COVID-19 : TagG informatique s’adapte face à la crise

COVID-19 : TagG informatique s’adapte face à la crise

Comme toutes les entreprises, TagG Informatique a fait face à de nombreux imprévus durant la crise sanitaire. Comment faire face et rebondir durant cette période ?

Dès les premières alertes concernant la pandémie du Coronavirus, nous avons mis en place des protocoles de sécurité pour assurer la continuité de l’activité de TagG Informatique malgré le confinement.

Nous nous sommes engagés pleinement dans cette démarche pour assurer la sécurité de nos collaborateurs, poursuivre nos missions sereinement et honorer les commandes de nos clients.

Des mesures mises en œuvre à tous les niveaux de l’organisation

Les ressources humaines avant tout

À l’annonce du confinement en mars 2020, la gestion des ressources humaines s’est imposée comme le sujet prioritaire chez TagG Informatique. Comment trouver l’équilibre entre la sécurité de nos collaborateurs et la poursuite d’activité ?

Après avoir déterminé les postes indispensables à l’activité minimale de l’entreprise, nous avons étudié la situation de nos collaborateurs au cas par cas.

Tous les postes dont les missions ne nécessitaient pas obligatoirement le travail au sein des locaux à Entrelacs ont été placés en télétravail. Cette mesure concernait la grande majorité des collaborateurs des services informatique (production et R&D) et administratif (production et général).

Sur site, les services de production et de maintenance ont poursuivi leurs activités, avec un effectif maintenu à 80%, bien évidemment soumis aux mesures de sécurité obligatoires.

Informer pour mieux protéger

Dès le mois de février 2020, TAGG Informatique a intégré le risque sanitaire lié au COVID-19 au «document unique des risques». Des notes d’information destinées au personnel, ont permis la diffusion des consignes successivement mises en place au sein de l’entreprise. Elles rappellent également les bons gestes pour limiter le risque épidémique, et les recommandations à suivre en cas de symptômes.

 

Des gestes pour limiter les risques au quotidien

De nouveaux équipements adaptés

Comme bon nombre de sociétés, nous avons installé dans nos locaux des distributeurs de gel hydro alcoolique. Des gants sont également mis à disposition pour l’ensemble du personnel.

Pour éviter les risques de contamination, des masques de protection à usage unique, puis des masques lavables ont été distribués à nos salariés. 

Nos fontaines à eau ont été supprimées, et remplacées par des bouteilles et gobelets à usage unique. Ces mêmes produits permettent à nos techniciens de s’hydrater sans risque.

Tout miser sur l’hygiène pour 0% de transmission

Dans un souci d’hygiène renforcée, nous avons mis en place la désinfection des sols, poignées, interrupteurs et rampes d’escaliers 1 fois par jour ouvré. Nous avons aussi désactivé le système de climatisation pour éviter le brassage d’air.

Nos collaborateurs utilisent des lingettes pour nettoyer les postes de travail personnels et partagés ainsi que tous les ustensiles communs (machine à café…).

Enfin, pour éviter toute transmission provenant d’objets extérieurs, nous avons acté la mise en isolement et la désinfection des palettes dès réception à Entrelacs. 

Un parcours utilisateur réinventé

Toutes nos habitudes ont été revues pour éviter la proximité : au niveau de l’accueil, bien-sûr, nous limitons les visites au strict nécessaire. Nos assistantes administratives sont désormais protégées par un plexiglass sur la banque de l’accueil.

Des marquages ont été fixés au sol, de façon à permettre les entrées / sorties du personnel à l’accueil, et au stock pour les livraisons. Nos escaliers sont utilisés à sens unique pour éviter les croisements.

Toute réunion, si elle est obligatoire, est organisée dans une salle agencée avec une distance nécessaire entre les personnes et une capacité maximum de participants.

En tout, 47 postes de travail ont été réaménagés, avec des espacements et des déterminations de jauges maximum dans tous les espaces clos.

 

 

 

Un plan d’action pour anticiper de futures crises

Pour capitaliser sur le retour d’expérience concernant la gestion du confinement et du déconfinement, et pour minimiser les risques de contagion pour les éventuelles crises sanitaires à venir, TagG Informatique a créé le PAAP (Preventive Acts Against Pandemic).

L’objectif de ce plan d’action est clairement défini : prendre en compte les risques sanitaires liés aux futures pandémies, maitriser les risques infectieux et éviter la transmission et la propagation au sein de l’entreprise.

Le comité du PAAP est composé :

  • du CSE (Comité social et économique),
  • de la responsable des ressources humaines,
  • du responsable QSE (Qualité-Sécurité-Environnement).

Le comité définit les mesures de prévention, et les priorise en fonction des risques potentiels. Un responsable d’action définit le moyen le plus adapté, ainsi que leur coût, validé par la Direction. Le responsable QSE suit, vérifie l’avancement de chaque action, et valide son efficacité.

Notre premier comité s’est tenu le 23 juin 2020, et il a d’ores et déjà permis de déployer des mesures simples.

Dans les parties communes, tous les interrupteurs seront prochainement remplacés par des détecteurs de présence. C’est le cas aussi pour les robinets et distributeurs sans contact dans les sanitaires. Enfin, les poignées de portes et surfaces de contact seront échangées contre des poignées bactéricides et virucides.

 

TAGG INFORMATIQUE, une équipe à vos côtés

En mettant en place toutes ces mesures, TagG Informatique limite les risques sanitaires et poursuivra dans cette lancée jusqu’à la fin de l’épidémie.

Aujourd’hui, nous restons vigilants quant à l’actualité de nos fournisseurs : quelques allongements de délais sont constatés pour les produits importés, mais TagG anticipe les achats afin de respecter les plannings. En revanche, tous les travaux se poursuivent, y compris la maintenance qui est gérée en interne. Nous avons la satisfaction de constater que la réception et la gestion des stocks ont été maintenues à 100%.

Nous sommes fiers de l’ensemble de notre équipe qui met le cœur à l’ouvrage au quotidien, tout en respectant les nouveaux protocoles.

Nous tenons à adresser nos sincères remerciements à nos clients, qui ont su nous faire confiance dans ce contexte inédit !

RGPD et marketing cross-media : ce qu’il faut anticiper avant le 25 Mai 2018

RGPD et marketing cross-media : ce qu’il faut anticiper avant le 25 Mai 2018

 

Protection des données, sécurité informatique, respect de la confidentialité, etc. Ces concepts ne datent pas d’hier et font déjà partie intégrante de la stratégie informatique des entreprises et des institutions, dont le groupe TAGG Informatique.

Mais dès le 25 Mai 2018, ces notions seront encore plus sur le devant de la scène, les règlementations qui les définissent vont se durcir et leur mise en pratique sera obligatoire. En effet, avec l’arrivée du Règlement Général pour la Protection des Données (RGPD), ou en anglais General Data Protection Regulation (GDPR), l’ensemble des pays de l’union européenne se verra doté d’un règlement commun afin d’harmoniser la gestion des données.

Il faut dire que le paysage informatique a beaucoup évolué depuis la dernière loi Européenne en la matière, datée de 1995. Le RGPD vient donc adapter la règlementation aux dernières évolutions des technologies et des pratiques des sociétés. Entreprises, organismes publics, associations, sous-traitants, tous seront concernés dès lors qu’ils traitent des données personnelles qui concernent les résidents européens.

« Du réseau social le plus populaire à la boutique de prêt à porter qui collecte des emails pour diffuser une newsletter à l’occasion des soldes, le RGPD n’épargnera personne ! »

RGPD, vous avez dit RGPD ?

Texte de référence en matière de protection des données européennes, le Règlement Général pour la Protection des Données a pour but d’encadrer la récolte, le stockage et l’usage des données personnelles qui concernent des citoyens européens. Le RGPD pourra donc également cibler des sociétés hors Union Européenne, et en premier lieu les géants du web que l’on surnomme les GAFA : Google, Apple, Facebook et Amazon, qui possèderaient 95% du marché des données personnelles. Apporter plus de contrôle aux utilisateurs sur l’usage qui est fait de leurs données personnelles, et simplifier l’environnement règlementaire en harmonisant les lois nationales en Europe, voilà le programme du RGPD !

Le RGPD ou le pouvoir redonné aux citoyens

Alors que 68% des citoyens considèrent qu’ils n’ont qu’un contrôle partiel sur leurs données, selon une étude menée par le cabinet Wavestone en 2017, le RGPD risque bien d’inverser la tendance. Le RGPD donne en effet la priorité aux droits des utilisateurs, en leur offrant la possibilité d’avoir une visibilité permanente sur l’usage de leurs données privées. Et l’on entend par « donnée privée » tout élément qui permet d’identifier un individu personnellement : son nom, son adresse, ses date et lieu de naissance, son adresse IP, des informations sur sa santé, ses origines, ses préférences sexuelles, … Toute entreprise qui traite des données de ce type, que ce soit pour son compte propre ou en tant que sous-traitant, est donc concernée par le RGPD.

Pour les entreprises qui ne traitent que de données relatives à des personnes morales, en revanche, le RGPD ne s’applique pas. Dans l’entreprise, ce genre d’informations que l’on regroupe sous l’expression de « données privées » a une valeur particulière pour le service marketing. Récolter les dates de naissance des clients pour leur envoyer une offre spéciale le jour de leur anniversaire, tracer l’adresse IP des prospects et leur parcours sur le site marchand pour leur proposer ensuite des produits complémentaires à leurs recherches, … autant d’actions ciblées qui permettent de proposer à l’utilisateur un contenu personnalisé, pertinent pour lui, et donc d’augmenter le taux de transformation.

« La base de données des clients et prospects d’une entreprise, historiquement utilisée pour la gestion de la relation client, en est devenue la valeur immatérielle la plus précieuse. Ce n’est pas pour rien qu’on surnomme les données personnelles « l’or noir du XXI° siècle » et que 85.3 millions de données ont été volées rien qu’en France entre 2015 et 2016, soit plus d’une donnée par habitant… »

Dans ce contexte, le RGPD représente un challenge pour les entreprises : réussir à collecter les données de ses prospects et clients, à traiter ces données pour segmenter et cibler de manière pertinente, tout en s’assurant en permanence du consentement de ses clients, de leur information et de la protection de leurs données. En somme, le RGPD dessine une fonction marketing plus raisonnée et plus transparente envers les consommateurs.

le RGPD représente un challenge pour les entreprises : réussir à collecter les données de ses prospects et clients, à traiter ces données pour segmenter et cibler de manière pertinente, tout en s’assurant en permanence du consentement de ses clients, de leur information et de la protection de leurs données.

Des sanctions historiques dans les systèmes d’information

Ce programme ambitieux a de quoi inquiéter les entreprises, car les actions à mettre en œuvre pour entrer en conformité avec le RGPD sont nombreuses et structurantes. Alors, pour les encourager à mettre le pied à l’étrier, le RGPD a imaginé des sanctions historiquement répressives en la matière.

« Qui aime bien châtie bien », voilà un dicton à garder en mémoire pour les entreprises qui recevront l’amende pour non-conformité au RGPD, d’un montant pouvant aller jusqu’à 4% de leur chiffre d’affaire annuel mondial, ou de 20 millions d’euros… la somme la plus importante des deux l’emportant. Les actions les plus durement sanctionnées seront :

  • la récolte de données sans le consentement des personnes
  • le traitement illégal de données
  • le non-respect des droits des individus
  • le transfert de données non sécurisé
  • et le refus d’appliquer les injonctions de la CNIL.

Alors que les peines actuellement appliquées sont à peu près 100 fois moins élevées, les règles du jeu vont se trouver complètement bouleversées par le RGPD. Lorsque la CNIL a épinglé le géant Facebook en Avril 2017 pour de nombreux manquements à sa loi « Informatique et Libertés », ce fut avec une amende de 150 000 euros… Une somme qui passerait à 1 100 000 000 euros si la même sanction était prise demain, sous l’emprise du RGPD.

« Ce sont les CNIL locales de chaque nation qui seront chargées de faire appliquer ces règles et de prendre des sanctions si nécessaire. »

Bien sûr, l’amende sera précédée de quelques alertes : avertissement et rappel à l’ordre avant de suspendre le traitement des données dans les cas les plus critiques.

« A partir du 25 Mai 2018, les entreprises auront surtout à prouver leur volonté d’entrer en conformité avec le RGPD. Les sanctions seront réellement prises au début de l’année 2019. »

De plus, les utilisateurs concernés pourront également demander un recours en justice et l’entreprise incriminée pourra être condamnée à leur verser des dommages et intérêts. Mieux vaut donc viser la mise en conformité au plus vite pour ne pas risquer la faillite.

« A partir du 25 Mai 2018, les entreprises auront surtout à prouver leur volonté d’entrer en conformité avec le RGPD. Les sanctions seront réellement prises au début de l’année 2019. »

Les 4 principes à appliquer pour entrer en conformité avec le RGPD

Pour entrer en conformité avec le RGPD, les entreprises seront tenues de respecter 4 principes : la responsabilité, les concepts de « Privacy by Design » et « Security by default », la désignation d’un Data Protection Officer et la réalisation d’une étude d’impact.

1. Le RGPD, ou responsabiliser les entreprises

La principale notion cachée derrière le RGPD est celle de la responsabilisation des entreprises : avec ce nouveau règlement, les entreprises sont tenues de prendre toutes les mesures pour garantir leur conformité avec le RGPD, mais également de démontrer qu’elles remplissent bien leurs obligations en termes de protection des données personnelles. Et puis, en cas de fuite de données ou de piratage, les entreprises auront l’obligation de signaler le problème aux autorités compétentes. Fini le temps où l’on découvre, 12 à 24 mois après, des cyberattaques sur des dizaines de millions d’utilisateurs, comme ce fut le cas pour Yahoo ou Uber au cours de l’année dernière.

2. Intégrer la protection des données par défaut avec les concepts de « Privacy by Design » et « Security by default »

Le concept de « Privacy by Design » existait avant les prémisses du RGPD, mais il prend tout son sens avec le durcissement des lois sur la protection des données personnelles. L’idée du « Privacy by design » est de prendre en compte le respect de la vie privée dès la conception du produit ou service proposé à l’utilisateur. Le « Privacy by design » couvre aussi, bien sûr, le système d’information : toute application ou base de données doit ainsi, par défaut, intégrer le plus haut niveau de protection des données.

La collecte de données est ainsi limitée aux stricts besoins du traitement, et les exigences de sécurité sont renforcées, en remplaçant par exemple des informations personnelles par des pseudonymes, ou en chiffrant les données pour les protéger en cas de piratage. Le concept de « Security by default », quant à lui, renforce les exigences de sécurité du système d’information. Celui-ci doit être sécurisé à tous les niveaux, physiques comme virtuels, avec par exemple la mise en place de contrôle d’accès au stockage des données, ou de système de prévention de fuite d’informations.

3. Un nouveau rôle, celui de « Data Protection Officer »

Avec le RGPD, c’est une nouvelle fonction qui fait son apparition dans l’entreprise : celle de Data Protection Officer, ou DPO, que l’on pourrait assimiler à un délégué à la protection des données.

« Son rôle consiste à prendre en charge les différentes problématiques liées à la protection des données à caractère personnel au sein de son entreprise. C’est lui qui veille à la conformité avec le RGPD et qui est également le point de contact avec les autorités de contrôle. »

En fonction de la taille de l’entreprise, ce rôle pourra être assumé par un membre de la direction, faire l’objet d’une création de poste, ou encore être confié à un prestataire externe tel qu’un cabinet d’avocats. Dans tous les cas, il devient obligatoire de nommer un DPO dès lors que l’entreprise traite des données à caractère personnel pour diffuser de la publicité ciblée à travers des moteurs de recherche, ou s’il s’agit de données portant sur la santé, destinées à un établissement hospitalier. Donc, pour la boutique de votre quartier qui collecte votre email afin de vous envoyer une newsletter lors des périodes de soldes, nommer un DPO n’est clairement pas nécessaire.

4. Sécuriser les traitements des données avec des études d’impact

Avec le RGPD, une nouvelle étape devra être respectée avant la mise en œuvre de nouveaux traitements de données personnelles : l’étude d’impact. Cela permettra d’identifier les risques potentiels d’atteinte aux droits et protections individuelles. Cette étude d’impact devra également être menée si on constate qu’un traitement présente un risque élevé pour le respect à la vie privée des individus. C’est une étape importante pour les entreprises dans leur parcours de mise en conformité car cette étude d’impact permettra de démontrer leur conformité au RGPD.

Pour entrer en conformité avec le RGPD, les entreprises seront tenues de respecter 4 principes : la responsabilité, les concepts de « Privacy by Design » et « Security by default », la désignation d’un Data Protection Officer et la réalisation d’une étude d’impact.

Concrètement, ce que la RGPD va changer pour les entreprises

L’arrivée du RGPD marque réellement le début d’une nouvelle ère, de nouveaux rapports utilisateur/service. A l’époque où « si c’est gratuit c’est vous le produit » et où on ne se rue plus vers l’or mais vers la data, les entreprises numériques risquent bien de voir leur quotidien bouleversé. Les impacts du RGPD seront particulièrement importants sur les actions du service marketing, étant au centre du traitement des données personnelles des clients.

1. Obtenir le consentement de l’utilisateur

Toute récolte de données privées concernant l’utilisateur doit faire l’objet d’un consentement explicite et positif de la part de l’utilisateur.

« Concrètement, lorsqu’un prospect ou client livre des informations personnelles, en remplissant par exemple un formulaire de contact, l’usage qui sera fait des données doit être expliqué, et justifié. »

Qu’un établissement bancaire stocke des informations de type justificatifs de revenus, cela se justifie de par la nature de son activité. S’il s’agissait d’une compagnie aérienne en revanche, cela serait répressible. Les données récoltées doivent donc être strictement nécessaires à l’activité de l’entreprise qui les récolte, et l’usage qui en sera fait doit être explicité clairement aux utilisateurs, qui doivent explicitement donner leur accord pour cela. Ainsi, les cases pré-cochées pour recevoir une newsletter hebdomadaire seront interdites par le RGPD.

« Tout système de profilage, comme les traitement automatisés traçant l’activité d’un client sur un site marchand, doivent également être explicités. Et l’utilisateur a le droit de s’opposer à ce profilage. »

De quoi bouleverser les actions des professionnels du marketing, qui, dans tous les secteurs d’activité, ont pris l’habitude de se baser sur des outils de Customer Relationship Management et d’analyse prédictive pour cibler finement leurs prospects et clients. Particulièrement médiatisé, ce nouveau droit donné aux utilisateurs, et soutenu par les associations de consommateurs, promet de faire l’objet de nombreuses demandes dès le printemps prochain.

2. Appliquer les principes de suppression et de portabilité des données

Le consentement de l’utilisateur à livrer ses données n’est cependant pas irrévocable.

« À tout moment, celui-ci doit pouvoir demander la suppression de ses données, où la récupération dans un format ouvert et lisible par une machine. »

C’est ce que l’on appelle le principe de portabilité des données : un utilisateur peut ainsi récupérer ses données et choisir de les transmettre à un autre organisme, une plateforme d’achat par exemple, qui pourra récupérer son historique en tant que client.

3. Informer et alerter en cas de fuite de données

Le RGPD implique aussi de prendre des mesures fermes en termes de sécurité.

« Chaque société doit informer les utilisateurs sur le parcours de chaque donnée : où sont-elles stockées, des sous-traitants interviennent-ils dans le traitement de ces données ? »

La transmission des données vers un pays hors Union Européenne est formellement interdite et toute fuite de données doit faire l’objet d’une alerte auprès des utilisateurs. En résumé, pour s’assurer de répondre aux exigences de sécurité voulues par le RGPD, il faudra pouvoir répondre aux questions suivantes :

  • Où résident les données et qui a accès à ces données ?
  • Savez-vous qui accède à ces données et comment elles sont utilisées en temps réel ?
  • Pouvez-vous détecter automatiquement une brèche de données et comment pouvez-vous y répondre ?
  • Votre politique de protection des données est-elle régulièrement mise à jour ?

Pour garantir d’être en conformité avec le RGPD, il faudra non seulement avoir la réponse à ces questions mais aussi s’assurer que tous les acteurs qui participent aux processus de récolte et de traitement des données, sont en mesure d’appliquer les règles du RGPD. Il est donc nécessaire de former le personnel et d’établir des contrats précis avec les fournisseurs et sous-traitants pour garantir une sécurité tout au long de la chaine de traitement des données.

infographie RGPD

Conclusion : un chemin court mais intense jusqu’au 25 Mai 2018

Même si les exigences du Règlement Général pour la Protection des Données sont dans la continuité des devoirs imposés par la Directive sur la protection des données personnelles adoptée en 1995, les actions à appliquer pour entrer en conformité sont nombreuses. La particularité du RGPD réside dans la multiplicité des cas qu’elle couvre et dans la précision qu’elle demande dans la connaissance du traitement des données et dans l’information à diffuser aux utilisateurs.

Une récente étude de SafeDK dévoile que 55% des applications mobiles les plus utilisées ne seraient pas conformes au RGPD. Dans une autre étude de l’entreprise de cyber-sécurité F-Secure, seules 37% des entreprises disent se sentir totalement familières avec le RGPD. Malgré cela, 2018 sera l’année de l’action en matière de sécurité informatique, et les entreprises, quelle que soit leur taille semblent l’avoir bien intégré. La médiatisation d’attaques de très grande ampleur, telles que WannaCry en Mai 2017, ont participé à cette prise de conscience au sein des entreprises.

La mise en place des actions visant à renforcer la sécurité informatique, et donc la protection des données personnelles, pourrait bien venir des moyens actuellement utilisés par le marketing, avec l’intelligence artificielle. Le rythme des progrès en la matière ne cesse de s’accélérer et les analyses prédictives permises par l’intelligence artificielle pourraient bien représenter un vrai coup de pouce à l’application du RGPD.

TAGG et la RGPD

Découvrez dans cet article les actions mises en place par le groupe TAGG Informatique pour se mettre en conformité avec la RGPD.

Pin It on Pinterest