GEODIS, le RGPD en mode express


Publié le: 13 juillet 2018 par Célia Allouche

Comme beaucoup d’entreprises, GEODIS a dû s’adapter dans des délais très courts pour répondre aux exigences du RGPD. Mais grâce à une approche rigoureuse et pragmatique, le logisticien a pu mettre en place dans les temps les principaux éléments techniques et organisationnels de la conformité. 

Rencontre avec Marc Lotito, Directeur de la transformation de la fonction finance, en charge du projet RGPD chez GEODIS :

Comment le sujet du RGPD a-t-il été abordé chez GEODIS ?

C’est Henri Linière, notre Directeur des Systèmes d’information Groupe, qui, le premier, a porté le sujet devant le comité exécutif. En septembre 2017, la direction de l’entreprise a pris la mesure de l’enjeu, et les préparatifs ont débuté aussitôt, soit huit mois à peine avant l’échéance. Pour éviter que le projet RGPD ne se réduise à sa dimension technique, la DSI estimait préférable de ne pas le prendre dans son giron, et le premier choix fort a été de le confier à la fonction finance, entité à la fois transverse et sensible à la question de la qualité des données. Comme la plupart des entreprises, nous avions peu de compétences sur un sujet aussi neuf et complexe que le RGPD et guère le temps de les développer en interne. Un accompagnement était donc nécessaire, et nous avons retenu Atos Consulting, qui nous donnait des gages de sécurité et de rapidité. Atos avait notamment analysé en profondeur les impacts de la réglementation pour une entreprise internationale telle que la nôtre tout en apportant du sujet une vision très concrète, étayée par ses expériences antérieures et une connaissance de première main des solutions techniques.

Quelle a été la première phase du projet ?

La première étape consistait à assimiler la réglementation, et surtout ses conséquences pour notre activité. Pour cela, nous avons organisé une série d’ateliers combinant une lecture approfondie des textes, préparée par notre direction juridique, et une réflexion sur les risques que nous encourions. Dans notre activité de livraison, nous manipulons beaucoup de données personnelles, comme les adresses et les numéros de téléphone. En outre, nous opérons pour de grands groupes, notamment de e-commerce, qui se doivent d’être irréprochables en la matière car leur réputation est en jeu. Pour nous, le principal risque est donc commercial : il nous faut pouvoir démontrer notre conformité à nos clients qui en font un critère de plus en plus important dans leurs appels d’offres. Fin janvier, en consolidant les travaux des différents ateliers, nous avons abouti à un plan d’action en deux temps : une première série d’actions prioritaires, à réaliser avant l’échéance du 25 mai, puis une seconde vague de chantiers, échelonnés jusqu’à la fin de l’année 2018.

Comment avez-vous mis en oeuvre ces actions prioritaires ?

Le peu de temps dont nous disposions nous a incités à être pragmatiques. Notre ligne directrice était de constituer une boîte contenant des outils adaptés, efficaces et simples à déployer, comme les supports de communication et de formation par exemple. Atos Consulting nous y a grandement aidés, que ce soit pour définir les processus, rédiger les politiques ou développer le module d’e-learning. De cette façon, l’essentiel était prêt le 25 mai : nous avions défini nos politiques, nous disposions d’une première version du référentiel des traitements, et notre DPO (Data Protection Officer) et son organisation étaient en place. Sur ce point, Atos Consulting nous avait avertis des différentes options possibles, et nous avons opté pour un DPO Groupe entouré de correspondants plutôt que pour un DPO par pays. C’est pour nous le plus sûr moyen de maîtriser les processus et la communication en cas d’incident, réel ou supposé. Nous opérons dans 120 pays, mais notre présence y est souvent trop limitée pour assumer localement un risque pesant sur le groupe dans son ensemble. À ce jour, nous sommes conformes sur la plupart des points du RGPD.. Reste à déployer le dispositif dans l’ensemble de notre organisation et à mettre en oeuvre un certain nombre de dispositifs techniques qui renforceront la sécurité et la confidentialité des données. C’est le programme des mois à venir.

« Filiale du Groupe SNCF, GEODIS est l’un des principaux opérateurs de la chaîne logistique en Europe et dans le monde. GEODIS est notamment le leader du transport et de la logistique en France, et au quatrième rang européen. Fort de 40 500 collaborateurs, GEODIS est directement présent dans 67 pays et rayonne dans plus de 120 pays. En 2017, GEODIS a réalisé un chiffre d’affaires de 8,1 milliards d’euros. »

Quel bilan tirez-vous de ce projet ?

Comme lors du passage à l’euro ou à l’an 2000, beaucoup prédisaient un séisme insurmontable. Jusqu’à présent, ça n’a pas été le cas et nous sommes assez optimistes pour la suite. Notre approche rigoureuse et pragmatique nous a permis de tenir notre feuille de route. Nous sommes également très satisfaits de notre collaboration avec Atos Consulting, qui nous a apporté la pertinence de ses analyses, sa rigueur méthodologique, et une somme des connaissances, d’expérience et de benchmarks qui nous a permis de faire les bons choix. Nous avons ainsi découvert des outils que nous ne soupçonnions pas, par exemple pour automatiser la mise à jour du registre des traitements. Le bilan est donc très positif. Seul bémol, comme beaucoup sans doute, nous avons sous-estimé l’emballement que tout le monde a pu constater au cours des dernières semaines. Tout à coup, les demandes de clients ont afflué, et la diversité des formats et des exigences ne permettait pas d’automatiser ou de standardiser nos réponses. Cela a représenté une soudaine et importante charge de travail, à laquelle s’ajoutait le traitement de la démarche similaire que nous avons nous-mêmes engagée auprès de nos fournisseurs.

En avez-vous déjà tiré des bénéfices ?

Bien que l’objectif à long terme du RGPD soit de bâtir le cadre de confiance nécessaire au développement du digital, à court terme, cela reste une règlementation à appliquer, avec les coûts que cela suppose et peu de bénéfices directs. Toutefois, on peut considérer le référentiel des traitements comme un acquis qui nous sera très utile à l’avenir, par exemple dans le cadre des projets d’infrastructure IT. Et pour la fonction finance, c’est une expérience précieuse aussi bien au plan individuel que collectif. Cela nous a permis d’approfondir notre expertise en matière de gestion des données, d’élargir notre éventail d’interlocuteurs et de démontrer notre capacité à mener de grands projets. Rétrospectivement, le RGPD constituera certainement pour toute l’entreprise un cap culturel dans la façon d’appréhender les données.

Partager


Qui est Célia Allouche

Senior Risk Management and Data Privacy Consultant


Suivre ou contacter Célia