements par l’équipe RGPD a fait ressortir une liste d’actions liées à la mise en conformité, telles que la mis en place d’un registre de traitement, la création d’une « charte des données personnelles », l’adaptation de notre outil de compte rendu d’activité, etc (liste non exhaustive ;-)).

Il ne s’agit pas d’appliquer uniquement des grands principes, mais aussi de se poser des questions très pragmatiques et surtout de se ré-approprier ces sujets au bon niveau. Par exemple, une des actions mises en place est devenue une des fierté de notre équipe Com’: pour rester fidèle à nos valeurs et pouvoir respecter les données personnelles de nos admirateurs, l’équipe a demandé à chacune des personnes enregistrée dans sa base de contact si elle souhaitait y rester. Elle a ainsi été réduite de 85% ! Mais le taux de conversion est désormais de près de 45%.

De même, chez OCTO, la transparence est de mise. Selon l’un de nos principes directeur, on ne manage pas pour les 3% ! Par conséquent et pour éviter tout processus lourd de validation, notre outil de saisie d’activité est ouvert à tous…. même les congés pour événement familial, comme les naissances ou les décès. Il a donc fallu marier notre désir de transparence et le respect des droits des personnes. Les comptes rendus d’activité restent aujourd’hui accessibles à tous, mais le détail de ces congés exceptionnels n’est plus affiché.

Aujourd'hui, l'une des principales douleurs de nos équipes support sur le sujet repose plutôt sur le manque de maturité "RGPD" de certains outils utilisés pour gérer les bases de contacts. Ces derniers, bien que conformes au règlement, n'offrent pas encore certaines fonctionnalités qui permettraient d'éviter d'avoir à gérer manuellement certains mécanismes requis par le RGPD (nettoyage des bases de contact, application des droits des utilisateurs, dashboard "data privacy", etc.). Il reste certainement pas mal d'opportunités de startup dans ce domaine...

2ème chantier : OCTO en tant que cabinet de conseil

Mais en tant que cabinet de conseil en informatique, OCTO est également concerné par le RGPD lors de ses missions. Il peut ainsi endosser deux rôles parfois en parallèle :

• sous-traitant : les Octos mettent en oeuvre les traitements demandés par le client (qui a le rôle de responsable de traitement) et ont donc ainsi accès à des  données personnelles fournies par le client. Nos ops et nos data geeks sont souvent concernés par ce type de mission.
• concepteur d’application : les Octos conçoivent des applications destinées à manipuler des données personnelles, et doivent donc mettre en oeuvre les bonnes pratiques poussées par le RGPD (sécurité, privacy by design, privacy by default). La plupart de nos équipes de delivery peuvent être concernées.

Ainsi, le RGPD peut impacter nos missions en nous demandant notamment de mettre en oeuvre des principes clefs (privacy by design, privacy by default, security by default) et en prévoyant la possibilité d’appliquer les droits des personnes (accès et rectification, opposition, suppression, etc.).

Heureusement, la plupart de ces enjeux RGPD se traduisent par de bonnes pratiques que nous essayons de pousser depuis longtemps dans nos missions, par exemple :

• intégrer des solutions de data gouvernance pour cartographier les données,administrer leur accès, et suivre leur utilisation (notamment les transformations et traitements)
• suivre le principe de moindre privilège, l’utilisation de compte individuels et tracer les actions
• chiffrer les données au repos et en transit
• minimiser les données manipulées, notamment par les traitements de data science.

En conséquence, des outils ont été développés en interne pour former les Octos, et intégrer le RGPD dans nos offres. Une formation sur mesure a notamment été construite par les Octos et pour les Octos. Avec l’aide d’une dizaine de formateurs issus des tribus, cette formation est dispensée à l’ensemble des consultants. Elle présente à la fois les enjeux théoriques mais plusieurs cas d’applications pratiques à l’image de situations vécues ou imaginées.

Pour compléter cette demi-journée, une plaquette de synthèse “antisèche”, co-designée avec la Com’, est distribuée. Elle permet à chacun de retrouver les concepts clés du RGPD mais aussi des démarches par type de profil : si les UX sont sensibilisés principalement aux parcours utilisateurs clairs et au recueil du consentement lors des interviews utilisateurs, les data scientists se questionneront sur la minimisation des traitements de data science ou les techniques d’anonymisation.

"ça reste intéressant car ça démystifie le truc. La formation m’a permis de comprendre par exemple pourquoi on demande le consentement pour les cookies"

"la formation est bien menée, avec des cas pratiques bien animés"

"cela nous éclaire sur la conduite à adopter avec nos clients et sur le statut d'OCTO en mission. C'est bien d'avoir une formation hyper dynamique à la OCTO même si initialement le sujet est obligatoire et réglementaire"

Si l’accent est mis sur notre responsabilité en tant que sous-traitant, c’est que c’est un élément nouveau amené par le RGPD par rapport aux réglementations précédentes. La CNIL en a fait un de ses sujets d’attention en déclenchant mi-2018 une campagne européenne d’audit dite « Sweep 2018 » focalisé sur les sous-traitants : OCTO en a fait partie. Avec sa clôture récente, l’audit a validé le travail mené par l’équipe RGPD. C’est également une de nos fiertés de ce 25 mai 2019 !

Ni la CNIL, ni OCTO ne se reposent sur leurs lauriers. Le sujet de la responsabilité lors de la sous-traitance reste l’une des priorités 2019.

The OCTO way : ré-appropriation par les octos

Mais la plus belle surprise de cette histoire a été la réappropriation du sujet RGPD par les Octos. Cette formation a en effet été un déclencheur d’initiatives dans de nombreuses tribus.

Du côté de la data science, la question d’une utilisation éthique de l’IA a entraîné de nombreux travaux du côté de notre R&D, notamment sur le sujet de l’interprétabilité des modèles et de la détection de biais. Ces travaux ont été notamment capitalisés dans une formation dispensée par nos consultants via OCTO Academy.

Le cadrage360, cher à OCTO, évolue également. Comment intégrer le RGPD dans l’atelier risque ? Et pourquoi pas la conformité et la sécurité ? Quelques brainstorming plus tard, accompagné par un security champion, le cadrage360 s’est enrichi d’ateliers “bowtie” apportant une approche novatrice des risques autour des fuites de données et du respect des droits des personnes. L’atelier storymap contient également une liste d’user stories type (comme le droit d’accès, de rectification, le droit à l’oubli…)

De même, du côté de nos spécialistes des API, un article de blog a été rédigé pour présenter une approche pratique d’implémentation d’API conforme aux exigences du RGPD.

Ainsi, plutôt que de citer toutes les initiatives qui ont découlées de cette ré-appropriation du sujet par les octos, nous vous conseillons plutôt de surveiller notre blog...

Le RGPD : une réelle opportunité

Avec un nombre croissant de scandales liés aux fuites de données personnelles et à des traitements contraires à l’éthique, le RGPD apparaît de plus en plus comme un bouclier permettant de protéger les citoyens européens, dont le reste du monde semble de plus en plus envieux. La Californie s’inspire d’ailleurs fortement de l’Europe…

Si son application a demandé initialement quelques changements dans nos modes de fonctionnement, nous sommes aujourd’hui convaincus que ce nouveau règlement représente une opportunité pour :

• pousser de bonnes pratiques de développement
• construire une relation fournisseur - sous-traitant de qualité en étant proactif dans la conception et dans le respect des données personnelles
• assumer une responsabilité éthique vis-à-vis de la protection des personnes et de leur données (différenciant par rapport à la Chine ou les USA)
• être une source de fierté pour les collaborateurs, qui y voient un moyen d’accomplir un devoir social et s’emparent à leur tour du sujet.

Finalement, après de longues heures de lecture du texte de lois, quelques débats sans fin, et surtout de belles réalisations, il ne nous reste plus qu’à souhaiter :

Happy birthday GDPR !

Et merci Maître Selosse, Nicolas, Dominique et Laurence :-)