RGPD : comme Mailjet, montrez patte blanche avec la certification AFAQ Protection des données personnelles

©Getty Images/Tolgart

Toute l’activité de Mailjet repose sur l’utilisation de données personnelles. Le spécialiste français de l’e-mailing n’a donc pas attendu le 25 mai 2018 et l’entrée en vigueur du Règlement général sur la protection des données (RGPD) pour se mettre en conformité. Elle a même couronné sa démarche par une certification AFAQ. Darine Fayed et Yves Rocha, qui ont géré le projet chez Mailjet, livrent leur expérience de premiers certifiés.

Que représente le RGPD pour une entreprise comme la vôtre ?

Darine Fayed : Nous sommes spécialisés dans l’envoi d’emailings pour des grands comptes comme Orange, Microsoft ou Trivago. Par essence, nos activités nous conduisent à utiliser des données personnelles de leurs clients : nom, adresse, date de naissance, etc. Comme le RGPD impose aux entreprises de s’assurer que leurs prestataires respectent bien les nouvelles règles, il était essentiel, vis-à-vis de nos propres clients, de nous conformer au texte. Nous avons commencé à mettre en place des process en ce sens dès janvier 2017. Nous ne voulions pas être prêts à temps, nous voulions être en avance !

Quelles exigences avez-vous dû respecter ?

Yves Rocha : Elles sont nombreuses et concernent toute la chaîne de traitement. Concrètement, nous devons permettre à chaque individu dont nous détenons des données de pouvoir accéder, rectifier ou supprimer ces informations. Pour cela, il faut revoir en profondeur notre fonctionnement. Création d’un registre du traitement des données, remise à plat des processus IT… En cas de contrôle, nous devons être en mesure de prouver que nous répondons aux demandes dans un délai raisonnable.

Pourquoi avoir souhaité passé la certification AFAQ Protection des données personnelles ?

Darine Fayed: C’est un gage, un élément de preuve très précieux pour nos clients. Cela montre que nous mettons tout en œuvre pour respecter la réglementation. Les effets parlent d’eux-mêmes : en plus d’excellents retours de nos clients actuels, des prospects qui étaient en passe de s’engager avec des concurrents ont finalement choisi de travailler avec nous, car la certification les rassurait et les sécurisait.

En quoi consiste l’audit ?

Yves Rocha : En mars 2018, nous avons passé une première évaluation de deux jours avec AFNOR Certification, pour nous situer et mesurer le travail restant à mener. Nous concernant, il s’agissait essentiellement de compléter le registre de traitement des données pour le rendre plus exhaustif. Le véritable audit s’est déroulé en mai, en un jour et demi. Tous nos process ont été passés en revue à partir de cas réels. L’auditeur AFNOR Certification a suivi le chemin entre l’envoi d’un e-mailing, la demande de suppression de données reçue en retour et nos actions pour y accéder.

Quels aspects sont les plus complexes à respecter ?

Darine Fayed : Le suivi de nos propres prestataires. Nous devons nous assurer qu’ils sont tous bien en conformité avec le règlement. Nous avons commencé par référencer nos 80 prestataires, avant d’étudier leurs politiques de confidentialité à partir de la documentation fournie. Certains étaient conformes, d’autres ont signé une charte d’engagement pour le devenir. Nous avons dû mettre fin à notre relation avec quelques-uns, trop éloignés des bonnes pratiques. Maintenant, notre mission consiste à nous assurer qu’ils resteront conformes sur la durée.

Quel rôle a joué AFNOR Certification ?

Darine Fayed : Un accompagnement solide et des conseils précieux pour nous guider sur la voie de la certification. L’audit s’adapte à nos spécificités, et nous avons constaté un réel effort pour comprendre notre environnement, nos enjeux et notre métier. Les conclusions mettent en perspective la réalité de notre activité avec les exigences du RGPD.

L’œil de Benoît Pellan, auditeur d’AFNOR Certification

« Mailjet s’est immédiatement plié aux règles du RGPD, avec un important travail de préparation et une évaluation avant l’audit pour identifier les axes d’amélioration. C’est la bonne méthode pour obtenir sa certification ! L’auditeur demande des preuves que les exigences du référentiel sont bien respectées, et dans ce cas, elles sont été fournies en bonne et due forme. AFAQ Protection des données personnelles atteste que l’entreprise met tout en œuvre pour protéger les informations dont elle dispose. Dès que la CNIL donnera officiellement son agrément aux certifications RGPD comme la nôtre, le client pourra se prévaloir d’une protection en béton. Le moment venu, nous accompagnerons nos clients déjà certifiés pour migrer vers le référentiel définitif, qui sera très proche de celui que nous proposons aujourd’hui. »

En savoir plus sur AFAQ Protection des données personnelles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *