TÉMOIGNAGE CLIENT

1- Pourriez-vous vous présenter brièvement : votre entreprise, votre poste et vos responsabilités ?

​

« Je suis Damien Montalan, Directeur des Systèmes d’Information de SATA Group. SATA Group est un exploitant de domaines skiables dans le territoire de l’Oisans (Isère + Hautes-Alpes). Créée en 1959, la SATA exploite, au travers de contrats de Délégation de Service Public, son site historique de l’Alpe d’Huez, le site de La Grave depuis 2017, et le site des 2 Alpes depuis 2020. 

​

Ma mission principale consiste à définir et piloter la stratégie SI du groupe SATA, et à garantir la cohérence des outils informatiques et systèmes informatisés utilisés au quotidien par nos équipes. A cela s’ajoute également le déploiement et la sécurisation des réseaux, et le maintien en conditions opérationnelles de notre infrastructure et des applicatifs nécessaires au fonctionnement de l’entreprise. 

​

Le champ d’action de la DSI au sein de nos domaines skiables est très large : de la vente au suivi du damage, en passant par les registres d’exploitation des pistes et des remontées mécaniques, tous les process de l’entreprise sont informatisés. Nous travaillons donc avec l’ensemble des corps de métiers de l’entreprise.» 

​

​

​

2- Pour quel type de besoin avez-vous fait appel à CyberSecura ? Quel a été le déclencheur ?

« Lorsque le RGPD est entré en vigueur, je me suis retrouvé, comme bien des DSI au sein de PME, parachuté DPO.

Il m’est très vite apparu que la connaissance seule de notre SI et de nos process internes n’était pas suffisante pour répondre aux enjeux du RGPD. Il fallait également disposer de connaissances légales et juridiques particulières, que nous n’avions pas la taille critique pour internaliser.

​

Dès lors, je me suis mis en quête d’une société externe qui pourrait nous apporter son expertise sur le sujet, si possible à taille humaine et proche de chez nous. 

​

Nous avons commencé à travailler avec CyberSecura en 2020. L’idée de départ était de réaliser un état des lieux qui allait servir de base à une mission de mise en conformité RGPD. Mais j’ai rapidement compris que cette mission devait s’inscrire dans la durée pour être réellement efficace. C’est pourquoi nous avons délégué le rôle de DPO à CyberSecura. »
 

​

​

3- Pour quelles raisons avez-vous fait le choix de confier ces missions à CyberSecura plutôt qu’à quelqu’un d’autre ?

​

« J’ai connu CyberSecura par le biais d’une connaissance que nous avions en commun David et moi. Le courant est tout de suite bien passé. 

La proximité a été déterminante pour moi. Sur le plan humain, tout d’abord : nous avons l’habitude de tisser des partenariats forts et pérennes avec nos prestataires, et cela fonctionne beaucoup plus naturellement avec des structures de la taille de CyberSecura. Proximité géographique ensuite : vous êtes basés à Grenoble, et cela a du sens pour nous de travailler avec des prestataires locaux. 

​

Enfin, David a très rapidement créé un réseau dans l’écosystème de la montagne, et cela a beaucoup de cohérence pour nous. Je sais qu’il travaille, par exemple, avec l’Office du Tourisme des 2 Alpes. Cela fluidifie les choses d’avoir un interlocuteur unique. »

​

​

​

4- Aviez-vous des craintes avant la mise en place du projet ?

​

« Je n’avais pas vraiment de craintes en tant que telles. Je savais, en revanche, qu’il risquait d’y avoir une dissonance entre ce que nous demandait le RGPD, ce que disaient certaines lois spécifiques, et ce sur nous étions en mesure de réaliser sur le terrain.

L’enjeu était donc de positionner le curseur au bon endroit, afin de pouvoir continuer de travailler avec fluidité, tout en restant dans le cadre réglementaire. »

​

​

​

5- Quels sont les principaux défis à relever aujourd'hui dans votre secteur d'activité ?

​

« Selon moi il y en a plusieurs.

​

Le premier défi pour nous est de trouver un équilibre entre la nécessité constante d’aller démarcher des clients, et la nécessité de respecter la réglementation relative au RGPD. Cela nous a obligé à revoir certains de nos process marketing notamment. Nous avons également petit à petit appris à tenir compte du RGPD dès la phase de conception de nos projets.

Nous avons également un enjeu avec certains éditeurs de logiciels : certaines solutions ne sont pas encore tout à fait conformes au RGPD. Il faut donc travailler avec les éditeurs pour aller vers la conformité, ce qui demande beaucoup de temps.

​

Ensuite, je mentionnerais les zones grises ou de flou qui existent parfois. Il peut arriver, en effet, que les choses ne soient pas aussi claires et nettes que ce que décrivent les textes. Dans certains cas, certaines lois contredisent même le RGPD. Il faut faire preuve de recul et de discernement pour trouver la bonne réponse. Nous avons besoin de jurisprudence sur ces sujets pour savoir où mettre les curseurs.

 

Enfin, il ne faut pas perdre de vue qu’une station de ski est un écosystème complexe, dans lequel interagissent de nombreux acteurs. Lorsqu’un client vient à l’Alpe d’Huez, aux 2 Alpes, ou à La Grave, il ne vient pas juste acheter un forfait auprès de la SATA : il loue un hébergement, des skis, s’inscrit à des animations, va au restaurant, etc. Il partage donc ses données personnelles avec des opérateurs indépendants les uns des autres, mais qui s’inscrivent dans la même logique territoriale et partagent la même ambition : faire vivre au client une expérience qui lui donne envie de revenir. A ce titre, nous aurions besoin d’agréger des données, de les croiser et de les partager pour avoir une connaissance complète et de nos clients. Or, le RGPD rend cet exercice très complexe. 

 

​

​

6- Comment décririez-vous le travail de CyberSecura, son équipe, en quelques mots seulement ?

​

« Le premier adjectif qui me vienne est ‘proximité’. Il est très important pour moi d’avoir cette proximité, aussi bien humaine que géographique, car elle fait la différence entre une simple prestation et un véritable partenariat. 

Je parlerais aussi de transparence et de confiance. On ne peut pas travailler sur ces sujets sans confiance ni transparence. »

​

​

​

7- Quels sont les résultats de cette collaboration ?

​

« Depuis 2020, la SATA est dans une phrase de croissance très soutenue, avec notamment la reprise de l’exploitation du site des 2 Alpes et la réintégration des sites d’Oz et Vaujany. Nous avons dû faire face au COVID (interdiction d’exploiter durant l’hiver 20-21) et à ses conséquences (difficultés d’approvisionnement, etc), ainsi qu’à la crise énergétique. Il n’a pas été simple de faire de la place au RGPD au-milieu de tout cela !

​

Sans l’externalisation du rôle de DPO auprès de Cybersecura, nous n’aurions clairement pas pu avancer. 

CyberSecura prend en charge et traite directement toutes les demandes d’exercice des droits Informatiques et Libertés formulées par nos clients. Cela nous fait gagner en temps et en efficacité, et nous rassure, puisque nous sommes certains de souscrire à cette obligation règlementaire. 

Par ailleurs, nous avançons sur la production et le maintien à jour des documents nécessaires à notre conformité RGPD. C’est un travail de longue haleine, que nous ne pourrions clairement pas mener sans CyberSecura. Bien que tout ne soit pas encore parfait, nous savons que nous sommes dans la bonne direction, et que nous serions en mesure de prouver notre bonne foi et notre sérieux dans la volonté d’être conformes en cas de contrôle de la CNIL. »

​

​

​

8- Quels éléments avez-vous le plus apprécié dans la solution apportée par CyberSecura ?

​

« J’ai beaucoup apprécié la démarche de mise en conformité. Lors de nos premiers échanges, David est arrivé avec une trame prête à l’emploi. Cela a permis d’avoir un corpus de base, qu’il a ensuite pu adapter à nos particularités. J’ai tout de suite été en confiance, car j’ai compris que le sujet était maîtrisé par CyberSecura. »

​

​

​

​

​

9- Inversement, y a-t-il des éléments qui vous ont manqué, des solutions que vous n'avez pas trouvé dans nos offres ? Comment aurions-nous pu nous améliorer ?

​

« Il est un peu difficile de répondre à cette question… Nous sommes dans une logique partenariale, de co-construction et d’amélioration continue. 

Nous avons fait évoluer la mission plusieurs fois depuis le début de notre collaboration avec CyberSecura, afin qu’elle s’adapte ou se réadapte à notre contexte. Il n’y a donc pas de manque en tant que tels, mais plutôt une volonté et une nécessité permanentes d’accompagner l’évolution de notre entreprise. 

Certaines organisations fonctionnaient au-début de la mission, mais ont dû être revues par la suite ; nous avons fait parfois fausse route et avons dû rectifier le tir. Ce qui compte, finalement, c’est cette agilité, à plus forte raison dans le contexte de forte croissance que connaît la SATA. »
 

 

​
 

10- Quel conseil donneriez-vous aux entreprises confrontées aux mêmes défis, faisant face aux mêmes challenges que vous ?

​

« Je commencerais par faire l’inverse de ce que nous avons voulu faire au départ, à savoir essayer d’adresser le sujet tout seul ! Je pense que, dès le départ, nous aurions dû nous faire accompagner par quelqu’un d’extérieur. Nous aurions probablement perdu beaucoup moins de temps, et gagné en efficacité. »

​

​

​

 

11- Conseilleriez-vous CyberSecura autour de vous ? Pour quelles raisons ?

​

« Evidemment ! Encore une fois pour la taille de la structure, le sérieux, la qualité des relations humaines que nous entretenons, et qui font que CyberSecura n’est pas un prestataire, mais un partenaire.

C’est cette notion de partenariat qui fait la différence pour moi. Le plan d’actions sur lequel nous travaillons avec David n’est pas établi sur 6 mois ou sur 1 an. Nous travaillons sur un plan de 3 à 5 ans, car un accompagnement de qualité sur ce genre de sujets ne peut s’envisager que dans la durée. »