Audit et transfert de compétences RGPD pour l’agence Bretagne Next

Chez l’agence Bretagne Next, c’est la responsable de la communication digitale qui assure également des fonctions complémentaires de Déléguée à la Protection des Données (DPO). Cette nomination a été accompagnée, par nos soins. L’objectif était de donner une vision exhaustive de la conformité web de l’agence Bretagne Next puis de transférer des compétences sur-mesure pour permettre à la responsable communication digitale de gérer la conformité de l’association.

Dans un premier temps, un audit complet de la conformité web de plusieurs sites gérés par l’agence Bretagne Next (bdi.fr et hydrogene-renouvelable.bzh) a été mené. L’intention ici était de réaliser un état des lieux permettant d’obtenir :

• des actions de remédiation détaillées ainsi que des axes de progression,

• un parcours utilisateur détaillé sur chacun des domaines de vérification,

• un relevé de preuves et la communication de recommandations pratiques permettent à l’association de renforcer sa conformité avec le RGPD de manière autonome.

Pour accompagner cette prise de fonction le plus efficacement, permettre le suivi du projet de conformité dans le temps, nous avons en parallèle mis sur pied une formation sur mesure avec notamment plusieurs missions parmi lesquelles : 

• Enrichir les connaissances en opérant un rappel des règles de la protection des données, tout en faisant des connexions pratiques avec les missions et usages principaux de l’agence Bretagne Next, notamment en matière de gestion des optins de ses différentes typologies de contacts.

• Approfondir l’application pratique des notions clés du RGPD, notamment en ce qui concerne les règles à respecter en matière de communication et l’actualisation / enrichissement des mentions d’information,

• Mise en œuvre des optimisations pratiques des résultats de l’audit web, permettant une transposition opérationnelle des recommandations adressées,

• Analyse spécifique du Digital Services Act (DSA) en lien avec une activité de leur plateforme et de leur hébergeur.

La formation s’est donc déroulée en deux sessions afin de pouvoir balayer l’ensemble des sujets de manière opérationnelle et pragmatique.

La réalisation de la formation s’accompagne également de la mise à disposition d’un package de documents utiles au DPO pour la mise en œuvre de la conformité au sein de son organisme.

Comme indiqué, une emphase a bien entendu été réalisée, sur le RGPD appliqué aux activités marketing : 

• RGPD et gestion de bases de données,

• RGPD et collecte de données,

• Différenciation des règles BtoB & BtoC,

• Durée de conservation des données et automatisation des règles de gestion des bases de données,

• Gestion des demandes d’exercices de droits,

• Gestion des consentements et préférences,

• Conformité du site Internet à ne pas négliger qui s’est avéré être un vrai fil conducteur.

Suite à cette formation, les bons réflexes ont été adaptés avec des sollicitations complémentaires sur des questions particulières notamment relatives à la mise en place de partenariats en lien avec la gestion des données à caractère personnel.

Avec les bons outils et bonnes pratiques, l’agence Bretagne Next et son DPO peuvent désormais intégrer le RGPD by design* dans leurs activités, a fortiori en ce qui concerne les activités de communication et marketing. L'objectif pour l'Agence est désormais la poursuite de la mise en conformité de ses activités afin d'atteindre un niveau d'excellence dans les prochains mois et années.

*Le "RGPD by design" est une approche qui vise à intégrer la protection des données personnelles dès la conception d'un projet. L'objectif est de prévenir les atteintes à la vie privée avant même qu'elles ne surviennent.