Le RGPD, ça vous parle ? À moins de faire partie des rares entreprises à ne pas gérer des données personnelles de l'Union européenne, il est fort probable que vous ayez entendu parler du Règlement Général sur la Protection des Données qui sera appliqué le 25 mai 2018 (dans 50 jours exactement lors la rédaction de ce dossier). Mais y êtes-vous conforme ? La question peut se poser pour de nombreuses entreprises en Europe et au-delà, nous avons donc décidé de vous proposer ce dossier sur les éléments à contrôler et à respecter.
On ne va pas vous faire un énième récapitulatif de ce qu'est le RGPD. Il y a déjà un dossier pour ça, en plus d'un très grand nombre de livres blancs à ce propos.
Toutefois, il est important de définir certains aspects du règlement qui peuvent rester flous pour certains, comme ce qu'est une donnée personnelle. Selon la CNIL, une donnée personnelle est une "information identifiant directement ou indirectement une personne physique". Les adresses mail, adresses physique, noms, prénoms, numéros de téléphone, etc., peuvent être classifiés comme une donnée personnelle, et doivent donc être traités dans le cadre du RGPD.
Un autre aspect de ce règlement soulève de nombreuses interrogations : la responsabilité. Avec l'application du RGPD, ce sera désormais à l'organisme en question de prouver que le traitement des données personnelles est géré correctement. De ce fait, plusieurs étapes sont à respecter pour assurer une mise aux normes optimale :
- Désigner un DPO ; un DPO, ou Data Protection Officer pour lui donner son titre officiel, est la personne qui gérera le traitement et la protection des données personnelles.
- Cartographier le traitement de vos données ; avec l'aide de votre DPO, faites le point sur la situation actuelle de l'utilisation de vos données personnelles (comment sont-elles traités, où sont-elles stockés, quels prestataires internes/externes peuvent y accéder, etc.).
- Sécuriser les données ; une fois que les données sont cartographiées, il faut mettre en place un plan d'action pour les sécuriser. Cette sécurisation peut se faire par exemple par le renforcement sécuritaire de vos infrastructures informatiques, ou encore par la limitation des accès aux données par les employés qui n'en ont pas besoin. Il existe bien sûr d'autres stratégies, mais tout dépendra de l'utilisation des données personnelles au sein de votre organisme.
- Documenter la mise en conformité ; afin de pouvoir prouver auprès des organismes qui surveilleront l'utilisation des données et leur conformité, la documentation de la mise aux normes est nécessaire. Chaque étape faite pour sécuriser vos données doit être documentée et gardée à jour par le DPO.
Cela peut vous paraître comme une tâche fastidieuse et longue à mettre en place ? Vous avez bien raison, et on ne peut qu'espérer que cette mise en place se fasse depuis plusieurs mois déjà, en vue de l'arrivée imminente du RGPD.
Pour ceux qui n'auraient rien préparé ou qui attendent de voir l'application réelle du règlement, voici quelques petites astuces pour vous rapprocher de la conformité, et ce de manière simple et rapide.
- L'opt-in / l'opt-out : un aspect de l'email marketing qui divise depuis longtemps, mais avec le RGPD, l'opt-out et d'autres techniques de récupération de mails implicites à but commercial ne seront plus tolérés, de par le fait que le règlement demande à ce que chaque email récupéré soit obtenu de façon explicite, c'est-à-dire que l'utilisateur ait donné son aval pour l'utilisation commerciale de l'adresse mail.
- Les mentions légales : au-delà de l'obligation de l'opt-in, il y aura également l'ajout de mentions légales à prendre en considération. Ces mentions légales devront être explicites et concerneront la nature de l'opt-in. Est-ce pour une newsletter ? Pour des offres commerciales ?
- Le lien de désabonnement dans vos communications par mail : nous ne devrions pas avoir à le dire, et pourtant certains le font encore. La plupart des prestataires de mailing rajoutent automatiquement un lien de désabonnement, mais avec le RGPD ce lien sera indispensable dans la mesure où elle servira d'un moyen rapide et simple aux utilisateurs de reprendre le contrôle de leurs données s'ils pensent que vous abusez de leur adresse mail.
- La sécurisation de vos données : nous vous en parlions déjà plus haut dans le dossier, mais il y a plusieurs éléments qui peuvent être traités assez facilement par vous-même. Avec l'ascension du Cloud (sans mauvais jeu de mots), la protection des données devient à la fois plus simple et plus compliquée. Plus simple dans la mesure où vous ne gérez plus directement la protection de vos données, et donc n'avez pas à fournir tant d'effort pour les sécuriser au niveau local ; plus compliquée dans le sens où vous devez vous fier à la compétence du prestataire externe pour les protéger efficacement. Une autre bonne pratique à prendre dès maintenant est la suppression de fichiers de données exportées en format Excel par vos employés sur leurs ordinateurs, et qui sont par la suite laissées sans surveillance et sans protection. Demandez-leur simplement de supprimer ces fichiers lorsqu'ils n'en ont plus l'utilité.
Enfin, agissez de façon responsable ! Un bon point de vue à prendre est d'imaginer que les données que vous traitez sont les vôtres (ou celles de quelqu'un qui vous est cher) ; seriez-vous rassuré de savoir que ces données sont vulnérables, en sachant qu'à partir d'une simple adresse mail quelqu'un puisse utiliser votre nom, prénom, lieu de travail, le nom de votre chien ou de votre mère ? Alors, traitez les données des autres avec le même respect que vous accorderiez aux vôtres.
Cela vous évitera au passage une amende conséquente à votre entreprise... (Pour rappel, 4% du chiffre d'affaires ou 20.000.000 d'euros, et vous paierez quoi qu'il advienne l'amende la plus élevée des deux).
On pourrait croire qu'en donnant deux ans de temps de préparation aux organismes, nous aurions désormais une conformité à 99%. Loin de là, selon les chiffres d'une étude publiée par Senzing en début d'année. En réalité, 60% des entreprises interrogées dans cette étude avouent ne pas être prêts pour l'application de RGPD. En parallèle, 44% des grandes entreprises estiment qu'ils vont avoir du mal à être conformes à 100% au RGPD d'ici le 25 mai 2018.
Toujours selon la même étude, les Français sont les plus mauvais élèves dans ce classement, en particulier concernant les bases de données personnelles. Plus d'une entreprise sur quatre dans l'Hexagone ne sait pas où est stockée sa (ses) base(s) de données, et 30% ne sont pas sûrs d'avoir bien comptabilisé toutes leurs bases.
Par ailleurs, l'étude démontre également un point de vue assez différent entre les plus grandes entreprises et les TPE / PME concernant les risques réputationnels et financiers, que peuvent représenter la RGPD. En effet, tandis que presque 50% des grandes entreprises mesurent à leur juste valeur les risques 38% des PME estiment qu'il y a un risque. On ne parlera même pas des TPE et microentreprises qui se trouvent en bas de l'échelle à 29%...
On ne change pas une équipe qui gagne. Depuis notre premier dossier sur le RGPD, rédigé l'an dernier, c'est toujours l'Union européenne qui tire les rênes du RGPD, suivi des divers organismes nationaux comme la CNIL qui feront office de ce que l'UE appelle les "guichets uniques" ; à savoir, des points de tri centralisés pour le traitement des données pour chaque pays.
Vous trouverez ci-dessous une sélection de nos références les plus récentes sur le RGPD sous tous ses aspects ! Si vous n'y trouvez pas le livre blanc que vous recherchez, vous pouvez également vous rendre à la sous-catégorie qui lui est dédié avec près d'une cinquantaine de livres blancs à votre disposition.
Comment éviter l’érosion naturelle de votre base de données et conserver une base de données active, performante, avec un très haut niveau de contactabilité ?
Tout ce que vous devez savoir sur la RGPD.
Les grands principes du RGPD sont dans cet ouvrage !
Ce livre blanc vous aide à assurer votre conformité RGPD / Cookies.
Assurez-vous avec ce guide de mener une politique RH 100 % conforme du contrôle de vos salariés, en vue de les protéger ou de les sanctionner.
Comment allier RGPD et marketing automation : le guide de Webmecanik.
Exposer les écarts entre la création de la politique de destruction de données et son exécution.
