Sandrine François, Responsable Juridique du groupe IFOP, nous parle de l’impact de la mise en place du RGPD (Réglément Général sur la Protection des Données) sur les activités IFOP, et les actions mises en place par le groupe afin de sensibiliser ses collaborateurs, clients, fournisseurs aux évolutions qui en découlent.
L’adoption par l’Union Européenne du RGPD va changer la manière de collecter et de traiter les données personnelles. Quel impact cela aura-t-il sur le métier des études et plus particulièrement sur l’activité IFOP ?
L’adoption du nouveau règlement sur les données personnelles a un impact important dans le métier des études et dans notre manière de travailler. La partie restitution de la donnée au client n’est pas concernée, car Ifop restitue déjà les résultats de ses études avec des données totalement anonymisées et agrégées.
Cela ne changera donc pas. En revanche, quelle que soit la méthode utilisée (online, face à face ou téléphone), il faut désormais s’attacher à limiter la collecte de la donnée personnelle à ce qui est strictement nécessaire à l’étude (principe de minimalisation), à préserver les droits accrus des répondants (accès, correction, droit à l’oubli et portabilité). Le renforcement du consentement et la conservation de sa preuve entraîne également des modifications dans nos manières de travailler.
Il faut également désormais s’assurer du respect des nouvelles pratiques par nos sous-traitants.
Enfin, pour tout nouveau projet, il faut par défaut s’attacher à penser « donnée personnelle » et intégrer des process adéquats au type de donnée personnelle et au process étude concernés – ce qui n’était pas toujours une priorité avant.
Comment IFOP se prépare-t-il à ce changement de process dans les études, suite à ce règlement sur la protection des données ?
Nous avons à lfop anticipé l’application de ce règlement européen depuis 2016, date à laquelle nous avons, en collaboration avec le Responsable Informatique (Systèmes & réseaux) débuté des formations internes auprès du personnel pour le sensibiliser aux changements à venir.
Nous avons mis en place de nouveaux outils informatiques, comme une plateforme d’échange sécurisée et cryptée ; et sommes également en train de faire évoluer les logiciels dont nous nous servons pour réaliser nos études.
Nous cartographions tous les flux d’échange de la donnée personnelle au sein d’Ifop et finalisons la mise en place des registres d’activités de traitement demandés par le RGPD.
Nous mettons à jour tous nos documents contractuels, et revoyons tous nos contrats avec nos prestataires et sous-traitants afin de les auditer sur le volet donnée personnelle au sens de la nouvelle réglementation.
L’important pour ces changements liés au RGPD est la force donnée à l’information et l’implication en interne ; nous avons donc plusieurs projets de communication internes en cours sur le sujet.
La démarche est globale à Ifop : de la Direction, en passant par les services informatiques ou supports, et évidemment toutes les équipes opérationnelles, tous les intervenants sont impliqués et sensibilisés à ces nouveaux enjeux RGPD.
Selon vous, les clients sont-ils sensibilisés à ce type d’évolution ? Quelles premières actions seront nécessaires à la bonne prise de conscience de leur part ?
Comme le rappelait Isabelle Falque-Pierrotin, Présidente de la CNIL, la plupart des entreprises ne seront pas prêtes le 25 mai 2018, date d’entrée en vigueur du RGPD. Elles mettront même plusieurs années à être en totale conformité. Cela se ressent évidemment pour les clients d’Ifop, dont un certain nombre ne sont pas encore sensibilisés à ce nouveau règlement. Notre devoir est donc de les informer et de les conseiller pour la partie qui nous concerne. Nous sommes également vigilants avec eux sur les échanges de données qui nécessiteraient un échange de données personnelles hors UE. Mais il est à noter que depuis le début de l’année, on remarque une évolution dans les échanges avec nos clients, qui nous sollicitent de plus en plus sur le sujet : pour divers conseils, pour nous demander des garanties sur la sécurisation de leurs données personnelles ou encore pour signer de nouveaux contrats incluant le RGPD.
partager
