ITW Jérôme Cail, fondateur de Diginsight, expert du traitement des données personnelles et RGPD

Bonjour Jérôme, c’est quoi le RGPD et qu’a-t-il changé dans notre quotidien d’internaute ?

Le RGPD est un règlement européen qui fixe les règles concernant les traitements de données personnelles qui peuvent être mis en œuvre par une organisation privée ou publique. Il s’impose à tous les pays membres de l’Union Européenne et harmonise ainsi un cadre légal qui comportait de nombreuses disparités. Le RGPD s’applique à tous les traitements de données personnelles, aussi bien sur support numérique que papier.

Les internautes peuvent repérer facilement les sites web appliquant le principe de transparence exigé par le RGPD : ils mettent tous à disposition de leurs visiteurs une politique de confidentialité dans laquelle ils détaillent les traitements de données mis en œuvre. Si des cookies sont utilisés, les sites proposent également une politique dans laquelle ils indiquent la nature des cookies utilisés, leur finalité et la procédure pour les accepter ou les refuser.

Les internautes ont aussi vu fleurir des « bannières cookies » qui à la fois les informent, collectent leurs consentements mais aussi parfois polluent leur navigation. Mais attention, ces bannières ne relèvent pas du RGPD mais de la directive ePrivacy transposée en droit français dans la Loi Informatique et Libertés.

Quel est ton parcours et pourquoi ces problématiques autour de la donnée personnelle t’ont intéressé ?

J’ai commencé ma carrière en 1995 chez ImagiNet, l’un des tous premiers Fournisseurs d’Accès à Internet. J’ai découvert un univers passionnant mêlant technologie et nouvelles opportunités business dont je n’ai eu de cesse de chercher à comprendre la face cachée. La protection des données personnelles a toujours été sous-jacente chez tous les éditeurs (français et américains) de plateformes pour lesquels j’ai travaillé : intelligence économique, e-réputation, lutte anti-blanchiment d’argent, propriété intellectuelle, web analytics, panels médias, tag management, activation d’audience et privacy management.

Mais je m’y suis intéressé de manière plus soutenue à partir de 2014 lorsque j’ai rejoint des startups californiennes qui travaillaient déjà sur ces problématiques.

J’ai finalement décidé de créer ma propre société Diginsight en 2018 afin d’accompagner mes clients dans la protection des données personnelles ainsi que dans la protection de leur patrimoine data. Je suis désormais consultant, formateur et Délégué à la Protection des Données personnelles et je suis diplômé du CNAM (certificat de spécialisation Délégué à la Protection des Données).

Qu’est-ce qu’une entreprise doit à tout prix éviter dans le cadre du RGPD ?

Ce qui me vient à l’esprit en premier découle de ce que j’entends très fréquemment lors des premières phases d’un audit : sous prétexte de ne pas effrayer les internautes (mais aussi ses prospects, clients, partenaires, fournisseurs ou encore salariés…) les entreprises sont parfois tentées de ne pas tout dire aux personnes dont les données personnelles vont être traitées. La transparence est l’un des principes fondateurs du RGPD. Le respecter permet à la fois d’être en conformité avec la loi mais aussi de se différencier des concurrents en adoptant des pratiques éthiques. Donc si vous avez besoin pour votre activité de traiter un certain nombre de données personnelles, il ne faut surtout pas le cacher et ne pas expliquer les raisons pour lesquelles vous avez ce besoin.

Et qu’est-il conseillé de faire au contraire ?

Il est important d’avoir une maîtrise complète de l’ensemble de la chaîne des traitements de données personnelles et d’en faire une cartographie. Cela permettra notamment d’identifier l’ensembles des intervenants extérieurs (sous-traitants ou tout autre destinataire des données) et de sécuriser les relations avec ces tiers, tant d’un point de vue technique que juridique ou organisationnel.

Tu as monté un module de formation dédié au « RGPD, e-privacy et marketing digital » avec Dixer et que vous allez proposer dans les prochains jours, quel en est l’objectif et la philosophie ?

Cette formation a pour ambition de rendre accessible cette matière juridique dense. Elle est conçue pour les profils marketing et commerciaux, elle bannit le jargon juridique et propose à chaque stagiaire de maîtriser l’ensemble des concepts dont ils ont besoin dans leur activité quotidienne. La formation est rythmée par de nombreux cas réels et mises en situation afin d’assurer la plus grande interactivité possible et l’appropriation des concepts.

En conclusion, le RGPD a-t-il été utile et quelles sont les prochaines étapes si tu devais faire un peu de prospective ?

Même si en première lecture le RGPD représente une contrainte, il permet en réalité d’assainir le marché. Les acteurs ne prenant pas au sérieux la protection des données personnelles sont facilement dévoilés et sanctionnés… soit par la CNIL… soit par les clients qui ne donnent plus leur confiance aux sites non transparents.

Les challenges sont nombreux dans les mois qui viennent : tout d’abord l’arrivée de la nouvelle recommandation de la CNIL sur les cookies qui va occasionner de nouveaux travaux sur les sites web. Elle sera assortie de contrôles et de sanctions : mieux vaut donc se préparer dès maintenant ! Cela peut d’ailleurs passer par le déploiement de la version 2 du framework IAB, le Transparency Consent Framework, standard proposé par le marché pour appliquer le RGPD dans l’univers du marketing digital.

Enfin, n’oublions pas le futur règlement ePrivacy qui est toujours en négociation et qui fixera un cadre homogène pour la protection des données personnelles dans le domaine des communications électroniques.

Merci Jérôme

La formation « RGPD, eprivacy et marketing digital »

À lire aussi

L’Etat encourage à la formation des millions de salariés au chômage partiel