Près d'un an après l’entrée en vigueur du Règlement général sur la protection des données (RGPD) soit le 25 mai 2019, des entreprises, Google et Uber notamment, ont vu leur politique interne être retoquée pour non respect du cadre légal. Ce texte est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Des éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Autrement dit, toutes les entités professionnelles sont concernées, les multinationales, les PME, jusqu’au garage de quartier.

Premiers enseignements

C’est un sujet sensible dans l’automobile. Nous avons ainsi essuyé plusieurs refus d’en parler de la part de professionnels, soit parce que le sujet leur échappe, soit parce qu’ils ne sont peut-être pas... conformes. Point S et Arval ont accepté de tirer les premiers enseignements du RGPD. Non seulement le réseau spécialisé et le loueur ont été suffisamment informés, mais ils nous ont assuré travailler sur ce cadre réglementaire depuis longtemps.

« Nous ne partons pas d’une feuille blanche, plusieurs actions ont déjà été réalisées sur la donnée client. Par conséquent, nous avons assez vite identifié ce que nous devions faire », explique Joël Arandel, directeur marketing de Point S.

« Nous nous devons d’être fortement sensibilisés aux changements réglementaires, notamment pour démontrer notre capacité à protéger les données personnelles de nos clients sociétés et de leurs employés, de nos clients individuels, partenaires et collaborateurs », ajoute Valérie Mérien, responsable conseil et stratégie des données chez Arval.

Droit de regard et d’accès

Il a tout de même fallu se mettre en conformité. Les données personnelles demeurent désormais confidentielles et sécurisées. Les entreprises deviennent responsables et garantes du respect de leur traitement et capables d’expliquer le processus. Et les personnes physiques ont plus que jamais un droit de regard sur leurs données, avec le renforcement du droit à l’accès, de l’objection, de la rectification ou de la suppression. Un dispositif interne à chaque groupe s’est donc étoffé moyennant de nombreux jours-hommes et des milliers d’euros. Point S dit avoir mis en place « un vrai comité transversal, avec réunion au début de chaque mois », dans plusieurs services qui récoltent de la donnée, des ressources humaines au marketing, en passant par le commerce ou l’informatique. « Pour toute la structure Point S Group International, nous avons musclé nos actions, jusqu’à la surinformation, pour plus de traçabilité. Nous avons créé des registres (immenses tableurs), élu un Data Protection Officer (DPO), revu la totalité des contrats d’adhésion de nos franchisés... », résume Joël Arandel, qui reconnaît son incapacité à dire combien de personnes ont été mobilisées, sur combien de temps et à valoriser un budget : « Aujourd’hui encore, nous sommes toujours en alerte et nous nous mobilisons pour nos centres-autos, qui sont d’ailleurs la priorité à présent. Nous allons accompagner encore plus les réparateurs et leurs petites structures jusqu’à peut-être élire un DPO régional. Nous avons su calmer leurs inquiétudes il y a un an, le travail actuel est d’aller plus loin, notamment sur la communication du RGPD envers leur clientèle. »



Le processus de décision

Quelque chose de tentaculaire a aussi vu le jour chez Arval. Selon Valérie Mérien, le groupe a créé un réseau de correspondants par pays et des registres de traitement de données, mis en place des formations en ligne obligatoires, intégré le règlement européen dans les processus de décision, c’est-à-dire de la création d’un produit ou d’un service jusqu’à la livraison d’un véhicule, modifié les contrats des clients ou encore formé un réseau de DPO.

« C’est un très gros projet, qui a mobilisé une trentaine de pays, de nombreux “workshops”, environ 7 000 collaborateurs, des dizaines de traitements à évaluer, des systèmes informatiques et applications à revoir, des milliers d’heures de formation, des centaines de questionnaires envoyés et traités, des centaines de clients rencontrés… », énumère la responsable des données.

Le loueur n’a pas oublié les gestionnaires de flotte. Des supports et des présentations ont ainsi été diffusés auprès des professionnels, les accords ont été revus et l’accès au conducteur pour l’informer de ses droits a été clarifié. « Tous les appels d’offres contiennent dorénavant ces notions liées au respect du RGPD. C’est un effort constant qui se poursuit », ajoute Valérie Mérien.



Même si la transition est aboutie pour ces deux groupes, ils sont loin d’être irréprochables. D’après eux, la mise en conformité ne sera jamais parfaite et définitive. Des questions plus pointues émergeront et les systèmes devront encore évoluer. Un travail lourd, compliqué pour tous, mais nécessaire. Ce challenge permanent n’effraie pas Joël Arandel : « Je vois le RGPD comme une marque de confiance supplémentaire. Nos adhérents montrent désormais un cadre rassurant par la maîtrise du sujet ou, en tout cas, par la volonté de bien faire. » Valérie Mérien va encore plus loin, jugeant le RGPD intéressant dans le sens où « il amène à considérer la data comme un sujet transversal et fédérateur dans un monde qui ne jure que par ce nouveau carburant ». En injectant plus de transparence, elle pense que le RGPD est une belle opportunité de dialogue. La donnée ne vient-elle pas, avant tout, de l’humain...?