Vous êtes CEO, membre du « Comex » ou suffisamment décisionnaire au sein de votre entreprise pour avoir la charge de décrypter les obligations stratégiques à remplir. Pour peu que vous ayez un peu d’expérience, vous avez vu des charrettes de normes et autres règlementations s’appliquer au sein de l’organisation. Vous êtes rodé(e). Spécialiste de la norme ISO, de l’audit et des multiples prestations de conseil, vous l’avez vu de loin ce RGPD (Règlement Général sur la Protection des Données).
Ok, vous pensez avoir compris le manège : il faut faire de la procédure à tout crin et du process sur du process. Vous trainez les pieds, mais il vous faut quelqu’un. Vous hésitez entre prendre un DPO prête-nom, un opérationnel quelconque sans compétence précise sur le sujet mais disponible, ou essayer de faire le truc en vrai avec des pros (souvent chers, du coup). Vous avez peur d’avoir une « usine à gaz » en prenant un puriste du tableur Excel et de l’enquête interne, mais vous voulez maintenir les formes. Va pour le prête-nom, tant qu’il ne regarde pas trop en interne comment l’on fonctionne. Vous prenez quelqu’un et lui augmentez sa facturation initiale de sorte qu’il fasse ce que vous attendez de lui sans trop poser de questions : tout tout seul, et rien (ou peu) avec vos équipes.
Le tour est joué : vous pourrez dire à vos clients que vous êtes « conforme RGPD ». Super. Ça n’a servi à rien, ça a couté de l’argent, mais vous vous dites que ça pourrait permettre de jouer la carte de la « bonne foi » en cas de contrôle de la CNIL. Sur ces bonnes paroles, retour à ce qui est vraiment important (selon vous) : ce qui rapporte (et coûte) de l’argent (maintenant) à votre entreprise.
Le prestataire est content, vous êtes content, tout va bien. Quoique… Vous avez encore eu deux départs ces derniers mois plus un arrêt maladie pour « burn out ». Vous avez un énième concurrent qui se place sur le même produit que vous, et a débauché l’un de vos salariés R&D névralgique pour votre nouveau produit. Vous avez perdu un contrat face à un concurrent qui semble pourtant bien en dessous de vous : apparemment vos sous-traitants posent problème, mais vous n’avez pas plus d’info. Il y a eu aussi cette histoire de vol de clef USB contenant des CV de collaborateurs l’année dernière, dont vous n’avez entendu parler qu’il y a 3 semaines après le départ du salarié impliqué. Il y a aussi cette fronde syndicale à cause de votre nouveau système de caméra de surveillance. Vous observez une baisse au niveau commercial : les prospects ne répondent plus aussi bien qu’avant à vos emails de prospection. Sûrement la faute du nouvel embauché du service marketing : il ne fera pas long feu, celui-là. Vous mettez son avertissement de travail dans votre « to-do list ».
Bref, vous n’allez pas encore perdre du temps avec cette histoire de RGPD, car l’avenir de votre entreprise est en jeu pour des motifs bien plus sérieux.
Mais le doute vous taraude. Tout pourrait-il être lié ? Non, il doit s’agir d’une erreur. Et pourtant…
Vie privée au travail, non ce n’est pas inutile
Open-space : souffrance au travail avec ou sans guitare dans les bureaux. Pour rappel, l’open space serait responsable d’une baisse de productivité de 66% des collaborateurs (voir notre précédent article). Si un DPO (Délégué à la Protection des Données ou Data Protection Officer) réellement soucieux de son travail avait donné son avis lors de l’aménagement de vos espaces, il aurait fait en sorte que chacun puisse disposer, sur son poste, d’une réelle intimité, ne serait-ce que pour fermer les yeux ou étendre les bras sans se sentir jugé afin de recharger ses « batteries » pour être plus productif. Une bonne partie des gens qui lisent cet article ont fait des études : avez-vous réellement été capable d’être productif sans discontinuer dans vos révisions pendant plusieurs heures ? Au delà de ça, l’auto-asservissement des salariés incluant les « tiens, il est 17h, t’as pris ton après-midi ? » nuisent à la production et causent du présentéisme inutile. Si cette méthode était efficace, ça irait, mais toutes les études montrent le contraire. Ne serait-il pas judicieux d’offrir un peu d’intimité à ses salariés ? Non, non, et non ils n’en profiteront pas pour ne rien faire à l’insu de tous. Les jeunes générations qui arrivent sur le marché de l’emploi ont une expression toute faite pour rejeter un tel raisonnement autoritaire : « ok boomer ».
Vidéosurveillance : Il est totalement interdit, sauf cas rares et marginaux, de filmer son salarié en continu. De plus, il ne peut être filmé à son insu. La vidéosurveillance est un dispositif très encadré. Pourtant, j’ai rencontré des salariés dans de petits commerces qui se plaignent de recevoir des sms de leurs employeurs basés sur une utilisation via leurs « smartphones » des caméras disposées dans tous les coins. Combien de prudhommes ou de contrôles surprise de l’inspection du travail auraient été évités si l’on s’était contenté d’utiliser les caméras pour ce qu’elles sont : un dispositif de sécurité ? De plus, ces films sont bien stockés quelque part, susceptible de subir un vol ou une cyberattaque. Le jeu en vaut-il la chandelle ? Vraiment ?
Échanges entre collaborateurs : les salariés sont des êtres humains, au travail comme hors du travail. Ils vont déjeuner ensemble, créer des liens, ou s’éviter. Ils échangent, donc, et au-delà du professionnel, très souvent. Nous voulons des salariés efficaces, qui travaillent en synergie et en toute confiance. Pour que cette confiance se crée, ils ne doivent pas se dire que tout ce qu’ils écrivent peut se retourner contre eux (sauf pour ce qui caractérise des faits de harcèlement ou pénalement répréhensibles, bien sûr) et se « siloter » ou créer des sous-groupes autarciques. Respectez la confidentialité des échanges, précisez bien à tout le monde qu’il faille écrire « confidentiel et personnel » en objet sur un échange hors professionnel et rassurez-les (vraiment) sur votre intention de respecter ce principe d’intimité. Au-delà de la confidentialité a posteriori, réagissez fermement lorsque vous vous retrouvez en copie d’échanges dans lesquels vous n’avez rien à faire car celles et ceux qui rajoutent des copies-jointes dans tous les sens ne le font pas toujours dans un esprit constructif.
Combien de salariés partent en burn-out, sont sous-productifs, n’ont aucune envie de soutenir leur entreprise ou sont intéressés exclusivement par leur intérêt personnel et prêts à partir à la moindre offre d’emploi meilleure que la vôtre ? Combien d’entreprise ont dû essuyer des pertes sèches à la suite du départ ou de la maladie de collaborateurs utiles à des postes clefs ?
Aujourd’hui les salariés veulent se sentir bien, et sont prêts à rester, même avec un salaire inférieur, s’ils sentent qu’ils vivent dans une ambiance de travail correcte, respectueuse, rassurante et apaisée. Vous avez tout à gagner à respecter la vie privée au travail dont je ne fais ici qu’une brève énumération des pistes à explorer.
Propriété intellectuelle et vie privée
Certaines entreprises, pas toutes certes, ont des secrets à protéger. Certains de leurs membres détiennent des informations extrêmement stratégiques sur les projets de la « boite », et ne sont pas nécessairement à des postes de direction. Or, lorsque l’on a une intention malveillante ou un désir d’espionnage industriel, rien n’est plus simple que d’essayer de savoir qui fait quoi au sein de l’entreprise ciblée. Pour peu que certains racontent leur vie sur les réseaux sociaux, c’est le jackpot. Un salarié qui parle beaucoup dans une entreprise qui est ouverte aux quatre vents et c’est la porte ouverte pour déterminer qui travaille sur quoi, et échange avec qui. Rajoutez à cela des applications, des messageries et autres outils mal sécurisés et vous avez l’ « open-bar » stratégique. Par la suite, une petite recherche sur internet permet très souvent de savoir qui habite où, et son contact. Bref, ce n’est pas parce qu’il y a un process écrit qu’il est respecté, surtout quand vous l’avez fait rédiger de mauvaise grâce et que vous n’avez pas permis aux salariés d’en comprendre l’intérêt.
Mais il n’y a pas que les salariés, loin de là. Il y a également les armées de prestataires et sous-traitants qui forment une part non-négligeable des personnes présentes au sein des entreprises à partir de la taille moyenne. A-t-on bien mis à jour leurs contrats pour insister sur la protection des données personnelles, et au-delà de toutes les données de la société ? Le plus souvent, la réponse est non. On vit dans l’action et dans ce qui semble directement rentable, au détriment d’une mort assurée pour peu qu’il y ait survenance d’un impondérable quelconque (qui peut se produire maintenant, dans un mois, dans un an, voire pire : se produire sans que vous en ayez conscience). Il faut donc revoir les contrats et surtout auditer tout le monde, pas pour le plaisir, mais pour être bien certain que vous n’avez pas une ou plusieurs portes ouvertes sur la rue et que les règles sont les mêmes pour tou(te)s. Cela vaut le coup d’y passer du temps, bien mieux employé que les après-midis bloqués par certaines réunions-projets.
Il faut savoir que de nombreuses entreprises concurrentes vont essayer de débaucher vos salariés, voire même que de faux recruteurs contactent vos salariés pour leur extorquer des informations capitales. Oui, ça viole le RGPD, mais beaucoup le font (encore). Pour protéger votre propriété intellectuelle, il est donc fondamental que vous soyez capable de protéger la vie privée de vos collaborateurs et de leur faire comprendre l’intérêt de la notion de secret. Attention : pas la notion de secret bête et méchante sur des sujets triviaux pour faire la distinction entre « ceux qui savent » et « ceux qui ne savent pas ». Quand je parle de secret, c’est de tout simplement pour faire en sorte que tout le monde comprenne qu’il est dans l’intérêt collectif de ne pas en dire trop sur ce qu’il se passe dans leurs entreprises/chez leurs clients. Idem, dans leur intérêt personnel, pour leur intimité chez eux ou sur les réseaux sociaux, d’ailleurs.
Protéger la propriété intellectuelle de votre entreprise nécessite donc de protéger la vie privée et de faire de la conformité au RGPD intelligente. Cela se fait donc, quand on le peut, avec un DPO impliqué et surtout compétent qu’on inclue vraiment dans les projets.
Vos prospections sont de moins en moins efficaces, et ça vous étonne ?
Comment prospecte-t-on en B2B ou en B2C, en gros ? On fait des salons/évènements, on fait des campagnes de mailing ou de la prospection téléphonique. Bien.
Le problème, c’est qu’on est prospecté tout le temps, figurant sur des « listes de diffusion » de plus en plus nombreuses. Au-delà même de la prospection, tout le monde commence à avoir peur des enjeux de cybersécurité et des liens frauduleux. Réaction logique : on ne les regarde plus, voire on les jette dans les « spams » ce qui, a terme, fera passer votre adresse email de prospecteur directement dans la poubelle de vos potentiels prospects.
C’est pire encore pour les appels téléphoniques, venant souvent de faux numéros utilisant des techniques du spoofing. Vu que le numéro ne correspond pas à la réalité, la confiance est d’entrée de jeu rompue, du moins pour les jeunes générations plus sensibilisées à ces techniques que les anciens.
Aujourd’hui, on se félicite d’un « taux de clic » à 2% et l’on s’enthousiasme sur un « objet » de mail percutant. Aujourd’hui 2%, demain 1%. En effet, on ne clique plus sur les emails, sauf si l’on connait son interlocuteur.
Par conséquent le risque est que tout notre modèle de marketing digital ne puisse plus se reposer que sur l’interpellation passive, via la méthode du nudge : en clair la publication de contenus (articles, vidéos etc.). Le problème, c’est que même cette méthode a ses limites : plus il y aura de publications chez vous et vos concurrents moins elles seront efficaces (du fait de la surabondance de contenus disponibles). Je me souviens de l’un de mes professeur d’Université qui m’avait dit « en Droit, il y a plus de gens qui écrivent que de gens qui lisent » : les juristes ne lisent plus que des résumés et synthèses, qui seront eux-mêmes résumés et synthétisés . En marketing/business development, c’est pareil avec ce que l’on appelle les catalogues de « benchmark », dont certains sont revendus entre entreprises.
Conséquences logiques : une telle mécanique renforce les grands acteurs et écrase les nouveaux arrivants : cela tue littéralement la concurrence et va, à terme, conduire les professionnels à choisir le bouche à oreille et les recommandations, méthode ancestrale, pour développer leurs activités. Les grands s’en sortiront, certes, mais pour un temps seulement car la raréfaction des acteurs en concurrence impliquera des situations de monopoles de certaines expertises/fournitures qui pourront jouer sur les prix à loisir, ce qui serait préjudiciable à tou(te)s.
Est-on condamné à se retrouver prisonniers d’un fonctionnement qui fera littéralement perdre tout le monde ? Là encore, les problématiques de vie privée ont toute leur importance. Je ne clique pas sur votre prospection pour deux choses :
- J’en reçois trop et elle est souvent inadaptée par rapport à mes préférences
- Je ne vous connais pas et ne vous fait pas confiance par défaut
Quelle meilleure méthode, bien plus efficace sur le long terme, que celle qui permet de créer des relations privilégiées avec ses interlocuteurs business ? Si je suis informé correctement, que j’ai consenti à cela et que je sais que mes droits sont respectés, je serai alors disposé de donner de vraies informations sur mes préférences. En plus, beaucoup moins de mails reçus (et moins de risques en matière de sécurité informatique) et de la qualité, enfin ! Là, je clique, et la campagne est un succès. Rentabilité maximale et moins de temps passé à faire « phosphorer ses équipes market ». Pareil pour le téléphone : si je sais qui vous êtes, et que j’ai la main là-dessus, je veux bien prendre quelques minutes pour échanger avec vous.
Le RGPD n’est pas là pour vous embêter, il n’est pas là pour vous empêcher faire du business, loin de là. Le RGPD va au contraire vous rendre votre liberté et la confiance de vos clients, ni plus ni moins, tout simplement en impliquant votre DPO (si vous en avez) auprès de vos équipes marketing.
Nous nous arrêtons là pour aujourd’hui
Il y a bien d’autres avantages à axer son entreprise sur la vie privée, mais nous nous arrêterons là pour le moment.
Le RGPD ne ressemble en rien aux normes que vous avez eu l’habitude de faire respecter. Il va bien plus loin et implique bien d’avantage de conséquences positives que ce que vous pourriez voir à première vue par une analyse « processée » de surface. La vie privée est une plus-value tellement cardinale pour l’entreprise européenne qu’il est extrêmement triste et dommageable que l’on n’en fasse pas notre point fort face à des concurrents internationaux ayant une force de frappe économique (déjà) bien plus importante que nous. Notre atout serait de nous différencier et de choisir notre terrain – ce terrain – comme le disait Sun Tzu dans « l’Art de la guerre ». Il ne s’agit pas d’une guerre en tant que telle mais du choix de la société de demain : si nous européens ne sommes pas capables de nous réinventer en nous basant sur l’éthique ou le génie de l’individu libre et éclairé, il ne fait aucun doute que ce sont d’autres modèles, qui comportent également leurs avantages (mais de gros inconvénients), qui prendront définitivement le dessus sur nos entreprises ou nos Sociétés.
Le langage volontairement provoquant de cet article a pour objectif de vous interpeller et non de vous fournir des réponses toutes faites afin de remettre en cause certaines certitudes liées à l’habitude normative et, peut-être, à la mauvaise qualité des messages sur l’utilité de la Protection de la vie privée que vous auriez pu recevoir. N’hésitez pas à prendre contact avec moi ou Observantiae SARL si vous souhaitez échanger et aller plus loin.
Bonne semaine à nos lecteurs(rices) !
DPO externalisé certifié AFNOR (référentiel CNIL) 
fondateur d’Observantiae SARL et initiateur du Réseau Observantiae
