Aurore Gambelou (Generix) "Mon rôle est de lever les freins liés au RGPD dans le cadre des négociations commerciales"

Editeur de solutions collaboratives en mode SaaS dédiées à la supply chain et à la vente omnicanale, Generix a anticipé les demandes de ses clients concernant le RGPD. Voici comment.

Le JDN propose pour la troisième année consécutive, le 3 décembre prochain, un événement destiné à récompenser les meilleurs data protection officers de France. Pour en savoir plus, rendez-vous sur : La nuit du data protection officer.

JDN. Comment avez-vous assuré la conformité contractuelle de Generix vis-à-vis de ses clients ?

Aurore Gambelou. L'article 28 du RGPD impose un certain nombre de mentions obligatoires dans les contrats liant les responsables de traitement aux sous-traitants. Dès 2018, quelques clients de Generix, en avance sur le sujet, nous demandaient d'amender leurs contrats en ce sens.

Pour répondre rapidement et automatiquement à ces demandes, j'ai mis à jour les templates des contrats clients en y ajoutant une annexe "Données à caractère personnel", reprenant notamment les mentions impératives requises par la réglementation. En interne, ce changement a été, dans un premier temps, difficilement appréhendé par les ingénieurs d'affaires qui y voyaient un frein au business.

Quels outils avez-vous mis en place pour accompagner ces commerciaux ?

J'ai rédigé un document reprenant les éléments de langage à tenir face aux clients sur les contraintes et les obligations du sous-traitant dans le cadre du nouveau règlement. Premiers ambassadeurs de la société, les commerciaux sont les mieux placés pour rassurer les clients s'agissant de notre conformité au RGPD, et accélérer ainsi les négociations contractuelles.

Dans un deuxième document qui pouvait être communiqué au client, j'ai décrit toutes les données à caractère personnel traitées dans nos solutions standards, la finalité des traitements, les opérations de traitement, etc. Il permet aux ingénieurs d'affaires d'accompagner leurs clients sur leur chemin de conformité, certains sont en effet encore à la recherche de ce type d'informations.

Enfin, si un client souhaite un développement spécifique ou dérogeant de façon substantielle à la version standard d'une de nos solutions, sa demande est traitée par Generix en respectant le principe du privacy by design.

Est-ce que le RGPD peut être un frein au business ?

On pourrait penser, à tort, qu'il serait plus facile de négocier des contrats dans la sphère BtoB, compte tenu de la nature des données traitées dans nos solutions. Or, quand les clients prennent conscience qu'ils sont pleinement responsables de traitement, il peut y avoir une appréhension qui se ressent en phase de négociation contractuelle mais également en avant-vente ou en appel d'offres.

Mon rôle est  de rassurer les clients en rappelant que nous sommes un éditeur de solutions en mode SaaS, ne traitant pas de données à caractère personnel critiques. Il s'agit aussi de préciser les mesures de sécurité mises en place. La tâche est plus facile quand j'ai un DPO en face de moi plutôt qu'un juriste. Plus pragmatique, il pondérera davantage le risque.  Ce qui permet parfois d'accélérer la signature des contrats ou des avenants,

Ces discussions avec les clients m'ont permis de mieux comprendre leurs attentes, notamment s'agissant des fonctionnalités présentes dans nos solutions. J'ai fait en ce sens des préconisations sur les développements RGPD à mener en interne.

Comment inculquer une culture RGPD ?

J'anime un réseau d'une quinzaine de référents RGPD désignés dans les différents services. Ces référents tiennent le registre de leur service, utilisent le questionnaire privacy by design pour chaque nouveau traitement de données personnelles, chaque nouveau fournisseur ou produit.

Ils me remontent aussi des informations clés. Un contrôleur de gestion m'a par exemple avertie que l'appendice d'un contrat était mal ou insuffisamment renseigné. Si le contrat avait été signé avec cette description incomplète du traitement, il aurait été bloqué car non conforme au RGPD.

Les référents ont également pour mission de sensibiliser leur équipe à la data privacy. Un intranet dédié rassemble toutes les procédures internes requises par le RGPD, des témoignages des collaborateurs sur l'application du principe de privacy by design et un module d'e-learning. La sensibilisation ne s'arrête jamais. Je forme les nouveaux arrivants tous les quatre mois.

L'étape suivante consiste à mettre en place les mêmes process, de façon homogène, dans les différentes filiales des pays où nous sommes implantés. Je préconise d'appliquer la conformité au RGPD même dans les pays qui ne sont pas assujettis. En effet, de grandes entreprises françaises sont basées aux Etats-Unis ou au Canada et sont donc demandeuses.

En quoi le projet est-il fédérateur pour l'entreprise ?

Premiers ambassadeurs de Generix, les commerciaux sont les mieux placés pour rassurer les clients s'agissant de notre conformité au RGPD, et accélérer ainsi les négociations contractuelles.

En quoi est-il innovant ?

Mon rôle de DPO est de rassurer les clients en pondérant le risque face aux craintes exprimées, en rappelant que nous sommes un éditeur de solutions en mode SaaS, ne traitant pas de données à caractère personnel critiques.

En quoi est-il ambitieux ?

En décrivant toutes les données à caractère personnel traitées dans nos solutions standards, la finalité des traitements, les opérations de traitement… Generix a joué la transparence et s'est positionné comme un tiers de conseil et de confiance.