Chez Finalcad, nous avons bien conscience que nous vivons à une époque où les notions de protection des données et de cybersécurité sont cruciales. Dans cet article, vous apprendrez ce que le RGPD signifie pour l'industrie du BTP, et comment Finalcad a toujours été concerné par la protection des données de ses clients.
Dernièrement, nous avons été témoins des conséquences de certains évènements tels que le scandale concernant Facebook et la firme Cambridge Analytica lorsque les données personnelles de millions d’utilisateurs ont été collectées librement sur Facebook dans le cadre de la dernière campagne présidentielle américaine.
Comme l’a récemment mentionné M. Dan Lohrmann :
« [l’année dernière a été] marquée par une série de catastrophes ayant détruit la nature, les données et la confiance. » (traduction libre) - Dan Lohrmann, Directeur stratégie et Chef de la sécurité chez Security Mentor Inc.
Bien que le monde digital offre une multitude d’opportunités toutes plus intéressantes les unes que les autres, celui-ci vient aussi avec son lot de défis dont fait partie la protection des données. En tant qu’entreprise offrant des services connectés à ses clients, plusieurs questions se posent :
Quelles données doit-on collecter ?
Quel usage peut-on en faire ?
Comment s’assurer que ces données soient sécurisées ?
Ces questions ont toutes été considérées dès le début chez Finalcad et notre équipe est constamment à la recherche de nouvelles évolutions produit. Nous cherchons à aligner nos standards avec les nouvelles normes de l’industrie. Dès 2015, nous avons publié une charte d'utilisation des données qui abordait déjà ces questions.
QU’EST-CE QUE LE RGPD ?
Pendant des années, l’utilisation des données personnelles en Europe était réglementée par la Directive 95/46 sur la protection des données personnelles. Toutefois, le Web a grandement évolué depuis les années 90, c’est pourquoi un nouveau règlement a été voté en 2016 et entrera en vigueur à la fin du mois. En effet, dès le 25 mai, le nouveau Règlement général sur la protection des données (RGPD n° 2016/679) sera effectif à travers l’Europe. Son objectif : mieux protéger les résidents européens, harmoniser les règles européennes et les étendre au-delà de l’Union européenne.
Par conséquent, toutes les entreprises européennes, mais aussi les entreprises extra-européennes ayant des activités professionnelles en Europe devront se conformer à ce nouveau règlement faute de quoi elles s’exposent à des sanctions très sévères (jusqu’à 20 M € ou 4 % du chiffre d’affaires mondial consolidé). C’est une bonne nouvelle pour les internautes et les clients; cela signifie plus de transparence et de contrôle sur leurs informations personnelles et la manière dont celles-ci sont traitées, mais qu'en est-il des entreprises ?
AVIS D'EXPERT
Depuis 2011, nous avons travaillé étroitement avec Me Étienne Drouard, avocat associé chez K&L Gates1. Nous avons bénéficié de sa vaste expertise en propriété intellectuelle et protection des données afin de fournir les meilleurs services à nos clients. Plus récemment, nous avons eu l’opportunité de discuter avec lui concernant le nouveau RGPD et ce que ça implique pour des entreprises telles que Finalcad.
Finalcad : Le nouveau RGPD entrera en vigueur le 25 mai 2018. Qu’est-ce que cela signifie pour les entreprises qui collectent les données de leurs clients ?
Etienne Drouard : Cela veut dire que les relations contractuelles entre un prestataire de services comme Finalcad et ses clients sont plus strictement encadrées par le RGPD (à l’Article 28). Il fixe comme obligation principale à un prestataire d’assurer la sécurité et la confidentialité des données personnelles qui lui sont confiées par son client. Les deux parties au contrat, le prestataire et son client, doivent aussi collaborer pour permettre aux personnes qui veulent exercer des droits de pouvoir les exercer. Ils doivent également collaborer pour leurs obligations respectives quand il y a une faille de sécurité chez l’un ou l’autre. Le prestataire comme son client ont chacun 72 heures à compter de la connaissance effective d’une faille pour la documenter, la diagnostiquer et, si les données compromises peuvent représenter un risque élevé sur la vie privée et la protection des personnes, la faille de sécurité devra être notifiée au régulateur local. En France, ce régulateur est la CNIL, mais c’est normalement auprès du régulateur du pays dans lequel est établi le client de Finalcad qu’il faut signaler une faille.
FC : Quels sont les changements majeurs par rapport à la régulation précédente ?
E.D. : À propos de la relation entre le client et les prestataires, il n’y a rien de nouveau sur le principe. Il y avait déjà l’obligation d’avoir un contrat, d’assurer la sécurité, la confidentialité, et de contribuer à répondre aux exercices des droits par des personnes utilisateurs finaux. Le RGPD vient quand même apporter une évolution. Auparavant, le prestataire n’était pas responsable de respecter la réglementation : il devait respecter son contrat de prestataire à l’égard de son client. Si le prestataire commettait une faute au regard de la loi dans l’utilisation des données, la responsabilité légale pesait quand même sur le client vis-à-vis des tiers, notamment les personnes concernées par les données. Avec le RGPD, on rééquilibre les relations. Il peut y avoir une responsabilité conjointe entre le client et le prestataire, lorsque le prestataire a agi librement, sans les instructions du client. Donc le RGPD est plutôt à l’avantage des clients par rapport à la réglementation antérieure adoptée en 1995. Cela dit, Finalcad s’engageait déjà à assurer la sécurité et la confidentialité des données et assumait déjà ses responsabilités, donc cela ne change pas l’encadrement de ses relations avec ses clients.
FC : Quels sont les bénéfices de tels changements pour les utilisateurs ?
E.D. : Je ne sais pas si c’est un bénéfice, mais la peur des sanctions et le territoire très étendu du RGPD font que les entreprises vont devenir plus vigilantes sur la sécurité des données. Je dirais qu’il y a davantage de risques, donc il y a davantage de considération pour ces sujets.
FC : Dans un article récent, vous avez mentionné que le scandale Facebook est un bon test pour voir comment l’Europe appliquera des sanctions. Pensez-vous que tout le monde doive être inquiet pour son entreprise ?
E.D. : Je pense qu'en ce moment il y a un sentiment général de panique, complètement irrationnel. On voit des entreprises qui sont prêtes à détruire leurs fichiers actuels par peur d’une non-conformité future. D’autres envoient des messages dans lesquels elles proposent qu’on confirme notre accord à recevoir des messages de leur part. Et si on ne leur confirme pas notre accord avant le 25 mai 2018, elles promettent de ne plus jamais nous écrire. Elles vont perdre entre 60 et 85 % du contenu de leur base de données en faisant cela, uniquement par panique, parce qu’elles pensent que le RGPD a un effet rétroactif. Les données collectées avant le 25 mai 2018 n’étaient pas soumises à l’obligation d’avoir la preuve du consentement des personnes. Ce qui importe c'est de s'assurer d'être en conformité avec le RGPD à partir de cette date.
FC : Comme nous travaillons en B2B, nous collectons très peu de données personnelles, mais plutôt des données d’entreprise. Quel rôle joue le RGPD avec ce type de données ?
E.D. : Le RGPD ne vient rien changer ni ajouter. Finalcad a toujours pris des engagements de confidentialité, qui relèvent plus largement du secret professionnel. Par ailleurs, Finalcad a le droit d’apprendre comment son application est utilisée, mais ne le fait que sous forme de statistiques, d’améliorations, de parcours, d'algorithmes, de scores de performance. Elle ne peut le faire sous une forme qui renseignerait une entreprise sur les projets d’une autre entreprise. Donc en aucun cas il n’y a un risque de concurrence ou d’atteinte à la confidentialité.
FC : Le digital dans l’industrie de la construction est encore quelque chose de nouveau. Quels conseils donneriez-vous aux entreprises de ce domaine ?
E.D. : Le conseil qui a été bien suivi jusqu’à présent, c’est de faire de la pédagogie, parce qu’on est dans un domaine où les clients confondent la propriété d’un bien et la propriété des informations. La différence entre les deux, c’est qu’il ne sert à rien d’être propriétaire d’une information si on ne peut pas en faire un usage qui apporte de la valeur. Certains peuvent penser qu’en achetant une licence d’utilisation d’un logiciel, ils achètent une entreprise. En réalité, ils paient un droit d’accès à une solution qui préexiste à la relation contractuelle et qui ne mourra pas avec la fin du contrat. Ils ne sont pas propriétaires du prestataire ni des bases de données, mais en revanche ils sont bénéficiaires du service et le prestataire garantit la confidentialité sur l’usage du service. Avec Finalcad, ce bénéfice repose sur le fait qu’on peut enfin comprendre et analyser les dizaines de milliers de chantiers construits, les défauts, les malfaçons et les comportements. Grâce à cette analyse, l’outil d’aide à la construction peut accompagner et prédire les facteurs de ralentissement, de défaillance, comme les facteurs de productivité.
Étienne Drouard
Avocat Associé - K&L Gates
L’ENGAGEMENT DE FINALCAD POUR LE RGPD
Bien que la sécurité ait toujours été une dimension importante de notre travail, depuis l’annonce du nouveau RGPD en 2016, nous avons débuté l’implémentation de plusieurs changements. Notre objectif ultime étant d’offrir à nos clients la tranquillité d’esprit quant à l’exploitation et à la sécurité de leurs données.
Le Règlement Général sur la Protection des Données est composé de six principes de base que nous avons tous adressé en interne afin d’être en conformité :
- Égalité, équité et transparence : s’assurer que la collecte des données soit en accord avec la loi et que les clients sachent quels renseignements sont collectés et pourquoi.
- Raison de la collecte : les données doivent être collectées dans un but précis. Ce dernier doit être mentionné clairement aux clients.
- Minimisation : seules les données pertinentes doivent être collectées par une entreprise. Une plus petite quantité de données signifie moins de risques en cas de violation. Selon le RGPD, toute violation constitue un risque pour les individus et doit donc être rapportée.
- Exactitude : afin d’être bien protégées, les données se doivent d’être exactes. Toute erreur doit être modifiée/effacée et tout individu peut faire une demande de changement ou de suppression de ses données.
- Limite de stockage : les entreprises doivent supprimer toute donnée non nécessaire, ce qui signifie que lorsqu’un individu n’est plus client ses données doivent être supprimées.
- Intégrité et confidentialité : toute entreprise doit mettre en place un système de sécurité correspondant au niveau de risque auquel elle fait face.
Tel que requis par le RGPD, nous avons récemment désigné un délégué à la protection des données, M. Marc Bourel. En effet, Marc possède un savoir-faire approfondi du secteur informatique ainsi que plusieurs expériences d’audit et de responsabilisation d’entreprise. Plus précisément, il a travaillé sur la mise en conformité SOX pour HSBC Assurance et sur la mise en œuvre d’ISO 9001 et ISAE 3402 pour La Parisienne Assurances / Protegys Group et Zags.
Il a débuté chez Finalcad en juin dernier en tant que consultant et s’est maintenant officiellement joint à l’équipe en tant que Chief Information Officer (CIO). Aux côtés de son équipe, Marc travaille assidûment sur la conformité de notre produit avec les normes de l’industrie. Il est un acteur essentiel au sein de notre entreprise et a déjà une multitude de changements et de renforcements de nos processus internes à son actif.
Marc Bourel
Chief Information Officer & Data Protection Officer - FINALCAD
ALLER AU-DELÀ AVEC LA CONFORMITÉ ISAE 3402
Tous ces efforts pour garantir le meilleur service possible font partie d’une initiative plus large que nous avons récemment entrepris afin d’obtenir la norme ISAE 3402. En effet, il est important pour nous de solidifier la relation de confiance avec nos clients et de renforcer notre position de leader digital au sein du marché de la construction.
ISAE 3402 consiste en un rapport émis par le Conseil des normes internationales d’audit et d’assurance (IAASB). Ce dernier sert à fournir aux clients ainsi qu’à leurs auditeurs financiers l’assurance d’une mise en œuvre de contrôles de la qualité au sein d’une entreprise choisie en tant que prestataire de services tiers. Pour obtenir un tel standard, une entreprise doit se soumettre à une série de processus de vérification approfondis afin de prouver qu’elle a instauré les contrôles appropriés (type I) et que ces derniers sont efficaces (type II).
Notre démarche ISAE 3402 nous conduit à mettre en place des contrôles internes qui seront bénéfiques non seulement pour nos clients, mais aussi pour notre entreprise. Cette reconnaissance internationale nous aidera à mieux répondre aux besoins de notre clientèle, et à plus long terme elle entraînera une baisse des coûts en interne dû à une uniformisation des processus et nous aidera dans l’amélioration continue de notre travail.
In fine, ces changements sont nécessaires pour nous aider à transformer la façon de construire !
Pour en savoir plus sur l'usage des données avec Finalcad, lisez également notre charte d'utilisation des données.
1. K&L Gates est un cabinet d’avocats international totalement intégré. Le cabinet a été fondé en 1946 et est basé à Pittsburgh en Pennsylvanie. K&L Gates possède également des bureaux à travers les États-Unis, l'Amérique du Sud, l'Asie, l'Europe, le Moyen-Orient et l'Australie (Bloomberg, 2018).