Comment les directions juridiques ont facilité la mise en œuvre du RGPD grâce à l’innovation
« Depuis quelques mois, l’une des grosses tendances en matière de transformation digitale des directions juridiques concerne les projets liés au RGPD », observe Isabelle de La Gorce, partner chez Law PwC Société d’Avocats. Le prix de l’innovation en management juridique 2019 a d’ailleurs été décerné par Village de la Justice à la direction juridique d’Ubisoft, pour avoir créé « plusieurs outils et mis en place une équipe pluriprofessionnelle » dans le cadre de la réglementation européenne relative à la protection des données.
« Notre moto "love = trust + joy" a été décliné dans notre approche RGPD », introduit Judicaël Phan, associate general counsel (privacy, IT & innovation) et global DPO chez Ubisoft. Reposant sur « le respect de la vie privée » et « la confiance », cette approche a « permis de renforcer la confiance des joueurs, celle des partenaires et de multiplier les contrats et les partenariats », explique le juriste.
Concrètement, la direction juridique a mis en place un mécanisme de protection des données dans le cadre des jeux sur mobile. L’entreprise a souhaité être « pionnière ». « Sur mobile, vous avez très peu de mécanismes de consentement au partage et de contrôle sur l’utilisation de vos données. Aujourd’hui, lorsque vous lancez un jeu sur mobile Ubisoft, vous avez la possibilité :
- d’accepter ou de refuser des privacy policies, des politiques de confidentialité ;
- de choisir si vous partagez des données avec des partenaires à des fins publicitaires ;
- ou encore de récupérer une copie de manière automatisée des données qu’Ubisoft détient sur vous ».
« Aujourd’hui, plus de 200 000 personnes ont déjà exercé leurs droits et téléchargé leurs données », souligne Judicaël Phan.
La direction juridique a également « développé des outils en interne dans le domaine RH ». Les salariés reçoivent ainsi « des messages d’information tous les 6 mois qui leur expliquent pourquoi et comment leurs données sont utilisées. Ils peuvent aussi en récupérer une copie », explique-t-il.
Depuis un an, l’entreprise a mis en place « une privacy family » composée des équipes juridiques, sécurité, etc. « L’idée est d’innover dans notre approche et de créer des partenariats en interne ». Pour sensibiliser ses salariés, la direction juridique d’Ubisoft a développé une vidéo ludique avec les Lapins Crétins. En 3 minutes, la vidéo « explique les 7 grands principes du RGPD. On l’utilise en interne, mais l’idée est de la mettre à disposition du plus grand nombre », envisage Judicaël Phan.
« C’est à nous, directions juridiques, de faire un effort pour faire passer un message dans un format consommable et facile à accepter pour nos collègues », estime Geoffrey Delcroix, senior legal innovation manager chez Ubisoft.
D’autres entreprises ont fait le choix de recourir au legal design. C’est le cas d’Atos, où la direction juridique a préparé « un book, une guideline sur la GDPR pour l’ensemble de ses opérationnels », explique Raphaël Der Agopian, chief of staff to the group general secretary & executive vice-president chez Atos. « Car c'est aujourd’hui très mal perçu. C'est un magma d'informations qui sont difficiles à digérer pour eux. Nous essayons donc de faire un book très compact et très design pour leur faire comprendre la problématique ».
Du côté de la MAIF, le DPO « a mis en place un carnet composé de 4 pages plastifiées ». Y sont déclinées « les 4 règles auxquelles un pilote de projet doit penser pour être privacy by design dès le début : quels sont les traitements et les données concernés, quel type de données, etc. A défaut de faire simple, essayons de communiquer de manière simple au niveau de l'utilisateur », conseille Thomas Garnon, juriste au sein du service droit des Affaires de la MAIF.