Pourquoi le RGPD est-il stratégique pour la Société Générale?

Publié par le - mis à jour à
Pourquoi le RGPD est-il stratégique pour la Société Générale?

Plus qu'un sujet réglementaire, le règlement sur la protection des données personnelles (RGPD) se révèle un sujet business pour les entreprises. Antoine Pichot, DPO de la Société Générale, témoigne des enjeux du texte pour la marque, de l'organisation déployée et de ses missions.

  • Imprimer

Le gardien des données. C'est ainsi qu'est souvent qualifiée la fonction de Data Protection Officer (DPO), en charge du respect du règlement sur la protection des données personnelles (RGPD) dans les entreprises. Antoine Pichot, ancien codirecteur de la stratégie, du digital et de la relation client de la Société Générale, est, depuis septembre 2017, l'un d'eux au sein de la banque de détail en France. Il témoigne, à l'occasion d'une matinée "Données et RGPD" organisée par l'éditeur Coheris et l'AFRC, le 30 janvier, de l'importance du RGPD pour la Société Générale : "Le RGPD est certes un sujet réglementaire, mais plus que tout stratégique, notamment pour les banques. Ainsi, lorsqu'il est demandé à une personne physique quel acteur est le plus légitime pour parler du sujet des données personnelles, les banques sont numéro 1", explique le DPO de la Société Générale.

Et de poursuivre sur le sujet de la confiance des clients : "J'ai été frappé, en lisant le règlement sur la protection des données personnelles, de la façon avec laquelle le texte faisait écho aux remarques de nos focus consommateurs quant à leurs angoisses sur la sécurité ou à leur défiance envers les échanges de data à l'occasion du lancement d'un nouveau service. Il est important de donner une dimension relation client au texte", fait part Antoine Pichot, convaincu que louper la mise en oeuvre du RGPD signifie aller droit dans le mur.

Le RGPD, une opportunité de faire avancer les sujets data

En tant que banque, la Société Générale traite des sujets de données et de sécurité depuis longtemps. "Le RGPD s'inscrit dans une gouvernance de protection, de qualité de la donnée et de développement des usages, déjà existante", confirme Antoine Pichot. Ainsi, le programme RGPD du groupe est piloté par le Data Office groupe, marquant le lien entre le règlement et la stratégie data de la Société Générale. "Le Data Office se sert du RGPD comme marchepied pour faire passer les sujets de données un peu nébuleux et, ainsi, faire en sorte que la gestion de la donnée avance au niveau du groupe", précise le professionnel.

Mais quelle organisation déployer? Antoine Pichot témoigne: "Nous avons mis une structure de tête, sponsorisée par la direction générale de la maison qui est très présente - et notamment par le directeur général en charge des activités retail. Notre volonté est de décentraliser : une équipe groupe fixe les guidelines d'interprétation du texte (autour de l'anonymisation et de la pseudonymisation, notamment) et diffuse celles-ci, via des équipes projets, à l'ensemble des équipes métiers à travers le groupe." Avec une difficulté : gérer les pratiques diverses de collecte de données ou de durée de conservation des data au niveau local... en donnant de la cohérence à l'ensemble de la mise en oeuvre RGPD - le rôle du DPO - de l'agence locale au groupe, en passant par la banque en ligne Boursorama.

Les grandes problématiques ouvertes par le RGPD

"Il faut basculer sur des stratégies de consentement contextualisé"

L'une des grandes problématiques ouvertes par le règlement sur la protection des données personnelles est le recueil du consentement des clients à traiter les données personnelles. La Société Général a ainsi mené, en avance de phase, une campagne de recueil des consentements sur son application mobile, après avoir déterminé des cas d'usages sur le contenu des échanges téléphoniques par chat, la géolocalisation et les échanges avec la banque sur le fil SG. Une démarche "propre" qui n'a, pour autant, par convaincu le DPO, pour qui le consentement peut se révéler un jeu dangereux - le risque étant que l'utilisateur refuse - et qui pourrait, parfois, être remplacé par la notion d'"intérêts légitimes". Le RGPD stipule en effet que toute entreprise peut collecter et traiter des données personnelles sans le consentement des personnes concernées si elle prouve agir dans le cadre de ses "intérêts légitimes". "La frontière est ténue entre l'intérêt légitime et consentement. Il faut se demander qu'est-ce qui ferait que les clients soient surpris et c'est cette dimension subjective qui est la clé du balancement entre intérêt légitime et consentement", relève Antoine Pichot. La Société Générale en tire sa leçon : intégrer la stratégie de consentement au coeur de la stratégie de data marketing. "Il faut basculer sur des stratégies de consentement contextualisé, c'est-à-dire demander le consentement au client au moment où nous lui proposons un service. Les clients percevront davantage la valeur", indique-t-il.

Autre sujet prégnant : la responsabilité du bon traitement des données à caractère personnel désormais partagée avec les sous-traitants. Après le reporting de tous les contrats éparpillés dans l'entreprise, et l'inscription de la bonne clause, place aux choses sérieuses : aller voir les sous-traitants et négocier leur signature. "Un nouveau rapport de force se crée", constate le DPO de la Société Générale.

Sur l'exercice des droits (accès aux données, rectification, suppression, portabilité, notamment), Antoine Pichot note un point d'alerte : "Exercice des droits et contentieux font généralement bon ménage. Demain, nous serons à un stade de maturité où le client demandera la portabilité de la donnée. Aujourd'hui, assez naturellement, cette idée vient lorsque cela se passe mal avec l'entreprise en tant que collaborateur ou client." D'où la nécessité de soigner sa relation client.

Les 4 missions du DPO

En tant que DPO, Antoine Pichot répond à quatre missions fondamentales. La première : veiller au respect du règlement et reporter à la direction de la conformité de la Société Générale. La deuxième : assurer un rôle de conseil aux métiers sur ce qu'ils ont le droit de faire ou non, voire de paver la route en amont pour encadrer les traitements. Troisième mission : être l'interlocuteur unique de la CNIL. Enfin, la Société Générale a décidé que son DPO assurerait un rôle de supervision et d'animation des DPO de chaque pays (la SG a fait le choix de nommer un DPO par pays, appuyé par un correspondant dans les entités où celui-ci n'est pas présent, ainsi qu'un DPO par filiale).

À noter que le groupe bancaire a également fait le choix de confier la responsabilité de la tenue du registre et de l'instruction du traitement au responsable du traitement, dans une approche locale - et non au DPO. "Il y a autant de responsables de traitements que d'activités ou de pays, complète Antoine Pichot. Nous avons fait des regroupements lorsque ces activités sont opérées au sein d'une même filiale, à l'étranger : nous donnons alors la casquette de responsable de traitement au patron de la filiale." Pour autant, plus tôt est impliqué le DPO, mieux c'est, rappelle le professionnel.

À lire aussi :

- Société Générale : "Twitter est une brique à part entière de la relation client"

- Les 4 commandements du RGPD

- 3 solutions pour être RGPD compatible le 25 mai 2018

Journaliste pour Emarketing.fr, Ecommercemag.fr et Relationclientmag.fr et Marketing, je parle souvent data, digital et médias sociaux. Et quand je [...]...

Voir la fiche

La rédaction vous recommande

Sur le même sujet

RGPD: la boîte à outils de Qualifio
Data
RGPD: la boîte à outils de Qualifio

RGPD: la boîte à outils de Qualifio

Par Amélie Riberolle

La plateforme d'engagements d'audiences digitales et de collecte de données annonce la version beta de sa RGPD Tool box, qui donne aux DPO un [...]

RGPD : Comment les marques se mettent en conformité
Data
RGPD : Comment les marques se mettent en conformité
Corentin Mossiere

RGPD : Comment les marques se mettent en conformité

Par Floriane Salgues

A moins de 100 jours de l'entrée en vigueur du règlement sur la protection des données personnelles (RGPD), où en sont les marques et leurs [...]

Renault met en place son DMP France avec Weborama
Data
Renault met en place son DMP France avec Weborama

Renault met en place son DMP France avec Weborama

Par Amélie Riberolle

Renault France, accompagné de l'agence conseil fifty-five, a choisi Weborama pour l'accompagner dans la mise en place d'un dispositif data-driven [...]