RGPD ou Data Privacy : ce qu’il faut savoir

La RGPD ou nouvelle réglementation européenne sur la protection des données personnelles entrera en vigueur le 25 mai 2018. Un changement profond pour les entreprises ! Elles devront passer d’une logique Big data à une logique Smart, tout en cherchant systématiquement le consentement des consommateurs. Éclairage sur les grands principes de cette nouvelle loi.

RGPD, GPDR, Data-privacy : qu’est-ce que c’est ?

La GDPR ou RGPD en français (pour Règlement Général sur la Protection des Données) est une règlementation européenne visant à encadrer les pratiques des entreprises en matière de gestion des données personnelles.

Concrètement, cela signifie que votre entreprise va devoir mettre en œuvre une série de mesures techniques et organisationnelles pour protéger les données de vos clients, vos prospects, vos collaborateurs et plus globalement de tous les citoyens européens.

Qui est concerné ? Et quels types de données ?

Toutes les entreprises sont concernées ! Que vous soyez une PME ou une entreprise du CAC 40, BtoB ou BtoC, présente ou non sur le territoire de l’UE. A partir du moment où vous collectez / enregistrez / stockez / traitez des « données à caractère personnel » de ressortissants européens, vous êtes concerné !

Quand on parle de « données à caractère personnel » la loi fait référence à toutes les données permettant d’identifier directement ou indirectement une personne physique. Ce sont les noms, les adresses, les numéros de téléphone, les numéros de compte, les adresses emails et même les adresses IP.

Quels sont les grands principes à respecter ?

Si les défis sont nombreux et que les entreprises doivent impérativement être accompagnées dans cette démarche, 5 grands principes doivent être pris en compte :

Nommer un Data Protection Officer

Le DPO ou Délégué à la Protection des Données sera en charge du respect de la RGPD en interne. Pas forcément expert data, ce nouveau profil allie compétences techniques et juridiques. Il veille au respect des règles de protection des données dans l’entreprise : droit d’accès, de rectification, de suppression…

Le DPO est le garant de l’intégrité et de la sécurité des données. Il intervient en amont (de la conception d’une base de données), et tout au long du cycle de vie des données, de leur collecte à leur suppression. C’est ce que l’on appelle le « privacy by design ».

Cartographier et sécuriser les traitements des données

C’est en quelque sorte un état des lieux détaillé des traitements de données en cours. Tous ces traitements devront faire l’objet d’une documentation qui servira de base au futur registre : quels sont les objectifs de cette collecte de données ? Quels types de données seront récoltés ? Quelle sera l’utilisation et la finalité de ces données ? Qui pourra y accéder à ces data ? Pendant combien de temps ? Comment ces data seront-elles sécurisées ? Etc.

Consultable à tout moment par la CNIL, ce registre devra spécifier toutes les réponses à ces différentes questions.

Élaborer un plan d’actions tout au long du cycle de vie des données

Une fois ces traitements identifiés, il faudra définir les règles et les mesures organisationnelles (responsable, personnes habilitées…), techniques et sécuritaires (anonymisation, chiffrement des données sensibles…) à mettre en place pour garantir dans la durée la protection de ces données. Ce plan d’action devra s’accompagner d’audits réguliers, d’analyses d’impacts relatives aux données sensibles, et de procédures en cas de violation des données personnelles.

Garantir les droits des individus

Tout citoyen a pouvoir sur ses données personnelles. Autrement dit, l’entreprise doit impérativement :
– obtenir le consentement explicite des personnes concernées par le traitement des données et en apporter la preuve ! Même chose pour vos prestataires : une société qui vous vend des bases de données devra vous prouver le consentement des adresses emails vendues. Vous serez aussi responsable ;
– garantir le droit à l’oubli, soit être capable de supprimer dans un délai fixé les données relatives aux personnes qui en feront la demande ;
– et assurer le droit à la portabilité, c’est-à-dire être capable de fournir, dans un format lisible et structuré, les données personnelles concernant un individu. Cela inclut les données que la personne concernée a directement fournies (par exemple les données d’identité pour la création d’un compte), ainsi que celles qui ont été générées par l’utilisation qu’elle a faite du service ou du matériel (par exemple un historique de navigation). Ne sont pas inclus les résultats de l’analyse de données.

Sensibiliser les collaborateurs et diffuser une culture interne « data privacy »

Véritable enjeu, l’entreprise doit sensibiliser ses employés au respect de la vie privée et à la protection des données personnelles. Les collaborateurs doivent être formés aux nouvelles obligations de la RGPD, comprendre les enjeux de cette loi et respecter ses règles et ses bonnes pratiques au travers d’une charte dédiée.

« La responsabilité du bon traitement des données à caractère personnel incombe au responsable du traitement de la donnée dans l’entreprise, mais également aux sous-traitants, sous peine de sanctions financières. Les marques n’ayant pas nommé de DPO ou établi de registre de données, encourent une sanction de 10 millions d’euros (ou 2 % du chiffre d’affaires global) ; celles n’ayant pas prévu de traitement pour les données sensibles ou ayant transféré des données hors de l’Union Européenne de 20 millions d’euros (ou 4 % du chiffre d’affaires global) » souligne Floriane Salgues dans EMarketing.

La RGPD : une source d’opportunité pour les entreprises ?

Rappelons-le, la RGPD n’a pas pour objectif de mettre des freins aux entreprises. En effet, elle est là avant tout pour clarifier la situation vis-à-vis de la collecte de données sensibles et personnelles.

Même si les entreprises sont pour le moment sceptiques ou inquiètes, cette règlementation permettra de rassurer les utilisateurs sur l’exploitation de leurs données ; de pousser les entreprises à personnaliser davantage leurs messages pour rentrer dans une logique de « Permission Marketing » (ou marketing par consentement) et finalement d’instaurer une relation de confiance avec leurs clients.  Un point clé pour les marques souhaitant engager leurs publics ! En effet, comme le révèle la dernière étude Gigya, les consommateurs ont des attentes de plus en plus fortes sur la confidentialité des données et la transparence des marques.

>> Restez connecté(e) en vous inscrivant à notre newsletter ! Dans les prochains jours, notre Directeur des Systèmes d’Information, Fabrice Fourel, vous livrera son avis d’expert sur le sujet et vous expliquera les opportunités qui se cachent derrière cette nouvelle loi !