Le nouveau règlement européen sur la protection des données personnelles entrera en vigueur en 26 mai 2018. Des changements importants sont à prévoir au sein de votre entreprise dans votre manière de collecter, stocker et traiter les données personnelles sur vos utilisateurs ou clients.
Ce règlement a pour objectif de renforcer la protection de la vie privée numérique et d’adapter le cadre juridique aux évolutions des dispositifs de collecte. Mais, au juste, qu’est-ce que le Règlement Général de Protection des Données (RGPD, ou GDPR en anglais) concrètement ? Quel impact aura-t-il sur votre business ? Quelles sont ses principales mesures ? Quelles sont les nouvelles obligations auxquelles votre entreprise va devoir se conformer ? Comment vous préparer un an avant l’entrée en vigueur de ce nouveau référentiel ? On répond à toutes vos questions.
Selon Dell, 80% des entreprises connaissent peu ou rien du tout à propos du RGPD. Pire, 97% des entreprises n’auraient rien prévu pour se conformer aux nouvelles exigences légales à venir.
Qu’est-ce que le Règlement général de Protection des Données (RGPD) ?
Le Règlement général de Protection des données entrera en vigueur le 25 mai 2018. Il s’agit d’un règlement européen, qui par définition sera application directement dans l’ensemble des pays de l’Union européenne (sans nécessiter de transposition, contrairement aux directives). Il s’appliquera à toutes les entreprises traitant des données personnelles de citoyens européens – qu’elles soient européennes ou non d’ailleurs. A travers ce règlement, il s’agit d’offrir aux citoyens des Etats membres de l’UE de meilleures garanties de sécurité et un plus grand contrôle sur leurs données.
Le RGPD définit les données personnelles comme « toute information concernant une personne physique identifiée ou identifiable », soit directement (prénom, nom), soit indirectement (email, téléphone, identifiant, données comportementales). Sont concernées aussi bien les données privées, professionnelles que publiques rattachées à un individu. Données personnelles n’est pas à comprendre comme synonyme de données privées.
Le règlement général de protection des données offrira aux individus :
- Le droit d’accès. Cela signifie que les individus pourront demander un accès à leurs données personnelles et demander quel usage l’entreprise en fait une fois collectées. L’individu sera en droit d’obtenir gratuitement de la part de l’entreprise un document listant toutes les données personnelles détenues par l’entreprise sur lui.
- Le droit à l’oubli. Si un client cesse d’être client, ou s’il souhaite retirer son consentement à l’utilisation de ses données par l’entreprise, il pourra exiger à l’entreprise l’effacement de ses données.
- Le droit à la portabilité des données. Les individus auront le droit de récupérer leurs données auprès de l’entreprise à des fins de réutilisation (dans le cadre d’un changement de fournisseur de services par exemple).
- Le droit d’information. Les individus devront être informés de toute collecte de données les concernant et devront donner leur consentement explicite (obligation du opt-in). Ce consentement pourra être retiré à tout moment.
- Le droit de notification. En cas de fuite de données concernant un individu, celui-ci aura le droit d’être informé dans un délai de 72h suivant la découverte de la fuite.
Le RGPD vise à donner aux individus, aux prospects, aux clients et aux employés plus de pouvoir sur leurs données personnelles et à réduire à l’inverse le pouvoir des entreprises qui collectent et utilisent les données à des fins de monétisation.
Les implications business du RGPD
Cette nouvelle règlementation place au centre les intérêts des consommateurs. Charge aux entreprises de s’y conformer. Comme nous le disions plus haut, toutes les entreprises traitant des données personnelles de citoyens européens devront adopter les nouvelles règles contenues dans le texte européenne. C’est-à-dire aussi bien les PME que les grands groupes. Les entreprises hors UE (américaines) traitant des données de citoyens européens sont elles aussi concernées.
A partir de mai 2018, toutes les entreprises privées traitant des données personnelles à grande échelle et toutes les entreprises du secteur public devront désigner un délégué à la protection des données (« data protection officer ») en charge de l’application du RGPD dans l’entreprise.
Les sanctions pour non-conformité aux obligations du RGPD prévues sont très lourdes : 4% du chiffre d’affaires annuel mondial, jusqu’à 20 millions d’euros. L’alignement des entreprises sur les nouvelles règles de protection des données personnelles a des implications sur le fonctionnement des entreprises dans leur globalité – et notamment dans leurs activités commerciales et marketing.
L’impact du RGPD sur l’engagement client
Le RGPD impose aux entreprises des règles strictes concernant le consentement. Vous devrez solliciter un consentement « positif » (opt-in) de la part de vos clients pour pouvoir collecter des données sur eux. Par « positif » il faut entendre explicite et conscient. Concrètement, cela exclut le recours aux cases précochées par exemple. A tout moment, un client qui le souhaite pourra demander à l’entreprise d’effacer les données dont elle dispose sur lui.
Vous devrez toujours être capable de prouver l’existence du consentement. Cela changera potentiellement beaucoup de choses dans votre manière de gérer vos campagnes marketing et vos activités commerciales, même si beaucoup d’entreprises appliquent déjà les dispositions du règlement. Vous allez devoir auditer vos process, vérifier notamment que vos formulaires respectent les nouvelles règles (double opt-in). Vous devrez mettre en place des outils permettant de savoir en détail à quel moment vos clients ont donné leur consentement et de quelle manière. Si vous traitez des données fournies par des fournisseurs, vous devrez au préalable vous assurer que ces données ont été collectées avec le consentement des personnes.
Un exemple qui montre l’ampleur des modifications apportées par le RGPD dans le fonctionnement des entreprises : souvent, en B2B, les commerciaux sont amenés à participer à des salons pour rencontrer de potentiels clients, échanger des cartes de visite et enregistrer les données collectées dans une mailing list. A partir de mai 2018, cela ne sera plus possible. Les entreprises devront envisager d’autres modes de collecte d’information.
Contactez Cartelis
pour enfin capitaliser sur vos données clients.
Cartelis vous accompagne dans le cadrage et le déploiement d'une stratégie data et CRM vraiment impactante.
Analyse client, Choix des outils, Pilotage projet et Accompagnement opérationnel.
Prendre contact avec CartelisComment se préparer au RGPD ?
Le RGPD reprend à son compte le principe de « privacy by design », qui consiste à organiser la protection des données dès la conception. Cela implique que tous les départements de l’entreprise examinent scrupuleusement les données qu’ils gèrent. Les entreprises devront réaliser plusieurs actions dans l’optique de se conformer aux obligations du RGPD. Pour vous aider dans la préparation au RGPD, voici les premières étapes à suivre.
#1 Cartographier les données personnelles dont dispose votre entreprise
Vous devez commencer par faire un état des lieux des données personnelles à disposition, de leur origine (mode de collecte) et de leur utilisation. Identifiez où sont stockées vos données, qui y a accès et s’il y a d’éventuels risques pour l’intégrité des données.
#2 Déterminer les données que vous avez besoin de conserver
Il est inutile de stocker des données personnelles dont vous n’avez aucune utilité. Supprimez les données dont vous ne vous servez pas. Si votre entreprise collecte en masse des données sans en retirer aucun bénéfice, cela ne sera plus possible après l’entrée en vigueur du RGPD. Le RGPD encouragera un mode de gestion des données personnelles plus « discipliné ».
Dans votre travail de tri, posez-vous des questions du type :
- Pourquoi l’entreprise archive ce type de données plutôt que de les effacer ?
- Pourquoi est-ce que l’entreprise enregistre ces données ?
- Quel but poursuit-on en collectant toutes ces catégories de données personnelles ?
- Le gain financier qu’il y a à conserver ce type de données est-il supérieur à leur coût de gestion et de sécurisation ?
#3 Mettre en place les mesures de sécurité appropriées
Les exigences en matière de sécurisation des données seront accrues avec le RGPD. Vous devez développer et implémenter des gardes-fous à travers toute votre infrastructure de données afin de limiter au maximum les risques de failles. En cas de faille de sécurité, vous devrez être capable de l’ identifier rapidement et de la notifier à la CNIL. Le RGPD prévoit un délai maximum de 72h suite à la découverte de la faille pour envoyer la notification. Vérifiez la fiabilité de vos fournisseurs de données (= qu’ils appliquent eux aussi les dispositions du RGPD) afin de limiter les risques en matière de sécurité.
#4 Mettre à jour vos dispositifs de collecte
La collecte et le traitement des données personnelles devra, à partir de mai 2018, être soumis au consentement explicite des clients / utilisateurs. Exit les cases précochées et les formes de consentement implicite. Vérifiez que vos points de collecte (ie. vos formulaires notamment) respectent ces règles en matière de consentement. Le RGPD prévoit aussi une obligation d’informer les individus sur l’usage que vous ferez de leurs données. Cela peut impliquer de revoir votre politique de confidentialité.
#5 Mettre en place des procédures pour gérer les données personnelles
Le Règlement général de protection des données personnelles confère une série de nouveaux droits aux individus, comme nous l’avons vu au début de cet article. Vous devez rendre ces droits effectifs en mettant en place les procédures adéquates. Voici quelques unes des questions que vous allez devoir vous poser :
- Comment obtenir le consentement des individus de manière légale ?
- Quel process mettre en place si un individu souhaite la suppression des données dont vous disposez sur lui ?
- Comment vous assurer que les données seront effectivement supprimées sur toutes les plateformes / outils ?
- Comment faire si un individu souhaite faire valoir son droit au transfert de ses données ? Quelle procédure utiliser ?
- Comment vous assurer que la personne qui souhaite que ses données soient transférées est la personne qu’elle prétend être ?
- Quel plan de communication appliquer en cas de fuite des données ?
- Etc.
Conclusion
La donnée est aujourd’hui au coeur de toutes les entreprises et constitue une source importante de création de valeur. Le succès d’une entreprise dépend de plus en plus du niveau de connaissance client. C’est la raison pour laquelle le Règlement de protection des données personnelles constitue un vrai challenge et peut-être au départ une source d’ennuis pour certaines entreprises qui sont encore loin d’appliquer les nouvelles règles.
Mais le RGPD, finalement, doit aussi et surtout être envisagé comme une opportunité. Les entreprises qui affichent une politique stricte et exigeante en matière de protection des données personnelles (allant au-delà des obligations légales), qui sont entièrement transparentes sur l’utilisation qu’elles font des données, qui mettent en place des dispositifs et procédures performants de traitement des données génèrent un surcroît de confiance de la part de leurs clients, et encouragent la fidélité client.
Pour ne pas être pris au dépourvu mai 2018 venu, nous vous encourageons à vous mettre en conformité avec les nouvelles obligations et exigences du RGPD le plus rapidement possible. Bon courage !
Victoire says
Bonjour,
Pour les startups spécialisées comme Full Contact et Clearbits, capables de compiler des profils complets en croisant des sources comme LinkedIn, Twitter, Facebook, est-ce que cela veut dire la fin de leurs activités ?
Cartelis says
En Europe en tout cas, j’ai du mal à voir comment ils peuvent se justifier, mais sait-on jamais, ils vont peut être trouver un hack juridique et changer un peu leur approche…
FDV says
Bonjour,
Merci pour cet article intéressant. J’en profite pour signaler la loi d’adaptation du RGPD, à savoir la loi du 20 juin 2018 relative à la protection des données personnelles. Elle élargi notamment les missions de la CNIL ainsi que ses prérogatives en matière de contrôle et de sanction. Je pense que cela pourrait être utilement cité
https://www.droit.fr/definition/definition-rgpd-reglement-general-protection-donnees/