Impacts RGPD sur la Médiation du Groupe ENGIE

26 Avr Impacts RGPD sur la Médiation du Groupe ENGIE

Mise en conformité RGPD de l’activité de la Médiation du Groupe ENGIE : quels impacts ?

 

Les dispositions du Règlement Général sur la Protection des Données (RGPD) sont entrées en vigueur en France le 25 mai 2018. Cette mise en conformité avait été anticipée par l’équipe de la Médiation, qui s’était mobilisée pour identifier ses activités et ses process, établir un registre thématique, vérifier la conformité et la pertinence de ses actions, et mettre en œuvre les correctifs éventuellement nécessaires. Ce projet, contribuant à la qualité et à l’amélioration continue, a été initié plus de 6 mois avant l’entrée en vigueur de la réglementation et n’a pas été sans conséquences sur l’activité de la Médiation.

 

Dans la continuité de la Directive du 24 octobre 1995, le Règlement impose au responsable du traitement d’assurer la licéité des traitements qu’il met en œuvre. Cela signifie que pour tout projet impliquant le traitement de données à caractère personnel, le responsable du traitement doit identifier la base juridique appropriée pour le processus envisagé. L’article 6 du Règlement pose 6 bases juridiques possibles :

 

– Le consentement de la personne concernée par le traitement ;
– Les données sont nécessaires à l’exécution d’un contrat ou de mesures précontractuelles ;
– L’obligation légale ;
– La sauvegarde des intérêts vitaux de la personne concernée ;
– L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
– Les intérêts légitimes du responsable du traitement ou par un tiers.

 

Un important travail de réflexion a été mené afin de déterminer quelle serait la base juridique la plus adaptée à l’aune de la complexité des activités de la Médiation du Groupe ENGIE. Après avoir pesé le pour et le contre de chacune de ces bases au regard des différents traitements réalisés, le choix de la Médiation du Groupe ENGIE s’est porté sur la base du consentement car c’est juridiquement celle qui permet de couvrir l’ensemble des échanges avec les requérants (traitement du dossier en médiation, traitement des flux vers le service clients ou le service consommateurs, envoi des enquêtes de satisfaction).

 

Ce choix a eu des répercussions sur l’activité de l’équipe, qui a dû adapter ses processus. Par exemple, les mentions légales d’informations relatives aux données personnelles, accompagnées d’un coupon à remplir donnant autorisation à l’utilisation de celles-ci sont désormais systématiquement envoyées à tout requérant saisissant la Médiation par courrier. Lorsque ce dernier saisit la Médiation par internet, il est tenu de donner son accord avant de pouvoir poursuivre sa saisine. L’accord est donc donné directement.

 

Cette nouvelle étape pour obtenir le consentement des requérants a rallongé les délais de traitement des dossiers de médiation (59 jours en 2017 contre 66 jours en 2018) mais est un préalable nécessaire à tout traitement d’un dossier en médiation. La vertu complémentaire de cette base juridique est aussi de responsabiliser le requérant et de le mettre en confiance concernant le traitement de ses données, à l’image du processus de médiation.

 

Ce procédé permet de créer un environnement dans lequel les requérants peuvent partager leurs données sans avoir à se soucier des problématiques de sécurité. C’est d’ailleurs pour cela que la Médiation du Groupe ENGIE a mis en place une procédure droits d’accès, rectification, effacement, limitation et opposition pour être prête lorsqu’un requérant fait valoir un de ces droits.

 

Une autre action majeure pour la Médiation du Groupe ENGIE a été la vérification de la mise en conformité de ses sous-traitants. Elle travaille notamment avec deux prestataires, l’un pour la gestion de son CRM, outil qui permet de traiter et suivre les dossiers de médiations, dans toutes leurs étapes, et l’autre qui effectue le premier tri des sollicitations reçues et les insère dans le CRM ou les oriente vers les bons interlocuteurs, le cas échéant.

 

Les sous-traitants traitent au nom et pour le compte de la Médiation, à la fois donneur d’ordre et responsable du traitement, des données à caractère personnel. Autrefois le sous-traitant était exonéré de toute responsabilité vis-à-vis de l’autorité de protection des données personnelles (CNIL). Il se retrouve désormais soumis à un régime de responsabilité quasi-similaire à celui du responsable du traitement, en l’occurrence la Médiation du Groupe ENGIE. Par conséquent, il a été nécessaire de faire quelques changements pour respecter l’article 28 du Règlement. Ainsi, nous avons formalisé par écrit les obligations des parties dans des avenants au contrat de sous-traitance en intégrant les nouvelles exigences du Règlement et avons procédé à des audits afin de vérifier la mise en conformité effective de nos sous-traitants avec ce dernier.

 

Ce travail de plusieurs mois a porté ses fruits puisque la Médiation du Groupe ENGIE a été conforme au RGPD avant le 25 mai 2018. Conformément à l’article 35 du RGPD, une Analyse d’Impact relative à la Protection des Données (DPIA ou Data Protection Impact Assessment) a été réalisée et a permis de constater que des mesures juridiques et techniques suffisantes avaient été mises en place afin de garantir la protection des données personnelles.

 

Mentions légales du site du Médiateur, point 4 Protection des données personnelles.



Le site mediateur-engie.com utilise des cookies pour réaliser des statistiques d’audience afin de proposer des contenus et services adaptés aux intérêts de ses visiteurs. En utilisant notre site, vous acceptez l’utilisation des cookies. More information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

En savoir plus