5 étapes pour préparer votre entreprise au RGPD

« Go back

Le 25 mai 2018 entrera en vigueur le RGPD, une nouvelle réglementation européenne sur la protection des données qui va profondément changer la donne pour les entreprises en matière de traitement des données personnelles. Ne vous imaginez pas qu’il s’agit d’une simple formalité juridique. On peut dire sans exagération que le RGPD va révolutionner la façon dont les entreprises manipulent les informations des clients. D’ailleurs, ce n’est pas parce que le RGPD contient le mot « européen » que les entreprises non-européennes peuvent se croire épargnées, pour la simple raison que le règlement s’applique à toutes les entreprises qui ont des citoyens européens.

Il suffit de faire un tour sur le net pour voir le buzz que le règlement suscite dans le monde du marketing numérique. Difficile de croire, donc, que d'ici fin 2018, soit bien après la mise en application du RGPD, on estime que plus de 50% des organisations mondiales ne seront pas en conformité avec la nouvelle législation. À moins d’un an de l’échéance fatidique, les entreprises doivent mettre en place des mesures pour préparer l’arrivée du RGPD.

GDPR_Quote_1(Update)_FB_FR

Présentation du RGPD

Le RGPD est une nouvelle loi introduite par l'Union européenne dans le but de renforcer les droits des citoyens européens vis-à-vis de leurs données personnelles et de l’utilisation que les entreprises en font. Applicable dès le 25 mai 2018, cette version plus stricte des textes actuellement en vigueur sur la protection des données dans l'UE vise toutes les entreprises dont les clients sont des citoyens européens.

Contrairement aux autres lois sur la protection des données, le RGPD a élargi la définition de données personnelles en vue d’y inclure toutes les informations se rapportant à une personne qui permettent d’identifier, directement ou indirectement, cette personne. En plus des données personnelles évidentes (nom, photo, adresse email et numéro de téléphone), l'adresse IP d’un internaute et l'identité d’un mobile constituent également des données d’identification et sont désormais protégées par le nouveau texte de loi. En savoir plus sur le RGPD et son impact sur les entreprises.

Nouvelles interdictions

Au premier abord, le RGPD peut sembler un vrai casse-tête pour les services informatique mais il va avoir des retombées sur tous les processus commerciaux, notamment le marketing et la vente. Pour veiller à bien respecter la réglementation, vous allez peut-être devoir revoir certaines pratiques commerciales auxquelles vous avez couramment recours.

Le règlement interdit aux entreprises de collecter des données sur une personne sans son consentement. Vous n’avez donc pas le droit d’ajouter des informations sur un client dans votre système à partir de sa carte de visite, sauf si vous pouvez prouver son consentement. La règle s’applique également aux données obtenues par l’intermédiaire de tiers. Dès lors que vous détenez des données à caractère personnel, peu importe la manière dont elles ont été obtenues, vous devez pouvoir démontrer le consentement de la personne concernée.

Et le RGPD ne vise pas uniquement les données collectées après mai 2018 puisque texte précise que toutes les données accumulées avec le temps sont concernées. Quand quelqu’un vous demande d’interrompre un traitement de données à caractère personnel, vous devez cesser d’utiliser ces données, quelle que soit leur date d’acquisition. Idem pour la suppression de données.

Parallèlement, l’IP tracking compte parmi les pratiques commerciales fort susceptibles d'être affectées par le RGPD, qui spécifie explicitement que les adresses IP sont des formes de données protégées. Vous ne pourrez donc plus stocker l’adresse IP des visiteurs de votre site, à moins, évidemment, d’avoir leur autorisation.

Enfin, le RGPD protège les clients des programmes de réactivation, ces programmes conçus pour relancer les clients inactifs. Sous la nouvelle réglementation, les clients qui ne réagissent plus aux emailings devront être informés et se réinscrire personnellement à vos programmes au moyen d’un opt-in.

Étapes pour se préparer au RGPD

Espérons que cette entrée en matière vous a convaincu de modifier vos activités pour vous mettre en règle avec le RGPD. Pour vous motiver un peu plus, un rappel des sanctions s’impose : pour les réfractaires, l'UE prévoit des amendes pouvant atteindre 4% du revenu annuel global de l'entreprise ou 20 millions d'euros, le montant le plus élevé étant retenu.

Pour vous aider dans vos démarches de mise en conformité, nous avons donc défini 5 étapes afin d’assurer que votre entreprise respecte les nouvelles obligations du RGPD :

1.      Documenter les données

Ce travail consiste à répertorier toutes vos activités axées sur des données. Il s’agit d’identifier les sources des données personnelles, mais aussi leurs utilisations et les personnes de l’entreprise qui y ont accès. Vous devez commencer par identifier toutes les données qui entrent dans le champ d’application du RGPD. L’UE vous a mâché le travail ; profitez de la définition très claire de « données personnelles » qui figure dans le règlement. Une fois que vous aurez recensé les données les plus pertinentes dans le cadre du RGPD, vous pourrez commencer à prendre des décisions plus efficaces.

2.     Trier les données utiles

Après avoir cartographié vos données, vous pouvez évaluer et qualifier les données que votre entreprise stocke depuis toutes ces années. Le RGPD appelle à la minimisation des données et veut inciter les entreprises à se débarrasser des données qui ne sont pas indispensables au fonctionnement de leurs activités. Une logique qualitative qui vise à réduire les risques de situations délicates pour les entreprises. Commencez par retrouver les données les plus anciennes et demandez-vous si elles vous ont servi par la suite. Passez ensuite aux données plus récentes. En général, les entreprises ont du mal à supprimer les données client parce qu’elles se disent que celles-ci pourraient avoir une utilité plus tard. Évitez de tomber dans ce piège, le but étant de désencombrer vos disques et de vous débarrasser d’un maximum de données possible. Plus vous arrivez à réduire la quantité de données emmagasinées, mieux c'est, non seulement par rapport aux obligations imposées par le RGPD, mais aussi parce que c’est une bonne pratique commerciale à adopter.

3.     Incorporer de nouvelles procédures de collecte des données

Comme nous l’avons expliqué, les entreprises sont dans l’obligation de demander le consentement explicite de la personne pour pouvoir utiliser ou stocker ses données. Pour satisfaire à cette obligation, vous allez devoir modifier vos pratiques actuelles de collecte de données et prendre en compte les nouvelles dispositions relatives à la protection des données. Réfléchissez d’abord aux différentes manières d’obtenir le consentement du client, de développer des modes de transmission de données entre services et de mettre en place des processus pour les situations où des clients vous demandent d’effacer leurs données. Vous devez également passer en revue tous vos documents d’entreprise pour chercher à les rendre compatibles avec le RGPD. Concentrez votre attention sur vos conditions générales d’utilisation et vos déclarations de confidentialité, auxquelles vous devrez très certainement apporter le plus de modifications.

4.     Prioriser la sécurité des données

Un principe fondamental du RGPD, qui impose d’aborder la problématique de la sécurité des données en amont des projets, est ce que l'UE appelle « Privacy by design ». Cette disposition oblige les entreprises à faire de la sécurité des données de l'utilisateur une mesure prioritaire. Il faut dorénavant tenir compte de la protection des données à l’étape « design », c’est-à-dire lors de la conception de pratiques et processus commerciaux. Autrement dit, les entreprises doivent avoir conscience de la confidentialité des données à toutes les étapes, de la saisie au retrait de nouvelles données dans leur système. Pour respecter cette obligation, votre entreprise (et surtout son service informatique) doit mettre en œuvre des mesures de sécurité pour protéger les données des consommateurs. Parallèlement, vérifiez par précaution si vos sous-traitants ou fournisseurs respectent la confidentialité des données, sachant vous risquez d’être tenu responsable en cas de non-conformité de leur part.

5.     Désigner un responsable de la protection des données

Dernière mesure pour bien se préparer au monde post-RGPD (une mesure qui, à vrai dire, pourrait devenir une obligation) : se faire aider par un expert. Le RGPD stipule que les entreprises de plus de 250 employés ont pour obligation de nommer un délégué à la protection des données personnelles (DPO). Le DPO est chargé d’assurer la conformité RGPD de l’ensemble de vos pratiques commerciales et, si vous réfléchissez aux amendes salées qu’il vous évitera, c’est une dépense qui vaut le coup. Le travail du DPO va aussi être d’installer des sauvegardes de données dans votre système pour garantir le traitement sécurisé des données. L'article 30 du RGPD précise que l’obligation d’avoir un DPO ne s’applique pas à la plupart des entreprises de moins de 250 salariés, à l'exception de celles qui traitent régulièrement des données à caractère personnel.

Conclusion

Le chrono est lancé pour l’application du RGPD en mai 2018. Et pourtant, très peu d’entreprises ont entamé une démarche de mise en conformité. Alors autant saisir l’opportunité commerciale que présente le règlement européen pour prendre une longueur d'avance sur vos concurrents et gagner la confiance de vos clients en leur garantissant confidentialité et transparence dans le traitement de leurs données. Certes, la nouvelle loi réserve quelques challenges aux entreprises partout dans le monde, mais au lieu de s’alarmer et de se fixer sur les contraintes de ce règlement, autant se faire à l’idée et commencer à s’y préparer… Peut-être qu’au final, le RGPD va être un mal pour un bien pour les entreprises !


Guide Act! : Conformité RGPD et logiciels CRM