Toute l’activité de Mailjet repose sur l’utilisation de données personnelles. Le spécialiste français de l’e-mailing n’a donc pas attendu le 25 mai 2018 et l’entrée en vigueur du Règlement général sur la protection des données (RGPD) pour se mettre en conformité. Elle a même couronné sa démarche par une certification AFAQ. Darine Fayed et Yves Rocha, qui ont géré le projet chez Mailjet, livrent leur expérience de premiers certifiés.
Que représente le RGPD pour une entreprise comme la vôtre ?
Darine Fayed : Nous sommes spécialisés dans l’envoi d’emailings pour des grands comptes comme Microsoft, La Tribune ou La Fourchette. Par essence, nos activités nous conduisent à utiliser des données personnelles de leurs clients : nom, adresse, date de naissance, etc. Comme le RGPD impose aux entreprises de s’assurer que leurs prestataires respectent bien les nouvelles règles, il était essentiel, vis-à-vis de nos propres clients, de nous conformer au texte. Nous avons commencé à mettre en place des process en ce sens dès janvier 2017. Nous ne voulions pas être prêts à temps, nous voulions être en avance !
Quelles exigences avez-vous dû respecter ?
Yves Rocha : Elles sont nombreuses et concernent toute la chaîne de traitement. Concrètement, nous devons permettre à chaque individu dont nous détenons des données de pouvoir accéder, rectifier ou supprimer ces informations. Pour cela, il faut revoir en profondeur notre fonctionnement. Création d’un registre du traitement des données, remise à plat des processus IT… En cas de contrôle, nous devons être en mesure de prouver que nous répondons aux demandes dans un délai raisonnable.
Pourquoi avoir souhaité passé la certification AFAQ Protection des données personnelles ?
Darine Fayed: C’est un gage, un élément de preuve très précieux pour nos clients. Cela montre que nous mettons tout en œuvre pour respecter la réglementation. Les effets parlent d’eux-mêmes : en plus d’excellents retours de nos clients actuels, des prospects qui étaient en passe de s’engager avec des concurrents ont finalement choisi de travailler avec nous, car la certification les rassurait et les sécurisait.
En quoi consiste l’audit ?
Yves Rocha : En mars 2018, nous avons passé une première évaluation de deux jours avec AFNOR Certification, pour nous situer et mesurer le travail restant à mener. Nous concernant, il s’agissait essentiellement de compléter le registre de traitement des données pour le rendre plus exhaustif. Le véritable audit s’est déroulé en mai, en un jour et demi. Tous nos process ont été passés en revue à partir de cas réels. L’auditeur AFNOR Certification a identifié les données nécessaires à l’envoi d’un e-mailing traitées par Mailjet ainsi que les moyens mis à disposition des utilisateurs en cas de demande de suppression des données et nos actions pour les traiter.
Quels aspects sont les plus complexes à respecter ?
Darine Fayed : Le suivi de nos propres prestataires. Nous devons nous assurer qu’ils sont tous bien en conformité avec le règlement. Nous avons commencé par référencer nos 80 prestataires, avant d’étudier leurs politiques de confidentialité à partir de la documentation fournie. Certains étaient conformes, d’autres ont signé une charte d’engagement pour le devenir. Nous avons dû mettre fin à notre relation avec quelques-uns, trop éloignés des bonnes pratiques. Maintenant, notre mission consiste à nous assurer qu’ils resteront conformes sur la durée.
Quel rôle a joué AFNOR Certification ?
Darine Fayed : Un accompagnement solide et des conseils précieux pour nous guider sur la voie de la certification. L’audit s’adapte à nos spécificités, et nous avons constaté un réel effort pour comprendre notre environnement, nos enjeux et notre métier. Les conclusions mettent en perspective la réalité de notre activité avec les exigences du RGPD.
L’œil de Benoît Pellan, auditeur d’AFNOR Certification
« La méthode de réussite de Mailjet : un important travail de préparation et un audit à blanc, appelé visite d’évaluation, pour identifier ses forces et ses faiblesses. Lors de l’audit, j’ai constaté que MailJet avait mis en place une organisation efficace pour que la protection des données personnelles soit intégrée dans le quotidien des métiers et qu’une traçabilité des actions soit assurée pour permettre un contrôle. C’est exactement la mise en pratique de l’accountability.
AFAQ Protection des données personnelles atteste ainsi que l’entreprise met tout en œuvre pour protéger les données à caractère personnel dont elle dispose. Dès que la CNIL aura élaboré un référentiel d’accréditation pour la certification RGPD des activités d’une entreprise, nous accompagnerons nos clients déjà certifiés pour migrer vers ce nouveau référentiel. Celui-ci sera très probablement fondé sur la norme ISO/IEC 27001 (Sécurité de l’information), comme l’est AFAQ Protection des données personnelles qui est un outil de la conformité disponible dès maintenant. »