bluexml et le RGPD
Petits pas et bonds de géants
Le rôle de bluexml et le RGPD :
Depuis l’entrée en vigueur du RGPD en 2018, bluexml n’avait pas encore intégré fortement cet enjeu à ses pratiques quotidiennes.
Cela s’explique très largement par le métier premier de bluexml, qui est un métier d’intégrateur logiciel. N’hébergeant pas de données, nous fournissons à nos client.es du code informatique, ceux-ci se chargent de l’exécuter, sur des environnements placés sous leur contrôle exclusif.
Nos client.es restent donc maîtres de leurs données et traitements, sans intervention de bluexml, que ce soit en tant que responsable de traitement, co-responsable de traitement ou sous-traitant de leurs activités métier. Ces rôles RGPD ne sont jamais endossés par bluexml.
Le positionnement de bluexml vis-à-vis du RGPD :
Néanmoins, la protection des données à caractère personnel est bel et bien devenue un enjeu majeur pour nos client.es. En tant que partenaire IT privilégié, nous avions un rôle à jouer.
En effet, nos client.es traitent des données relatives à des personnes physiques, tant dans le privé (banques, assurances) que dans le public (collectivités, ministères, agences). Le DPO devient ainsi un de nos interlocuteurs privilégiés dans nos projets de réalisation d’applications, notamment pour s’assurer du respect des principes de conformité (privacy by design = Protection de la vie privée dès la conception).
À juste titre, nos client.es sont de plus en plus exigeant.es sur la prise en compte de cet enjeu, aux côtés des enjeux traditionnels de nos projets (coûts, qualité, délais, ergonomie, design, etc.).
Il devenait nécessaire pour bluexml de monter en gamme sur cet aspect de la vie des DSI, des directions générales, des DPO et des métiers, afin d’accompagner au mieux nos client.es et contribuer à réduire les risques de toutes les parties prenantes.
Quelques chantiers majeurs pour bluexml vis-à-vis du RGPD :
Les compétences
L’ensemble des collaborateurs.trices de bluexml a suivi le MOOC L’Atelier RGPD mise à disposition par la CNIL. Tout nouvel arrivant passe cette étape dans son parcours d’intégration. Nous nous assurons ainsi d’une excellente formation initiale et continue de l’ensemble de nos collaborateurs.trices : ingénieur.es, consultant.es, commerciaux, fonctions support, sans oublier les dirigeant.es, qui sont les premiers concerné.es par le risque juridique.
Une trentaine de personnes chez bluexml ont déjà pu bénéficier de cet effort de formation interne non négligeable. Cet enjeu est aussi régulièrement rappelé, par exemple lors de nos journées RH.
Le business
bluexml a monté des offres et outils pour accompagner nos client.es sur cette problématique. Nous intégrons à certaines offres une demi-journée d’échange avec des expert.es pour bien baliser le projet. Nous mettons ce sujet à l’ordre du jour des comités de pilotage, afin d’assurer un bon niveau d’information respectif.
La communication
L’entreprise a rappelé à tous ses client.es quel était le positionnement de bluexml vis-à-vis du RGPD. Nous avons insisté fortement sur l’impérieuse nécessité d’utiliser des données fictives lors des travaux de développement et d’intégration. Cette contrainte n’est pas toujours bien intégrée par les DSI, alors que des solutions peuvent exister. Le jeu en vaut la chandelle, continuons de faire ensemble l’effort, au quotidien !
La maintenance
En tant qu’intégrateur, nos client.es nous missionnent parfois sur certains projets pour assurer la tierce-maintenance des applications.
Dans certaines occasions, nous sommes amenés à consulter des données, qui peuvent être des DCP, pour comprendre et résoudre des dysfonctionnements.
Pour couvrir juridiquement ce cas de figure (le traitement de données qui est alors sous-traité peut être défini ainsi : recherche, accès, lecture et consultation, modification et/ou correction pour résolution de dysfonctionnements applicatifs), nous avons préparé un support contractuel spécifique, que nous pouvons proposer pour déclinaison aux client.es concerné.es.
Les processus
Au titre de nos obligations en matière de Privacy by design, nous avons intégré à nos outils d’avant-vente une grille de questions. Celle-ci permet de guider les forces commerciales vers les bonnes questions à poser et actions à entreprendre pour assurer le succès et réduire les risques.
Nous utilisons aussi des slides types pour engager la discussion avec nos client.es lors des comités de pilotage. Cela nous permet de vérifier le bon alignement des parties.
Ainsi, même si nous ne sommes généralement pas responsables de traitement ou sous-traitants, nous sommes prêts, aux côtés de nos client.es, pour accompagner leurs projets vers la conformité et la protection des données à caractère personnel.
Sources :
Image de Lindsay Henwood sur Unsplash :
https://unsplash.com/fr/photos/personne-marchant-sur-des-escaliers-bleus-7_kRuX1hSXM