Il est sur toutes les lèvres et approche à grands pas : le 25 mai 2018, les entreprises et organismes privés ou publics qui récoltent et utilisent des données personnelles sur les ressortissants européens devront être prêts à respecter le RGDP, le Règlement Européen sur la protection des Données Personnelles (ou GDPR, General Data Protection Regulation en anglais).De quoi s’agit-il exactement ? A l’heure actuelle, le RGDP représente le dispositif légal de protection des données le plus avancé au monde. Il vise notamment à augmenter la protection des personnes physiques par rapport au traitement de leurs données personnelles dans tous les Etats membres. Vous pouvez consulter son texte intégral ici.Le règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 vise trois grands objectifs :
- Renforcer les droits des personnes via un meilleur contrôle de leurs données;
- Crédibiliser la régulation (sanctions renforcées, coopération étroite entre les différentes autorités de protection des données…);
- Responsabiliser les acteurs en charge des données, y compris les sous-traitants;
Votre entreprise est-elle concernée ?
Oui, si vous collectez, exploitez ou encore stockez des données sur vos utilisateurs, prospects, clients, visiteurs… et plus précisément sur toute personne physique située dans l’Union Européenne, sans tenir compte du lieu de traitement des données en question, ni du caractère uniquement digital de leur récolte (un fichier Excel rempli à la main compte aussi...).Cela va du fichier client traditionnel à la gestion de votre newsletter en passant par les comptes clients (e-commerce par exemple), le tracking des sessions, l’utilisation des données pour le retargeting… ainsi qu’à vos activités si une société vous sous-traite ces missions !En d’autres termes : peu d’entreprises peuvent affirmer ne pas entrer dans le cadre de ce règlement RGDP. Des sanctions allant jusqu’à 4% du chiffre d’affaire ou 20 000 000€ pourront être imposées en cas de non-respect des dispositions.
Les principes clefs du RGDP (et les dispositifs qui en découlent)
Le RGDP va plus loin que le cadre législatif actuel et prévoit notamment d’assurer les principes suivants :
- Le droit à l’oubli : on en parle depuis des années, mais le règlement vient acter qu’il doit être facile pour une personne de demander à disparaître des bases des entreprises qui disposent de leurs données personnelles. Cela inclut aussi les commentaires déposés sur les sites Internet, la suppression d’un profil ou d’un contenu particulier.
- Le droit à la portabilité des données personnelles : le Règlement Européen sur la protection des Données Personnelles prévoit qu’une personne puisse récupérer les données la concernant sous une forme facile à réutiliser et/ou à transférer à un tiers (par exemple, d’un éditeur de site Web à un autre éditeur de site Web, le transfert pouvant également être prévu de site à site directement). L’idée derrière ce nouveau droit est de redonner aux ressortissants européens du contrôle sur leurs données personnelles. Le transfert des données personnelles peut être particulièrement utile dans le cas d’un changement de prestataire : opérateur téléphonique, commerçant, banque…
- Un langage clair et transparent : l’idée n’est plus d’enterrer les explications et options à destination des utilisateurs dans les méandres d’une page de conditions d’utilisation dont le lien est tout petit en bas d’un site Web. Le RGDP insiste sur la transparence et l’utilisation d’un langage clair visant à assurer une vraie compréhension des utilisateurs et le consentement ou non qui découle de la récolte et de l’utilisation de leurs données.
- Le concept de Privacy by Design : la protection des données doit être prévue en amont, dès la conception du service ou produit, et par défaut. Le principe de “minimisation” s’applique aussi, afin de limiter dès le départ les données personnelles récoltées et traitées au minimum nécessaire. La sécurité des données doit être également pensée au moment de la conception du projet, produit ou service.
- Le consentement “éclairé” : le RGDP encadre bien la notion de consentement. Chaque utilisateur doit être informé de l’usage de ses données personnelles et doit pouvoir donner son accord ou s’opposer au traitement qui en est fait. Nous sommes là dans une vraie démarche d’optin volontaire, avec par exemple la validation via un bouton. Notez aussi que la “charge de la preuve du consentement incombe au responsable de traitement” (source : CNIL) et que des règles spécifiques ont été prévues pour les enfants.
- Un système de notification en cas de violation des données et de failles de sécurité. Cette notification s’applique aux personnes concernées, mais aussi aux autorités.
- La possibilité de limitation du traitement des données : chaque personne doit pouvoir, si elle le souhaite, limiter l’utilisation qui est faite de ses données.
- La réalisation d’études d’impact sur la vie privée (EIVP)
6 étapes pour bien préparer votre entreprise au RGDP
Votre société gère des volumes importants de données personnelles ? Vous analysez le comportement d’un grand nombre de clients et prospects ?Dans ce cas, vous devrez désigner un DPO, Data Protection Officer, ou Délégué à la Protection des Données en français. Ce dernier pourra être nommé en interne ou en externe et a pour mission de veiller au respect du règlement par l’organisme ou l’entreprise. Il lui reviendra par exemple d’échanger avec les sous-traitants et l’autorité de contrôle de son territoire.D’autres étapes sont nécessaires à la bonne implémentation du RGDP dans votre entreprise :la tenue d’un registre des traitements, des analyses d’impact, des évaluations de risques avant chaque nouveau lancement de service ou de produit par exemple, ou encore la capacité à fournir les preuves du respect des exigences.La CNIL liste les grandes étapes de mise en conformité pour votre entreprise :
- Etape 1 : Désigner un pilote (le DPO ou, d’ici mai 2018, un responsable dédié à ces thématiques)
- Etape 2 : Cartographier les traitements de données personnelles que votre société effectue
- Etape 3 : Prioriser les actions. En matière de protection des droits et libertés des personnes, quelles sont les initiatives à prendre en priorité pour vous assurer que vous respectez le RGDP ?
- Etape 4 : Gérer les risques après avoir identifié les traitements de données les plus sensibles. Cette étape doit être accompagnée d’une analyse d’impact sur la protection des données (PIA) pour chacun des traitements en question.
- Etape 5 : Organiser (ou réorganiser) vos processus internes en anticipant l’intégralité des scénarios qui peuvent survenir : faille de sécurité, demandes d’accès, de suppression ou de rectification des données par un utilisateur, changement de prestataire, etc.
- Etape 6 : Documenter la conformité, afin de pouvoir prouver à n’importe quel moment que vous mettez tout en oeuvre pour assurer la protection des données et le respect du consentement et des droits des personnes.
Pour respecter les principes du RGDP et réussir la mise en oeuvre de ces étapes, choisir une bonne solution technique et surtout être capable de disposer de vraies compétences en data management et en cyber-sécurité.Enfin,n’oubliez pas de bien examiner vos contrats existants avec vos fournisseurs et prestataires variés, afin de vous assurer leur conformité.
E-commerce et RGDP : faire de ce cadre juridique une nouvelle opportunité ?
Si le RGDP implique des investissements de temps et a priori d’argent, le fait de mettre en oeuvre une bonne gouvernance des données et une meilleure sécurisation de ces dernières va aussi être l’occasion pour les entreprises, et notamment les sites e-commerce, de renforcer la confiance des clients et internautes vis-à-vis de la marque ou de l’organisme.Il sera donc important de bien communiquer sur ce que vous mettez en oeuvre, en interne comme envers vos clients et fans, afin de renforcer l’image positive de votre société, la confiance étant fondamentale en e-commerce !Les données analytics sont touchées par cette réglementation. Découvrez la marche à suivre pour être en conformité.Votre entreprise est-elle déjà prête à se conformer au RGDP d’ici mai 2018 ? Quels challenges avez-vous rencontrés ? Partagez votre retour d’expérience avec nous en laissant votre commentaire ci-dessous !Image © source via FlickrDécouvrez notre solution Smartscan afin de faire passer votre entreprise aux normes RGDP.