Darine Fayed (Mailjet) "95% du non-respect du RGPD provient de défaillances humaines"
Alors que la Nuit du data protection officer approche, la DPO du spécialiste français de l'emailing fait le point sur ses chantiers.
Le JDN propose pour la deuxième année consécutive, le 11 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.
Darine Fayed. Nous avons réellement commencé notre réflexion autour de la protection des données personnelles début 2017, avec en ligne de mire l'entrée en vigueur en Europe du règlement général sur la protection des données (RGPD) l'année suivante. Un projet important compte tenu du volume de données traitées par Mailjet (plus de 1,5 milliard d'e-mails envoyés par mois pour une centaine de milliers de clients dans 150 pays dans le monde, ndlr). Nous partions de zéro et avons commencé par une analyse en interne du texte du RGPD avant de sensibiliser et former l'ensemble des collaborateurs, notamment ceux associés au marketing et à la vente. Ce fut souvent un changement culturel de taille. Il faut savoir que 95% du non-respect du RGPD provient de défaillances humaines.
Nous avons ensuite retravaillé nos procédures et pris un certain nombre de mesures techniques et opérationnelles en interne afin d'être entièrement conformes au texte. Nous avons d'ailleurs obtenu la certification de l'Association française pour l'assurance de la qualité et celle de l'Association française de normalisation en juin dernier. Nous en sommes très fiers car il existe très peu d'entreprises certifiées en ce domaine. Enfin, nous avons aussi un dossier en cours de certification auprès de BSI France.
Avez-vous rencontré des obstacles particuliers durant cette période ?
Nous avions beaucoup de challenges à relever avec des moyens humains assez limités puisque mon équipe ne compte que trois personnes. Nous avons dû effectuer un audit de nos 90 prestataires, qui doivent être également tous en conformité. Une dizaine d'entre eux n'a d'ailleurs pas été renouvelée. Puis nous avons dû porter une attention toute particulière à nos prestataires les plus critiques. Nous avons aussi développé des outils internes. C'était un peu comme un contrôle continu des tâches à effectuer dans un contexte de nouvelle ère de protection des données personnelles et de sensibilisation accrue des équipes marketing.
Quelle est votre position dans l'entreprise, de qui dépendez-vous et quel était votre budget pour cette opération ?
En tant que DPO, je suis d'abord indépendante. Ensuite, je suis sous l'autorité directe d'Alexis Renard, le PDG de Mailjet, qui compte aussi sur mon profil de juriste et de directrice du service juridique pour l'épauler sur certains dossiers. J'ai tout son soutien et nous avons un comité de pilotage toutes les trois semaines afin de nous assurer que l'ensemble des acteurs jouent bien le jeu de la conformité au RGPD. Côté budget, c'était extrêmement limité, puisque nous avions uniquement recours à des ressources internes (RH, support technique) sans faire appel à des organismes externes. Au final, le budget de cette opération était de moins de 25 000 euros.
Résumé du projet
En quoi ce projet est innovant
Ce projet posait beaucoup de challenges, notamment à ses débuts, avec le développement nécessaire de nouvelles fonctionnalités conformes au RGPD, y compris la preuve du consentement du destinataire avant l'envoi de tout e-mail".
En quoi ce projet est ambitieux
"Nous avons été la première entreprise à obtenir en juin 2018 la certification RGPD de l'AFNOR alors que nous étions dans un calendrier relativement serré puisque le projet en interne n'a démarré que début 2017".
En quoi ce projet est fédérateur
"C'est un projet globalement positif, notamment pour la protection des données personnelles des utilisateurs".