RGPD : ce qui nous attend et comment se préparer?

Nos explications

20mn   Niveau Avancé
 

La nouvelle Réglementation Générale sur la Protection des Données (RGPD), vous en avez entendu parler au café du coin, dans les médias, partout sur le web, dans les discours présidentiels…

Ah, non ? Alors laissez-moi vous faire un petit récapitulatif. Car si vous occupez une fonction marketing, cela va forcément vous impacter dans les mois prochains.

Ce qui change avec la RGPD

Le 25 mai 2018, une nouvelle réglementation entrera en vigueur dans toute l’Union européenne. Elle permet d’aligner les pays européens sur le sujet du traitement et de la gestion des données personnelles. Au point que toutes les entreprises même non européennes souhaitant opérer sur le territoire de l’Union devront également s’y conformer. Attention, la sanction peut s’avérer assez rude et s’élever à 4% du chiffre d’affaires mondial de l’entreprise !

Les objectifs de la RGPD

Ils sont les suivants (cf. CNIL) :

  • Renforcer le droit des personnes, notamment des mineurs
  • Responsabiliser les acteurs s’occupant des données personnelles
  • Crédibiliser la réglementation via des sanctions et traitements transnationaux

[Petite parenthèse] Mais au fait, c’est quoi, une « donnée personnelle », exactement ?
Il s’agit d’une information se rapportant à une personne physique (pas morale !) identifiée ou identifiable directement ou indirectement (avec cookie ou adresse IP par exemple) par un  « identifiant ».

Les terrains d’application principaux de la RGPD pour les entreprises

  • Le droit à l’oubli : sur une simple demande, et sauf raison légitime de les conserver, une personne peut demander à une entreprise l’effacement de ses données personnelles. Cette entreprise devra également transmettre la demande aux autres parties dupliquant les données.
  • Le citoyen (ou lead, dans notre cas), doit également donner son consentement clair et explicite pour la collecte et le traitement de ses données : par exemple, une case à cocher, si celle-ci indique clairement et simplement la façon vous allez traiter la donnée. L’opt-in « par défaut » en absence d’opt-out n’est donc plus d’actualité.
  • La portabilité de la donnée : grâce à cette loi, les personnes peuvent transmettre leurs données vers un autre fournisseur facilement et sans pertes.
  • Droit d’être informé rapidement, notamment en cas de piratage
  • Limitations sur le profilage : selon le texte officiel, le profilage est « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données […] pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne« .
    La loi prévoit que ce profilage ne peut être utilisé que si la personne donne son consentement ou s’il est nécessaire à la conclusion d’un contrat  ̶̶̶  et non à des fins discriminatoires.
  • Protection des enfants et mineurs : une autorisation parentale est nécessaire pour ouvrir un compte sur les réseaux sociaux, et le droit à l’oubli qui leur est accordé est également plus clair

Pour faire court : Le respect de la vie privée devient la norme.

Mais alors… que faire ?

Pas de panique, un des gros changements est que nous passons d’un système déclaratif auprès de la CNIL à une autonomie totale sur le sujet, d’un contrôle a priori à un contrôle a posteriori.

Vous ne serez donc contrôlé que si un utilisateur dépose une plainte à la CNIL ou qu’une fraude interne ou externe est détectée (cyber-attaque ou autre).

La CNIL prévoit six étapes pour se préparer à la RGPD. 

RGPD 2018
RGPD 2018

Désigner un Délégué à la Protection des Données

Le Délégué à la Protection des Données, ou DPO pour la version anglaise, est globalement le nouveau nom du CIL (Correspondant Informatique et Libertés). Si vous avez déjà élu un CIL, ce dernier a donc vocation à devenir DPD.
Il est seulement obligatoire pour les organisations dont l’activité de base est de traiter ou collecter massivement des données personnelles, et pour celles qui détiennent des données dites sensibles (cf www.cnil.fr).
Cette mesure permet néanmoins d’avoir un référent sur tous les sujets liés à la protection des donnée. Il informe les différents acteurs, vérifie le respect des textes, mais aussi sert de relais avec les autorités concernées. Un conseil, nommez DPD une personne capable de jouer un rôle transverse, idéalement rattachée à la direction  générale.

Recenser tous les traitements de données personnelles

Disposer d’un registre de tous les traitements que vous opérez concernant des données personnelles. Par exemple, recenser tous les consentements (opt-in) à recevoir des contenus par email, tous les cookies collectés et sur quels site web, etc.
La CNIL nous résume cela simplement : Qui ? Quand ? Où ? Comment ? Pourquoi et Jusqu’à quand ?

  • Une fois l’ensemble des traitements recensés, prévoir un plan d’actions pour s’aligner en fonction des informations manquantes, mal renseignées ou incorrectes.

Réaliser une étude d’impact RGPD

Lorsque vous effectuez des « traitements de données personnelles à risques », voius devrez effectuer une étude d’impact sur ces derniers. Vous verrez souvent le sigle PIA pour Privacy Impact Assessment, en anglais.

Lorsque la CNIL parle de données sensibles « à risques » elle entend que les traitements réalisés sur ces dernières présentent un risque sur les libertés des personnes concernées. On distingue trois cas de figure principaux :

  • Les données recueillies abordent des sujets « sensibles » : La religion, les orientations sexuelles, des données judiciaires, génétiques, biométriques, des opinions politiques, la santé d’une personne….
  • L’utilisation du profilage avec des conséquences juridiques ou significatives pour la personne concernée
  • Les données sont transférées dans des pays hors de l’UE

Élaborer des procédures internes de suivi dédiées à la RGPD

La RGPD instaure, entre autres, un nouveau principe de privacy by design. Il s’agit de prévoir, dès la conception d’une application ou d’un traitement de données, les mesures de protection des données personnelles récupérées ou traitées.

Prévoir aussi toutes les étapes à suivre lors d’une réclamation d’accès, de rectification ou de suppression de données personnelles par une personne : comment répondre ? Qui répond ? Dans quel délais ? …

Et, comme pour toute nouvelle procédure interne, ne surtout pas oublier de communiquer avec tous les acteurs impliqués directement ou indirectement dans le traitement de ces données. Bien veiller à ce que vos collaborateurs sachent qui contacter, quoi faire et comment réagir face à une demande ou à une faille de sécurité par exemple.

Documenter l’ensemble des points précédents

Regrouper tous les fichiers liés dans un dossier global qui attestera de votre conformité à la réglementation.

  • L’étude d’impact s’il y en a une
  • Le registre des traitements de données personnelles
  • L’ensemble des procédures prévues en cas de réclamation
  • Le registre des consentements

En cas de contrôle, ces derniers vous permettront de prouver que

  • vous cherchez à respecter la réglementation en vigueur
  • vous êtes conscients des risques engendrées par vos différents traitements de données.

En conclusion

Ces six étapes peuvent de la RGPD, on ne va pas se le cacher, paraître bien fastidieuses.

En prenant du recul on se rend compte que cela peut vraiment s’avérer très utile :

  • Pour faire le ménage et mettre au clair l’ensemble des données que vous traitez
  • Et ainsi avoir une vue globale de ce qui se passe dans votre base
  • Revoir vos opt-in et unsubscribed pour repartir sur une base propre
  • Impliquer et sensibiliser davantage l’ensemble des personnes utilisant ces données
  • Anticiper les risques de cyber-attaque

Un point essentiel à retenir parmi cette longue check list est que nous passons à un contrôle a posteriori : personne ne viendra vous surveiller tous les ans !
Cependant, si une réclamation est déposée, la CNIL viendra toquer à votre porte pour vérifier que vous êtes en règle. L’essentiel sera alors de prouver que vous faites preuve de bonne volonté. Et que vous avez commencé à mettre en œuvre des processus adaptés.

S’il vous manque une étape, mais si vous avez un plan d’action bien défini et pouvez montrer que des mesures ont déjà été mises en place, vous ne devriez pas être sanctionné.

En résumé ? Pas de panique, prenez votre temps et profitez-en pour être au clair avec la gestion de vos données et intégrez cette démarche dans votre projet de transformation digitale.

Si c’est la panique, « keep calm and call us » !

DISCUTONS RGPD !

Nos autres articles RGPD

Publié Par Sylvain

For the past 20 years, Sylvain has been choosing and assembling the best technologies for his key account clients, to help them create a successful end-to-end customer experience. Surely the Leonard of the team, he is a fan - and expert - of Marketo! He sits next to his clients, drives them forward and makes Marketing Automation projects succeed with his team.