Comment La Redoute se met en conformité avec le RGPD?

Trempé dans le bain de l'univers client depuis ses débuts à La Redoute, en 1998, Philippe Huyon a fait de la satisfaction des consommateurs son bâton de pluie. Refonte des applications clients, amélioration du système d'information orienté client ou, encore, lancement du site Internet mobile de La Redoute, en 2007, et déploiement du CRM... le professionnel a oeuvré à l'évolution technologique de l'e-commerçant sur fond de changement de siècle. "J'ai connu le passage à l'euro et la gestion des anciennes boutiques La Redoute avant Internet", témoigne-t-il, amusé.

L'expert ès transformations rejoint d'ailleurs la DSI du groupe en 2010 avec pour objectif d'animer et de coordonner la conduite du changement dans le cadre de la refonte de la supply chain. Avec succès, si l'on en croit les résultats affichés par la maison roubaisienne de prêt-à-porter et de produits pour la "maison" : 10 millions de clients, 9 millions de visiteurs uniques mensuels sur son site Web - dont 60 % sur mobile - ou, encore, 15 000 commandes quotidiennes traitées en deux heures reçues par les clients, ainsi qu'un chiffre d'affaires porté à 750 millions d'euros. Une redoutable machine.

J-1. "Ma volonté est de garantir l'intégrité des données clients"

Changement de cap, en 2015 : Philippe Huyon prend la responsabilité de Correspondant Informatique et Libertés (CIL). "La richesse des projets menés dans ma carrière m'a permis d'acquérir une bonne vision des clients et de leurs parcours, confirme-t-il. En acceptant la mission de CIL, mon approche et ma volonté sont de garantir l'intégrité des données clients", explique le professionnel, adepte de la transparence. Au programme, notamment : une bonne dose de veille autour du Règlement général sur la protection des données personnelles (RGPD) auprès de l'Association Française des Correspondants aux Données Personnelles, d'avocats ou de la CNIL. Mais, aussi, la constitution d'un plan d'actions pour répondre aux nouvelles exigences européennes.

Si la démarche Informatique et Libertés est mise en oeuvre depuis 2011 au sein de La Redoute, Philippe Huyon a travaillé à "sensibiliser le Codir aux nouveaux enjeux du règlement, ainsi qu'une cinquantaine de personnes, du marketing, de la DSI, des data et du Web, plus particulièrement exposées aux changements". Pour adresser le sujet "RGPD" en mode projet, le CIL a monté une équipe dédiée en 2017, composée d'un avocat et de conseillers spécialisés dans la conduite du changement et la constitution du registre des traitements exigés par le règlement.

Jour J. "J'ai écrit les 10 commandements du RGPD pour La Redoute"

Officiellement promu Data Protection Officer (DPO, la nouvelle appellation des CIL), en mai 2018, au moment de l'entrée en vigueur du RGPD, Philippe Huyon voit ses missions évoluer. "Historiquement, nous étions dans une démarche de déclaration de nos traitements de données à la Cnil, contextualise-t-il. Avec le passage du CIL au DPO, je suis dans une démarche d'amélioration continue, via des audits internes de conformité des process, notamment." Le 25 mai 2018, date d'entrée en vigueur du RGPD n'a, pour autant, "pas été un Big Bang", tranche Philippe Huyon. Seul fait marquant en ce Jour J : "Toutes les équipes se sont immédiatement mises en ordre de marche", remarque le DPO. Et pour cause : chaque nouvel arrivant qui travaille dans l'univers data - marketing ou service client, notamment - est sensibilisé à la démarche de l'entreprise et formé aux process. "Pour les aider, j'ai également écrit les 10 commandements du RGPD pour La Redoute, précise Philippe Huyon, qui présentent les bonnes pratiques à suivre au quotidien au niveau de la sécurisation des mots de passe ou du transfert de fichiers contenant des données. Il, est, par exemple, banni d'envoyer, en interne, des informations clients par email."

J+50. "Les actions à mener ont été dispatchées dans une matrice des priorités"

Après un audit d'évaluation des écarts entre la pratique des métiers et les exigences du RGPD, en France et dans les filiales internationales (Angleterre, Belgique, Suisse, Portugal, Suisse, Espagne), un plan d'action visant à répondre à 4 enjeux - éthique, juridique, stratégique, et financier - a été imaginé. "Les actions recensées lors des audits ont été dispatchées dans une matrice des priorités, expose Philippe Huyon. Il est illusoire de penser que la mise en conformité est parfaite au 25 mai 2018."

Pour ce faire, les actions à mener ont été classées en fonction du risque pris par la marque, par la complexité de leur mise en oeuvre, et par leur visibilité par les clients. "L'idée est d'identifier plusieurs types de mesures, précise-t-il. En premier, celles qui prennent peu de temps à déployer, puis celles visibles, sur les sites vitrines de la marque notamment, puisque les premiers contrôles de la Cnil s'effectueront à distance, et enfin, les actions moins urgentes."

Ainsi, la marque a prioritairement déployé un Dashboard sur son site Web, afin de rendre le client autonome dans la gestion de son consentement aux newsletters ou aux cookies... tandis que la mise en conformité des contrats avec ses sous-traitants occasionnels se fait, quant à elle, au fil de l'eau. Un formulaire pour le droit d'opposition ou le droit d'accès à ses données personnelles a été créé spécialement dans le compte client.

J+100. "La sécurisation des data représente d'importants investissements"

Encore en cours, les actions de sécurité de la data. "Les données structurées, dans les logiciels, et non structurées, gérées dans Excel, doivent être maîtrisées et sécurisées. Il s'agit de traçabilité : qui manipule quelles données, pourquoi et comment ? Cela représente d'importants investissements et il a donc fallu dégager des budgets, ce qui prend du temps", fait part le DPO, convaincu que le bon sens est le meilleur moteur de décision.

La sensibilisation continue également auprès des collaborateurs de La Redoute : une vidéo présentant les "RDPO", les DPO déployés dans chaque filiale en relai à l'action de Philippe Huyon, a ainsi été réalisée et présentée aux équipes. Des workshops pour former les experts métiers sont également organisés sur des sujets tels que le droit des personnes, la sécurité ou, encore, le registre des traitements.

J+200. "Il me revient d'auditer de façon régulière les différents services"

Reste, encore, pour La Redoute à sécuriser les contrats avec ses sous-traitants, avec lesquels l'e-commerçant aux 180 ans partage désormais la responsabilité du traitement et de la protection des données clients. Une grande partie de cette mise en conformité contractuelle sera finalisée en 2018, "et un reliquat courra sur 2019", commente Philippe Huyon.

Et après ? Un programme annuel va être déployé. "Il me revient d'auditer de façon régulière les différents services pour voir si les process mis en oeuvre sont toujours respectés ou s'il est nécessaire de les faire évoluer", analyse le Data Protection Officer, engagé dans une démarche d'amélioration continue.