L’activité Data est au cœur de l’activité de MEDIAPOST depuis plus de 10 ans. L’arrivée du RGPD était donc une étape importante pour son business model.
C’est la raison pour laquelle la Direction Générale a décidé de vivre l’arrivée du RGPD non pas comme une contrainte mais comme une opportunité, en rebalayant tous les process de l’entreprise. MEDIAPOST s’est inscrit dans une dynamique de projet d’entreprise pour préparer l’arrivée du RGPD.
Ce projet, porté au niveau du Comex, a pris un engagement volontariste. En effet, MEDIAPOST a décidé de s’engager dans un process de certification ISO 27001 : 2013, certification obtenue en mai 2018
Ce projet d’entreprise a été bâti autour du binôme commerce & juridique. L’objectif était de continuer de développer le business data tout en protégeant l’entreprise d’un possible risque de non-conformité, avec les menaces de sanctions afférentes.
MEDIAPOST avait déjà de nombreux process de sécurisation de la donnée. Mais dans le cadre de l’évolution de la règlementation, la décision a été prise d’aller encore plus loin : documenter les process, les renforcer, notamment lors des échanges de données avec les partenaires et les clients
Pourquoi s’engager dans un process de certification ISO 27001 : 2013 ?
MEDIAPOST était déjà en conformité avec la Loi Informatique et Liberté, le risque le plus fort pour nous portait donc sur la sécurité des données et la fiabilité de notre système d’information.
Qu’apporte la certification ISO 27001 ?
C’est une norme qui vient certifier la solidité du Système de Management de la Sécurité de l’Information de MEDIAPOST sur son périmètre de l’activité Data.
L’objectif pour MEDIAPOST était d’apporter à ses clients un gage de confiance, d’éthique et de sérieux.
Il est important de rappeler que MEDIAPOST fait partie du Groupe La Poste. C’est un acteur majeur de la communication de proximité, qui accompagne ses clients à chaque étape de leur démarche de communication. Or, le Groupe La Poste s’est engagé depuis mai 2016, dans la mise en place d’une charte data. Portant des valeurs historiques de proximité, de confiance et d’éthique, La Poste s’engage, par le biais de cette charte Data à apporter toujours plus de transparence, d’assistance, de confidentialité et de sécurité à ses clients.
MEDIAPOST disposait déjà d’un correspondant Délégué à la protection des données (DPO) qui est le Correspondant Informatique et Liberté, pilier obligatoire et central. Tous nos traitements sont enregistrés et suivis.
L’intégralité des fournisseurs et partenaires data a été intégré et l’ensemble de nos contrats ont évolué en y intégrant des clauses spécifiques à la sécurité des données et au respect du RGPD.
Des audits chez les principaux prestataires ont été effectués.
Cette politique volontariste s’est également étendue aux salariés de l’entreprise. Il faut savoir que l’obtention de la norme ISO 27001 : 2013, passe par un audit très poussé où chaque salarié impacté est susceptible d’être interrogé.
Pour illustration, voici quelques exemples d’actions menées auprès des salariés MEDIAPOST
- Formation à la réglementation avec l’aide du CIL
- Signature d’une clause de confidentialité, intégré au contrat de travail pour tous les salariés amenés à intervenir dans la commercialisation de la donnée personnelle
- Mise en place des règles strictes liées au départ des salariés de l’entreprise (suppression des annuaires, suppression des accès informatiques, reprise de matériel…)
- Mise en place d’une cartographie des habilitations et politique de mise à jour de celles-ci très régulière
- Création d’affiches pratiques à destination des commerciaux dans l’esprit do/don’t
Les conditions du succès
La principale condition du succès a été de faire porter le projet au plus haut niveau de l’entreprise. C’est un sujet qui doit être porté par l’équipe dirigeante et décliné ensuite au sein de chaque entité.
Ce ne peut être un sujet réservé aux seuls experts.
Le choix d’un modèle de certification, de norme ou de labellisation permet à l’entreprise de se positionner de manière exigeante vis à vis du marché. Pour nos clients, c’est une garantie de qualité et de respect du RGPD. Cet argument vaut aussi à l’égard de la CNIL, qui connait la rigueur nécessaire à la mise en place et à l’obtention d’une norme ou d’un label et qui de fait fera preuve de bienveillance à l’égard d’une entreprise engagée dans une démarche de ce type.
Enfin, une condition indispensable de succès est de communiquer très régulièrement sur l’avancée des travaux en vue de l’obtention de la certification ou du label, afin d’associer l’ensemble des salariés concernés. Cela permet de créer une communauté « data » soudée autour d’un objectif commun.
Retour d’expérience et bonnes pratiques
Comme je l’ai dit précédemment, une bonne pratique au sein de MEDIAPOST a été notamment de ne pas opposer la direction commerciale et la direction juridique, qui ont rarement des objectifs convergents, notamment dans le domaine sensible de la protection de la donnée personnelle. La réflexion a été menée conjointement tout au long du processus de certification. Cela a facilité par exemple les choix de modèle contractuels (sous-traitant vs responsable de traitement)
Cathy Andrau, DGA Directrice Mediapost Local chez MEDIAPOST
Site ici
