RGPD ? Ces quatre lettres désormais connues de (presque) tous suscitent un vif intérêt et deviennent une préoccupation majeure des entreprises disposant de données de citoyens européens.
Petit retour en arrière pour découvrir comment votre plateforme Brevo s’est mise en conformité avec le Règlement Général sur la Protection des Données depuis début 2017.
1 – Les débuts de la réflexion et les premières mesures
Début 2017, la notion de RGPD était encore floue et peu connue du grand public. Brevo a cependant très vite engagé sa réflexion sur le sujet et sur les implications de son entrée en vigueur.
Il nous est apparu évident que nous nous devions de mener un travail de fond, en particulier en tant que sous-traitant des données personnelles pour le compte des utilisateurs.
La mission de Brevo a toujours été de mettre à disposition des TPE-PME des outils marketing clés en main. Ainsi, en plus de notre propre mise en conformité, nous nous sommes efforcés d’aider nos utilisateurs à assurer simplement leur propre mise en conformité.
La première action a été de nommer une Directrice des Opérations afin de coordonner la réflexion et la mise en conformité.
L’objectif étant de s’assurer que Brevo poursuivrait sa vocation première : permettre aux PME de communiquer avec leurs clients et prospects en respectant cette nouvelle règlementation.
Notre Directrice des Opérations s’est très vite appuyée sur l’expertise du cabinet Keley Data (cabinet de conseil spécialisé dans les sujets data) afin de débuter un premier audit des traitements réalisés par Brevo.
Un premier audit a ensuite été lancé et a permis d’identifier les fonctionnalités clés pour accompagner nos utilisateurs, les zones sensibles et d’établir un plan d’actions de mise en conformité avec le RGPD.
2 – La démarche de mise en conformité
La mise en conformité de Brevo s’est faite petit à petit et a permis de traiter les aspects sécuritaires, légaux, techniques, organisationnels et humains en parallèle.
2.1 – L’adaptation de fonctionnalités clés
Nous avons lancé une grande réflexion avec certains utilisateurs, nos chargés de compte, l’équipe produit, l’équipe technique et nos avocats pour identifier les étapes clés liées au RGPD dans le parcours Brevo.
Le devoir d’information dans un contexte de co-responsabilité
Informés sur l’arrivée du RGPD, de nombreux utilisateurs ont commencé à nous solliciter avec des questions très pertinentes dès le printemps 2017.
Nous avons ainsi mis à leur disposition de nombreuses informations sur les bonnes pratiques à mettre en œuvre pour être conforme au RGPD.
Ces informations sont particulièrement présentes au sein de la plateforme, pour les étapes clés que sont l’import de contacts, la création d’un formulaire de recueil du consentement ou la création du template emailing.
Une section spécifique a été ajoutée au centre d’aide et nous organisons régulièrement des webinars d’information sur le sujet.
Droits à la rectification, à l’oubli et à la portabilité
Il était déjà possible depuis plusieurs années d’exercer ses droits à la rectification, à l’oubli et à la portabilité. Nous n’avons donc pas eu de changements à apporter à ce niveau. Par contre, comme indiqué plus haut, nous avons détaillé les modalités d’exercice de ces droits.
Logs transactionnels
Jusqu’à l’entrée en application du RGPD, les logs transactionnels étaient conservés par défaut sans limite de durée.
Depuis la fin mai 2018, il est désormais possible pour chaque utilisateur de définir la durée pendant laquelle il souhaite conserver les logs de ses envois transactionnels, ainsi que la prévisualisation du contenu de ses messages.
Cette fonctionnalité est également disponible en en faisant la demande au service client.
Formulaire d’inscription à la newsletter
Une attention particulière a été apportée aux formulaires de collecte de contacts.
Il est désormais possible de gérer des préférences d’inscription en ajoutant les contacts à des listes spécifiques en fonction de leurs choix. Nous proposons des mentions standard d’accès à la politique de confidentialité de la marque.
Preuve du consentement
Une fois la collecte réalisée dans les règles de l’art, la preuve du consentement du contact est intégralement disponible sur sa fiche contact.
Il y est spécifié le moment exact de son inscription, l’identifiant du formulaire par lequel il s’est inscrit, ainsi que son IP. Ces informations seront exportables, pour permettre à nos utilisateurs d’apporter la preuve du consentement si besoin.
2.2 – Une revue poussée de la sécurité
Sujet sensible, la sécurité des données a toujours été notre priorité. Le RGPD nous a permis d’aller encore plus loin : assurer une sécurité hermétique des transferts et du stockage des données et permettre un suivi et un contrôle des données et de l’accès à ces dernières.
L’installation de systèmes d’archivage et de traçabilité
La prévention des fuites de données nécessite un contrôle précis des traitements effectués.
Nous avons ainsi mis en place une traçabilité des données tout au long des traitements réalisés via notre plateforme grâce à un système de suivi et d’identifications des logs.
Par ailleurs, nous avons cherché à sécuriser au maximum les données archivées de nos clients. Elles sont hébergées dans des bases de données séparées et les données personnelles sont chiffrées.
L’archivage est réalisé uniquement pour des raisons légales, les bases étant ensuite purgées à l’issue du délai de conservation.
Le lancement de tests d’intrusion
Nous avons commencé par travailler avec un cabinet de conseil spécialisé en cyber-sécurité qui nous a complimenté sur la difficulté d’intrusion de nos systèmes.
Convaincus que l’on peut toujours faire mieux, nous avons fait appel à Bounty Factory. Cette société bretonne regroupe une communauté de chercheurs en sécurité qu’on peut solliciter pour tester la sécurité de son système d’information.
Le programme incite vivement à la recherche de bugs, puisque chaque bug identifié est récompensé par un bounty, soit une récompense.
Ce modèle de « récompense » incite fortement à la détection de failles et garantit à Brevo une détection de la plupart des risques d’intrusion.
2.3 – La gestion de nos partenaires et sous-traitants
Avec le RGPD, toutes les parties prenantes, qu’elles soient responsables du traitement ou un des sous-traitants de la chaîne, portent une part de responsabilité dès lors que le traitement s’effectue sur des données personnelles.
Portant ce double rôle, nous avons mis en œuvre pour tous nos partenaires des moyens de garantir cette conformité sur toute la chaîne de réalisation des traitements.
Dans le cadre du RGPD et de la responsabilisation accrue des sous-traitants, Brevo se doit de garantir la conformité de ses propres sous-traitants avec le règlement.
Nous avons donc contacté chacun de nos sous-traitants avec des questions précises sur leurs propres traitements de données. Nous nous sommes ainsi assurés que leurs processus de traitement des données étaientt conforme au RGPD et à nos engagements vis-à-vis de nos clients.
Nous avons dû prendre la décision de cesser la collaboration avec les sous-traitants ne présentant pas de réponses satisfaisantes à nos questions.
Lorsque les réponses étaient satisfaisantes, nous avons contractualisé ces engagements par des DPA (Data Processing Agreement).
Le DPA est un document spécifiant le type et les modalités des traitements effectués par le sous-traitant pour le compte de Brevo, ce qui permet d’assurer un cadre réglementaire et une traçabilité des données.
Pour nos sous-traitants domiciliés aux Etats-Unis, nous avons dans un premier temps vérifié leur certification Privacy Shield, avant d’exiger la signatures des clauses contractuelles types de la Commission ainsi que l’application de mesures techniques et organisationnelles supplémentaires, pour tenir compte de la décision dite « Schrems II »rendue par la CJUE en 2020, conditions nécessaires pour le traitement de données de citoyens européens.
2.4 – La gestion de l’aspect légal
Bien évidemment, nous avons adapté notre documentation légale, en particulier les Conditions Générales d’Utilisation des services de Brevo ainsi que la politique de confidentialité, toutes deux présentes sur le site à disposition des internautes.
Nous avons fait appel à Gide, cabinet d’avocats de premier plan, afin de mettre par écrit dans des documents exhaustifs et transparents nos engagements et ceux des utilisateurs.
Une clause de sous-traitance a ainsi été rédigée et accolée aux CGU, de manière à spécifier le rôle et les responsabilités de Brevo vis-à-vis de ses utilisateurs dans le cadre de la fourniture de ses services.
2.5 – Les implications du règlement sur l’organisation interne de Brevo
Le RGPD nous a également incité à optimiser notre organisation interne et à faire émerger au sein de notre entreprise des bonnes pratiques et des comportements respectueux des grands principes du règlement.
La sensibilisation du personnel
La mission de certains employés de Brevo requiert un accès privilégié à certaines données personnelles.
C’est par exemple le cas des chargés de compte, qui ont besoin d’accéder à certains éléments du compte de leurs clients pour répondre à leurs questions.
Nous avons commencé par approfondir l’engagement de confidentialité auquel les salariés sont tenus et avons mis en place des sessions de formation.
Une formation générale informe l’ensemble des équipes des règles du RGPD, et des sessions spécialisées viennent enrichir cette formation pour les équipes les plus concernées.
Cela permet au personnel de l’entreprise d’acquérir une connaissance éclairée de leurs obligations afférentes au nouveau règlement.
La mise en place de procédures et de contrôles internes
Afin d’assurer un suivi et une bonne application de la mise en conformité, des procédures internes ont été revues, notamment concernant la gestion des accès du personnel, la gestion des demandes d’exercice des droits des personnes concernées et la gestion de la conservation et de la purge des données.
Un plan de contrôle a été établi afin de vérifier régulièrement la bonne application des procédures mises en place et la mise à jour de la documentation.
La nomination de personnes en charge de la bonne tenue de la mise en conformité
La mise en conformité a été gérée par notre directrice des opérations. Nous avons en parallèle nommé un DPO (Data Protection Officer ou Délégué à la Protection des Données en français), qui a la responsabilité de s’assurer que la conformité de Brevo avec le RGPD est effective dans le temps.
Il s’agit pour le DPO de contrôler régulièrement l’application des différents aspects du règlement et d’assurer un respect des grands principes du RGPD, en particulier celui de Privacy by Design : la vérification de la conformité d’un traitement avant sa mise en œuvre.
Il est secondé par une « équipe DPO » constituée des membres de l’équipe juridique et d’un SecOps pour les aspects concernant la sécurité et la traçabilité des données. Notre DPO est joignable directement à [email protected]
3 – Bilan et prochaines étapes
La démarche de mise en conformité avec le RGPD n’est, en soi, jamais vraiment terminée : il s’agit en effet de vérifier régulièrement que les principes du texte sont respectés en interne et de passer chaque nouveau traitement à la loupe du Privacy by Design.
Brevo est fier d’avoir accompli la première partie du trajet, il s’agit désormais de maintenir cette conformité dans la durée, source de confiance pour nos clients.
Cette démarche aura eu pour avantages :
- De sensibiliser et de faire collaborer les différentes équipes de l’entreprise vers un objectif commun
- De rendre les processus de gestion des données encore plus rigoureux
- D’atteindre une mise en conformité rapide grâce à l’intervention de ressources externes
- De faire un état des lieux innovant de la sécurité du SI et de mettre en place les correctifs nécessaires
- De renforcer le lien entre Brevo et nos utilisateurs à travers la mise à disposition de moyens de mise en conformité depuis l’interface de la plateforme
Près de 150 personnes chez Brevo, engagées dans le RGDP, ont à cœur d’assurer une sécurité et une confidentialité des données qui leur sont confiées et répondront très volontiers à vos questions ou à vos demandes sur le sujet.
Si vous avez des questions concernant la mise en conformité de Brevo avec le RGPD, merci de les envoyer à l’adresse suivante : [email protected]
