L'AFNOR lance la certification « PrivacyTech », qui permet aux entreprises d'attester leurs efforts et leur rigueur du traitement des données. L'initiative est portée par Anaïs Person, dans le cadre d'une nouvelle association « PrivacyTech » créée pour l'occasion. Interview croisée d'Anaïs Person et Hugo Ruggieri, DPO de Doctrine, la première legaltech labellisée.
Pourquoi créer un label PrivacyTech ?
Anaïs Person : Avant la création du label, il n'y avait pas d'option existante pour valoriser un savoir-faire et un engagement en faveur de la protection de la vie privée sans entrer dans des processus de certification internationaux de type ISO 27001, très fiables mais extrêmement coûteux à mettre en œuvre et dépassant largement le cadre des efforts consentis pour accorder une protection exemplaire des données personnelles. Ce constat a été dressé en partenariat avec notre partenaire, l'AFNOR, qui propose elle-même de passer ces certifications ! Nous nous sommes donc concertés et avons décidé de combler ce vide en créant le premier label reconnaissant l'excellence en matière de protection de la vie privée sur Internet.
Avec le label PrivacyTech, nous avons surtout voulu permettre à la tech française, et notamment aux startups et PME, de bénéficier d'une telle distinction. C'est pourquoi le label se distingue par deux caractéristiques assez uniques dans le genre :
Hugo Ruggieri : Je pense qu'il y avait un vrai manque avant la création du label PrivacyTech. Les normes internationales ISO ne répondent pas à tous les besoins et ne se concentrent pas sur l'excellence en matière de vie privée. L'arrivée du PrivacyTech a ainsi permis de combler un besoin pour les entreprises françaises cherchant à se distinguer sur leur marché. En tant que solution française, Doctrine est très fière d'avoir obtenu le label PrivacyTech dans la catégorie Sovereign Solution.
Hugo Ruggieri : La réglementation sur les données personnelles est souvent vue comme une contrainte, comme un mur inhibant l'innovation. Chez Doctrine comme chez PrivacyTech (dont nous sommes adhérents), nous pensons au contraire que le respect du RGPD peut être un avantage concurrentiel. Aujourd'hui, pour gagner la confiance des utilisateurs professionnels comme des consommateurs, il n'est plus suffisant de seulement respecter le RGPD : il faut aller plus loin. Mais le texte s'y prête très bien !
Par exemple, le RGPD incite à ce que l'information soit délivrée de manière claire et transparente : c'est la légitimation du legal design, que nous avons adopté pour notre politique de données personnelles ! De la même manière, l'obligation de conduire une analyse d'impact peut être utilisée comme une opportunité de prendre de la hauteur et de contribuer au débat général : Doctrine a ainsi publié les résultats de son analyse d'impact sur la publication en ligne des décisions de justice ().
Anaïs Person : De la même manière, le RGPD soutient la création de codes de bonne conduite et impose des mesures de sécurité. La labellisation est donc un moyen pour les entreprises qui ont investi dans leur conformité de voir ces efforts audités et avalisés par un tiers indépendant et impartial.
Anaïs Person : Une plateforme a été créée avec notre partenaire AFNOR, disponible au lien privacytech.afnor.org/. Elle permet d'initier la procédure de labellisation. Après le paiement de la contribution à l'audit, il y a un questionnaire à remplir qui varie en fonction de la catégorie choisie. Le questionnaire implique l'envoi d'un certain nombre de preuves, comme des documents, des captures d'écran ou encore des codes d'accès, qui permettront à l'auditeur de vérifier la conformité de la solution au référentiel.
Hugo Ruggieri : En effet, un autre vrai "plus" du label PrivacyTech est que l'audit s'effectue selon le calendrier de l'entreprise auditée. On peut prendre le temps nécessaire pour remplir le questionnaire d'audit. Par exemple, nous avons mis un mois chez Doctrine pour analyser le référentiel, disponible sur le site de PrivacyTech, échanger avec les équipes très réactives pour expliquer les exigences, et compiler les éléments nécessaires pour démontrer notre conformité. Les résultats sont arrivés 3 semaines plus tard, le temps que l'auditeur puisse analyser les éléments fournis. La procédure est donc très fluide du point de vue de l'entreprise. D'une manière générale, le label PrivacyTech est donc un excellent moyen de faire de sa conformité RGPD un avantage concurrentiel !
Encadré : les différentes catégories du Label PrivacyTech
p/o Virginie Gastine Menou
RISQUES ET VOUS
✍🏼 Proposer une offre de job :
💈 Consulter les offres qui vous correspondent :
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.