Dans cette interview, Philippe Gellet, président-fondateur de la société Kizeo et Camila Mazas directrice opérationnelle, reviennent sur les grandes lignes du règlement européen relatif à la protection des données personnelles. Au travers de cet entretien, ils nous présentent :

  • Le processus de réflexion mis en place par Kizeo pour répondre à toutes les exigences du RGPD.
  • Leur intention de créer un espace d’écoute et de collaboration entre Kizeo et ses clients.
  • Les outils qui seront mis à votre disposition pour vous aider à vous mettre en conformité avec le RGPD.

Matthieu : bonjour Philippe, en quelques mots, peux-tu nous expliquer ce qu’est le RGPD ?

Philippe : le Règlement Général sur la Protection des Données (RGPD) est un texte règlementaire1 qui a été approuvé par le parlement européen en 2016. Il entrera en application le 25 mai 2018 et encadrera strictement l’utilisation des données à caractère personnel des citoyens européens.

Matthieu : pourquoi de telles mesures ?

Philippe : actuellement, il existe dans les 28 États de l’union européenne (UE) des lois complètement disparates visant à protéger les citoyens quant à l’utilisation de leurs données personnelles. Au travers de ce règlement, l’UE entend se doter d’un arsenal juridique unique, pleinement applicable dans tous les pays de l’UE et en adéquation avec notre époque. Outre cette harmonisation règlementaire inter-états, de nouveaux droits seront créés : droit à l’oubli, droit à la portabilité des données. Ainsi, la protection de la vie privée des internautes européens sera renforcée.

Matthieu : sur qui pèsent les obligations du RGPD ?

Philippe : toutes les entreprises sont concernées par le RGPD à partir de l’instant où elles gèrent des données personnelles dans le cadre de leurs activités. En effet, qu’elles soient publiques ou privées, responsables de traitement des données ou sous-traitantes elles devront se mettre en conformité avec le RGPD. Il est à noter, que ce règlement s’appliquera aussi aux entreprises non implantées dans l’UE, dès lors qu’elles collectent des données personnelles concernant des citoyens européens.

Matthieu : que devons-nous avoir impérativement mis en place pour le 25 mai ?

Philippe : toutes les entreprises doivent avoir défini un ensemble d’actions qui leur permettra, d’être d’ici 3 ans, en conformité avec toutes les nouvelles obligations règlementaires exigées par le RGPD. En clair, il est impératif d’avoir défini au 25 mai un plan d’actions qui soit réaliste.

Matthieu : quelle est l’approche de Kizeo concernant le RGPD ?

Camila  : nous souhaitons avoir une démarche pro-active vis à vis de ce nouveau règlement. C’est pourquoi nous avons fait le choix de mettre en place en interne des groupes de travail sur le sujet. Cette approche a pour but de capitaliser sur l’expérience et la vision globale de nos salariés pour définir, par département, des actions qui soient pertinentes, réalistes, datables et atteignables.

Kizeo fait aussi partie depuis janvier 2018 de l’association VPN (Vaucluse Pro Numérique) qui réunit des entreprises du secteur numérique. VPN a mis en place une commission de travail spécifique sur le RGPD. Dans le cadre de cette commission un groupe de travail composé de techniciens et de développeurs (dont fait partie Vincent Demonchy, notre responsable R&D) a réfléchi sur les problématiques liées aux développements et aux infrastructures informatiques. L’objectif, est de définir ce qui doit être fait au niveau des infrastructures informatiques, du développement et de la sécurité pour être en conformité avec le RGPD et notamment garantir à nos clients le « privacy by design ».

Nous allons également faire évoluer nos processus RH (charte de confidentialité, règlement interne…) pour les adapter/actualiser aux spécificités du RGPD.

Matthieu : comment allons-nous pouvoir être proactifs vis a vis de nos clients ?

Philippe : jeudi 3 mai nous avons envoyé une publication « Tout ce que vous devez savoir sur le RGPD », sont également parues, une infographie et une newsletter sur le sujet. L’objectif de ces documents était de simplifier et d’expliciter le « RGPD ».  Au regard de l’importance de ce sujet, nous avons souhaité parler directement à nos clients au travers de cette interview.

Au delà de toutes ces informations que nous avons délivrées, nous sommes persuadés qu’il est primordial de pouvoir identifier les questions, les craintes ou les motivations de nos clients au sujet du RGPD. C’est pourquoi, pour aller encore plus loin, nous avons mis en place à la fin de cette interview un espace d’expression anonyme. Il vous permettra de vous exprimer librement, de nous faire part de vos demandes d’informations, de vos attentes et de vos souhaits.

L’avis de nos utilisateurs compte énormément pour nous : nous souhaitons apporter des éléments concrets de réponses à toutes vos interrogations. Nous prendrons le temps d’y répondre au travers d’une FAQ et/ou d’un ou plusieurs articles.

Matthieu : qui est Délégué à la Protection des Données (DPP) chez Kizeo ?

Camila : tout d’abord, un peu d’explication ! Le DPP est une personne qui a pour mission principale de justifier de la conformité d’une entreprise vis-à-vis de la réglementation imposée par le RGPD. Pour cela, il contrôle la mise en œuvre des directives : il est en quelque sorte la « passerelle » entre l’entreprise et la CNIL. Chez Kizeo, le Délégué à la Protection des Données est notre président Philippe Gellet. Il sera aidé dans cette tache par Vincent Demonchy responsable R&D.

Vincent expert RGPD

Matthieu : où sont stockées les données personnelles ?

Philippe : nous travaillons avec OVH une entreprise française spécialisée dans les services de « cloud computing ». Une société qui est fortement engagée dans la qualité de service comme le démontre ses nombreuses certifications et récompenses :

  • Certification PCI-DSS
  • Certification ISO/IEC 27001
  • Attestations SOC 1 TYPE II ET SOC 2 TYPE II
  • STAR self-assessment – Cloud Security Alliance
  • Agrément HDS
  • Certification OpenStack Powered

Matthieu : comment allons-nous aider nos clients à se mettre en conformité avec le RGPD ?

Camila : il est de la responsabilité de nos clients de se mettre en conformité avec le RGPD. Cependant, nous souhaitons aller plus loin en leur mettant à disposition des outils efficaces, efficients et automatisés. De cette façon les utilisateurs de Kizeo Forms auront de manière immédiate une vision d’ensemble des données personnelles qu’ils traitent. D’ici quelques mois, nous allons donner la possibilité de « taguer », lors de la création d’un formulaire, une question (« champ ») comme étant une donnée personnelle. L’objectif, est de donner à nos clients un accès à un export (Excel CVS) de tous les champs identifiés comme contenant des données personnelles. De cette manière, ils pourront réaliser une cartographie précise des données personnelles recueillies chez leurs clients.

Actuellement, il est déjà possible à l’aide de notre système de « droits/groupes » de restreindre l’accès aux données personnelles. Ainsi seules les personnes concernées par ces informations y ont accès. Ce système permet d’identifier qui peut voir, modifier ou supprimer une donnée et son contenu. Il est également possible, après la saisie de données d’envoyer automatiquement les informations qui ont été recueillies par nos utilisateurs à leurs clients. Pour cela, il suffit de définir l’envoi par E-mail d’une copie de la donnée (format PDF) à la personne concernée.

Matthieu : quelles sont les données personnelles de nos clients que nous avons besoin de connaître?

Philippe : nous demandons de manière systématique à nos clients de nous communiquer leurs noms, prénoms, E-mails et numéros de téléphone. Ces informations nous sont nécessaires pour faire fonctionner au mieux l’application Kizeo Forms et pour garantir une qualité de service optimale. Elles peuvent être modifiées ou effacées à tout moment. Nous utilisons ces données pour leur faire part des modifications réalisées sur l’application et/ou pour les joindre en cas de dysfonctionnement.

Matthieu : comment faire si je veux avoir accès à mes données personnelles ou les supprimer ?

Camila : les utilisateurs de Kizeo Forms, ont la possibilité depuis leur espace personnel (Kizeo Forms>Données> Historique>) de consulter ou de supprimer/exporter tout ou partie de leur saisie. Pour ça rien de plus simple, il suffit de suivre le mode opératoire suivant :

  • Supprimer les données :

Effacer historique kizeo forms

  • Exporter les données :

Exporter historique Kizeo Forms

Les utilisateurs de Kizeo Forms peuvent également nous contacter par E-mail pour nous informer qu’ils souhaitent supprimer un compte ou des données. Attention, cette démarche n’est pas réversible : une fois les données supprimées il est impossible de les récupérer.

Il est à noter que toutes les données qui sont stockées sur nos serveurs sont exportables de différentes manières (E-mail, FTP, DropBox, Web Service, IHM, Connecteur Sharepoint ou base de données) et ce dans différents formats (XlsX, DocX, PDF, CSV, JSON).

On vous écoute !

Kizeo répond à vos questions

 


 1 Un règlement européen s’apparente à une directive sur son contenu. La différence avec la directive réside principalement dans le fait qu’un règlement bénéficie de ce qu’on appelle l’effet direct. Cela consiste à dire qu’il est pleinement applicable, dans tous les pays de l’UE, sans qu’aucun texte national de transposition ne soit nécessaire. Ainsi chaque justiciable peut invoquer un règlement européen pour arguer devant un juge français. Nul besoin qu’une quelconque loi soit adoptée par le Parlement français.