L’Europe a voté un nouveau règlement sur la protection des données qui entrera en vigueur le 25 mai 2018. Les changements entrainés par les rapides évolutions du numérique ont porté l’Union Européenne à adopter un texte de loi qui remplace l’ancien et vieillissant Data Protection Drive (DPD) qui avait été voté en 1995. Ce nouveau règlement s’annonce comme une puissante secousse pour les marques.
Qu’en est-il? Comment s’y préparer?
C’est donc une réforme à laquelle nous allons devoir faire face, et non pas des moindres puisque le paysage du numérique et du tout connecté est de plus en plus présent en toile de fond de la vie quotidienne des citoyens Européens et du monde entier.
L’objectif premier est d’affermir le droit des personnes en permettant la portabilité des données privées et en appuyant sur les aménagement concernant les personnes mineures.
Deuxièmement, toutes les entreprises qui ont accès aux données privées de personnes (qu’il s’agisse du responsable traitant les données ou leurs sous-traitants) vont avoir des comptes à rendre à leurs clients quand il s’agit d’utiliser ou de faire utiliser les données les concernant.
Troisièmement l’Union Européenne souhaite mettre en place une collaboration des différentes instances de protection de données des pays membres afin de pouvoir, si cela s’avère nécessaire, ratifier des dispositions communes ou des sanctions entre les nations.
En quoi consiste le RGPD?
Le RGPD (Règlement Général sur la Protection des Données) peut se décliner en quatre axes principaux.
Les utilisateurs doivent savoir quelles données sont collectées
Les marques auront donc des comptes à rendre à leurs clients. Dès qu’une donnée à caractère personnel est récoltée, la marque devra :
- communiquer sur l’identité de la personne qui est responsable du traitement de la donnée
- annoncer clairement quel est l’objectif de la collecte de la donnée
- déclarer la base juridique sur laquelle on traite la donnée
- qui va recevoir les informations
- annoncer à l’utilisateur si le responsable du traitement de la donnée pourrait les transférer vers un autre pays ou à une autre entreprise internationale
- dire pour combien de temps les données seront conservées, sachant que l’entreprise ne devra pas conserver les données une fois l’objectif de la collecte atteint
- tenir un registre de toutes ces informations que la Cnil pourra consulter à n’importe quel moment.
Les utilisateurs doivent être d’accord
Les marques vont donc devoir avoir le consentement des clients ou prospects pour collecter les données privées les concernant. Non seulement cela, mais la marque devra pouvoir prouver que le consentement a bien été recueilli, quand et dans quelles conditions. Les utilisateurs auront également le droit de se rétracter à tout moment. C’est ce que nous appelons l’opt-in.
Les marques devront communiquer sur les nouveaux droits des utilisateurs
Dès le 25 mai 2018, les marques auront l’obligation de communiquer aux utilisateurs l’existence du droit à la portabilité de leurs données et à leur suppression. Ainsi, le système mis en place doit permettre aux utilisateurs de reprendre droit sur les informations privées facilement et à tout moment.
Quand les données sont sensibles et qu’elles sont traitées à grande échelle, le nouveau règlement prévoit également la nomination obligatoire d’un DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données) dont un article dans le règlement Européen définit la fonction exacte.
Les sous-traitants sont aussi concernés
Non seulement le responsable du traitement des données de l’entreprise doit agir en bon père de famille mais tous les membres de la famille (les sous-traitants, en l’occurence) qui auraient éventuellement accès à ces données doivent également traiter correctement les données à caractère personnel.
En d’autres termes, la marque doit mettre en place les dispositifs nécessaires à l’organisation de la sécurité des données privées dès la conception du produit ou du service : mise en place de pseudonymes, chiffrement des données… si les données à caractère personnel sont trahies, la marque doit en notifier la Cnil dans les 72 heures suivant l’évènement.
Comment se préparer à être RGPD-compatible?
Tout d’abord, il faut savoir que la Cnil demande aux entreprises d’être conformes le 25 mai 2018, pas après. Cela signifie un travail en amont de la part des marques pour être prêts à la date imposée par le règlement Européen. Les sociétés non conformes peuvent subir une amende qui peut aller jusqu’à 4% du chiffre d’affaires annuel. Il est donc important de se mettre en conformité au plus vite.
Afin de vous mettre en conformité et pour vous faciliter la tâche, voici quelques conseils d’experts pour vous préparer au RGPD :
Vérifiez le bien-fondé de votre traitement des données personnelles
Commencez par faire un catalogue des données privées que vous détenez. Il vous faut savoir quel est le type de données récoltées et traitées par votre entreprise. Sont-elles privées ou non? Sont-elles sensibles et doivent-elles être chiffrées? Vous devez également savoir où elles sont stockées et qui peut y accéder.
Enfin, vous devez savoir si ces informations sont susceptibles d’être partagées avec une entreprise tierce et si oui, est-ce que cette dernière est conforme au RGPD.
Assurez-vous que les personnes dont vous détenez les données privées vous ont donné leur consentement. Dans le cas contraire assurez-vous que les raisons pour lesquelles vous détenez ces données sont légitimes.
Dans le cas ou vous n’avez pas le droit de détenir ces informations, mettez en place des dispositifs vous permettant d’obtenir le consentement des personnes concernées. Pensez à revoir la façon dont vous collectez les données et préparez-vous à devoir éventuellement faire le deuil de certaines des données privées que vous détenez et stockez dans vos fichiers si vous n’êtes pas certains d’avoir le droit de les posséder.
Tout le monde doit être au courant
En effet, l’intégralité des employeurs doit être au courant de l’existence de ce règlement et si ce n’est pas dans le détail, au moins dans les grandes lignes. Tous les départements sont amenés à toucher de près ou de loin aux données privées de vos clients et il faut donc que le RGPD soit bien quelque part dans la tête de tous vos collaborateurs. Il ne faudrait pas qu’une erreur se produise par simple méconnaissance de la règlementation Européenne.
Désignez un DPO ou un DPD
Comme évoqué plus haut, les structures vont être dans l’obligation de désigner un responsable du traitement des données privées des utilisateurs. Nommez cette personne dès aujourd’hui afin qu’elle puisse se familiariser avec les impératifs du poste. Le DPO sera également l’interlocuteur de la société dans toutes les affaires concernant la donnée de vos utilisateurs : un contrôleur de la Cnil, un avocat, le service clients…
Soyez sûr que les données sensibles sont sécurisées
Assurez vous que les données privées que vous détenez sont en sécurité chez vous. Si des risques existent, identifiez les dangers potentiels. Ayez à disposition un document listant toutes les mesures de sécurité mises en place par votre société pour protéger les données des utilisateurs. Vous devez, dans ce document, pouvoir dire :
- comment et pourquoi vous traitez des données personnelles?
- quels sont les moyens mis en place pour sécuriser ces données?
- que faites-vous en cas de piratage?
- qui est le DPO?
Mettez-vous en contact avec vos prestataires de système afin de vous assurer qu’ils sont prémunis contre d’éventuels problèmes de sécurité. Demandez-leur un document écrit avec leur réponse et gardez-le en votre possession en cas de contrôle de la Cnil.
Refaites le point sur vos CGV
Assurez-vous que vos conditions de vente sont bien à jour et notamment les textes concernant les données personnelles des utilisateurs. En effet, comme vu plus haut, votre société aura l’obligation de communiquer leurs droits en termes de manipulation des données aux clients. Vos CGV devront donc le mentionner clairement afin que les utilisateurs en soient informés.
Tenté par une analyse de votre potentiel de croissance e-commerce ?
Faîtes analyser vos campagnes pour comprendre les opportunités inexploitées et recevoir un plan d’actions dédié.
[contact-form-7 id= »17331″ title= »contact-articles »]