RGPD, la bombe à retardement pour les services marketing

RGPD, règlement général sur la protection des données personnelles, GDPR, “chienlit”, plusieurs façons de le nommer, mais un effet similaire : ça fait peur.

 

En mai 2018, ne fais plus ce qu’il te plait.

 

Ce règlement européen, qui sera effectif à partir du 25 mai 2018, va plutôt dans le bon sens pourtant, et ses objectifs sont louables :

  1. Donner à chaque citoyen UE les moyens de reprendre le contrôle de ses données, avec un droit étendu à la protection.
  2. Simplifier les procédures en UE avec un règlement commun et un guichet unique (la CNIL en France)
  3. Faciliter la libre circulation des données personnelles au sein de l’UE

 

Pas de panique donc !

Par ailleurs les formalités auprès de la CNIL seront allégées pour responsabiliser davantage les entreprises. Elles devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

 

Pourtant, une étude montre que plus de 50% des entreprises estiment qu’elles ne seront pas en mesure d’appliquer le texte dans son intégralité d’ici l’échéance du 25 mai. En effet le processus de mise en conformité peut être très lourd suivant les acteurs.

Or les sanctions annoncées sont très importantes, pouvant aller jusqu’à 4% du chiffre d’affaires. MONDIAL.

Sueurs froides.

 

Qui est concerné par le RGPD ?

Concrètement : Tous ceux qui traitent des DCP, Données à Caractère Personnel.

Derrière ce sigle se cache toute donnée permettant d’identifier directement ou indirectement une personne physique.

 

Pour les données directement personnelles, on pense immédiatement au nom et au prénom d’une personne. Mais on a aussi son numéro de téléphone ou son adresse email. On peut également ajouter son image, et donc toute photo ou vidéo permettant de l’identifier directement.

Mais des DCP concernent aussi les données indirectement personnelles, ie qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification unique (ce qui implique nécessairement une table de correspondance). Un bon exemple est le numéro de sécurité sociale. Mais également le numéro client, l’adresse IP ou l’id d’inscription sur un site Internet.

 

La donnée à caractère personnel appartient à la personne concernée.

 

Nos données sont partout

Vous allez me dire : “Pas de DCP, pas de processus de mise en conformité ?“

Eh oui ! Même la loi l’encourage.

Mais c’est franchement impossible en pratique, car ces données constituent une part importante des richesses des organisations. On voit mal une entreprise constituer un fichier d’employés ou un fichier client, sans disposer des noms, prénoms, adresses, emails ou numéros de téléphone des personnes concernées… Cela n’aurait pas grand intérêt.

 

Il faut bien se rendre compte que nos données sont partout, et donc qu’il faut se mettre en conformité.

Vous n’êtes toujours pas convaincus? Voici des exemples de fichiers qui traitent des DCP, appelés traitements. Si vous en utilisez, vous allez devoir prouver votre conformité :

  • Fichiers clients / consommateurs ou CRM
  • Programmes de fidélité
  • Listes de fournisseurs (agences, freelances, blogueurs…)
  • Liste de contacts (pour une newsletter par exemple)
  • Base de données d’inscription sur un site Internet
  • Même les fichiers avec les infos sur les salariés ou les outils de gestion / paie / ERP

 

Une exception cependant : les traitements de données mis en oeuvres pour l’exercice d’activités exclusivement personnelles. Et oui on ne va pas vous demander de faire une déclaration CNIL dès que vous passez un coup de fil à votre grand-mère bretonne.

 

Les piliers du RGPD

Privacy by design

Les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut.

Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »). Par exemple, si vous imaginez mettre en place un traitement automatique qui souhaite un bon anniversaire à vos clients, vous n’avez pas besoin de leur demander l’année de naissance.

Privacy by design

sécurité des données personnelles

Accountability

L’objectif est de faire confiance aux entreprises et de supprimer les obligations déclaratives dès lors que les traitements de données ne constituent pas un risque pour la vie privée des personnes. Quant aux traitements à risque, soumis à autorisation, ils seront régis par le droit national (par exemple en matière de santé) ou par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée (cf paragraphe suivant).

Cet allègement des formalités administratives passe par la responsabilisation des acteurs.

Ces acteurs devront ainsi mettre en place des mesures de protection des données appropriées et être en capacité de démontrer leur conformité à tout moment. Comme disait Lénine : La confiance n’exclue pas le contrôle.

 

Etude d’impact sur la vie privée.

Pour tous les traitements à risque, les entreprises devront conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
En cas de risque élevé, il faudra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Elle pourra s’opposer au traitement à la lumière de ses caractéristiques et conséquences.

 

Sécurité et notification en cas de violation

Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.
Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures.

Les organismes publics ou les entreprises traitant des données à grande échelle seront dans l’obligation de nommer un Délégué à la Protection des Données (Data Protection Officer). Le DPO est le garant de la conformité en matière de protection des donnée et le point de contact de l’autorité de contrôle. Cela concerne principalement les grands groupes et les spécialistes de la data.

 

Sanctions lourdes

Les entreprises peuvent faire l’objet de sanctions administratives graduées en cas de non-conformité, allant de l’avertissement à l’effacement de données.

Selon la catégorie de l’infraction, les amendes administratives peuvent aller jusqu’à 20M€ ou 4% du CA mondial. No kidding.

 

Les droits sont renforcés

Le texte décrit clairement les droits des personnes dont les données sont traitées. On note le renforcement global des droits (consentement, accès, oubli), ainsi que la présence de nouveaux droits comme la portabilité. Le RGPD veut également faciliter l’exercice de ces droits en permettant une information concise, transparente, compréhensible et aisément accessible.

 

Consentement des usagers renforcé pour plus de transparence

“Qui ne dit mot consent” c’est fini. L’entreprise devra désormais obtenir un consentement clair et explicite d’une personne pour utiliser ses données personnelles, et surtout en apporter la preuve. Plus de cases pré-cochées, plus de dépôt de cookie automatique, plus d’inscription sans double opt-in.

Ça va même plus loin car l’entreprise doit prouver le consentement par rapport au type d’utilisation des données (démarchage commercial, marketing, analyse statistique, revente à des tiers, etc.). La personne concernée peut par ailleurs à tout moment activer son droit d’opposition et lever le consentement à un traitement.

 

Droit à l’oubli

Le droit d’accès permet à une personne de se voir communiquer les données personnelles qu’une entreprise traite la concernant, dans un délai de 30 jours après la demande.

De la même façon, le droit à l’oubli lui permet de demander l’effacement complet de ces données. L’entreprise doit alors être en mesure de garantir sous 30 jours que ces données sont complètement supprimées de leurs systèmes.

Ce point à lui seul entraîne une réorganisation des systèmes de stockages de données, bien souvent organisées en silos ou dupliquées.

 

Portabilité des données vers un autre opérateur

Ce nouveau droit veut faciliter la vie des personnes qui souhaitent changer de prestataire. En effet, la RGPD va imposer aux entreprises de mettre à disposition des personnes qui le demandent, leurs données personnelles “dans un format structuré, couramment utilisé et lisible par machine”.

Le règlement va plus loin et permet même aux personnes de demander la portabilité des données “directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible”.

A l’instar des opérateurs téléphoniques qui sont aujourd’hui contraints de permettre à un client de conserver son numéro en cas de départ chez un concurrent, il sera demain possible de garder son RIB en changeant de banque, ou de changer facilement d’assureur.

 

Ces nouveaux droits accordés à la personne concernée par les données impose aux organismes de faire le ménage dans leurs bases et de concevoir des architectures SI plus claires pour être en conformité.

Mais le RGPD est surtout une réelle opportunité pour une entreprise de montrer l’importance qu’elle donne au respect des données personnelles et d’être perçue comme “digne de confiance”.

La conformité au RGPD est aussi un argument commercial : on peut vous confier ses données personnelles

rgpd conformité pour protéger vos clients

Comment faire ??

Suivant la quantité de traitements de données personnelles, la mise en conformité peut être laborieuse. Il y a un travail en amont de cartographie et d’analyse des traitements de données personnelles actuels, puis la définition de nouveaux processus conformes et enfin la mise en place des actions associés.

Nous pouvons résumer les étapes à suivre ainsi :

  1. Désigner un pilote
  2. Cartographier vos traitements de données personnelles
  3. Prioriser les actions à mener
  4. Gérer les risques
  5. Organiser les processus internes
  6. Documenter la conformité

 

Tous les niveaux de l’entreprise peuvent être touchés, et des modifications structurelles peuvent être nécessaires, c’est pourquoi nous vous conseillons de commencer ce projet dès à présent.

Vous êtes également responsable des traitements de vos sous-traitants ! Assurez-vous donc qu’ils aient bien initié cette démarche de conformité.

N’hésitez pas à vous appuyer sur votre service data, sur votre cabinet d’avocat ou sur une société de conseil comme Louis-Auguste.

Sources :

le texte du rgpd : https://www.privacy-regulation.eu/fr/index.htm

Aide CNIL : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels


Also published on Medium.

10 Oct

by 

Created with Snap