Bertrand Blond,
DSI de Cerfrance Alliance Centre
Cerfrance Alliance Centre est un cabinet d’expertise comptable, qui compte 700 salariés, et offre ses conseils et services à 12 000 TPE. Auparavant, le cabinet disposait déjà d’un Correspondant Informatique & Libertés (CIL).
Le chantier RGPD a démarré il y a deux ans. Il a fallu identifier tous les types de données, les catégoriser pour pouvoir distinguer parmi elles les données à caractère personnel, qui représentent moins de 10 % du total. La cartographie des traitements a été effectuée en parallèle à d’autres tâches, en utilisant la solution Oryga. « Un outil du marché m’a paru plus efficace qu’Excel, explique Bertrand Blond, directeur des SI, du digital et des solutions informatiques clients de Cerfrance Alliance Centre. Et un éditeur doit se charger de faire les mises à jour juridiques nécessaires. » Pour chaque application, il s’agit de définir quelles données sont concernées, dans quel objectif, où elles sont stockées. En interne, le cabinet a communiqué sur le RGPD d’abord auprès des managers, puis des salariés. Un DPO a été nommé cette année, disposant de compétences juridiques lui permettant de piloter les audits des processus de production. Le cabinet a également modifié ses conditions générales de vente et d’utilisation. communiqué auprès de ses clients sur le RGPD, a recueilli les consentements et mis en place un système électronique de gestion du consentement sur son portail. Deux bases documentaires distinctes ont été établies : l’une avec les adresses génériques des entreprises clientes, et l’autre avec les données personnelles des gérants personnes physiques. Le cabinet a procédé à l’évaluation des fournisseurs et sous-traitants, qui apparaissent dans le registre ad hoc. Toujours avec le support d’Oryga, Cerfrance Alliance Centre travaille à l’analyse d’impacts qu’il compte terminer cet été. Enfin, le cabinet va mettre en place des outils automatiques de suppression des données personnelles au-delà des durées légales de conservation.
« Le RGPD a représenté une opportunité pour réidentifier les données collectées et améliorer notre système de collecte, en se dirigeant vers un pilotage en temps réel de la collecte et du traitement des données, » se réjouit Bertrand Blond. Il conseille de démarrer le chantier RGPD par l’identification des données et la cartographie des traitements, et par la communication interne et externe avec les clients.