Quel processus mettre en place pour être conforme au RGPD en 2018 ?

par | Avr 28, 2017 | Législation et réglementation, RGPD |

Le RGPD, c’est quoi ?

RGPD comme Règlement Général sur la Protection des Données, établi par l’Union Européenne, entrera en vigueur en 2018. Autant dire demain ! Son objectif est simple : redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne. La mise en conformité devra se faire au plus tard le 25 mai 2018.

Cette réglementation, et notamment les derniers ajouts, auront un impact indéniable quant au management de la donnée et plus globalement au fonctionnement général du système d’information d’une entreprise. Cette directive couvre les données détenues non seulement par les personnes morales ou physiques européennes, mais également par les entreprises ou organismes non européens qui traitent les données de citoyens européens.

La définition des données à caractère personnel couvre désormais toute une série de détails comprenant les informations personnelles habituelles, mais aussi des éléments tels que les photographies et les données des réseaux sociaux.

Selon la loi, une donnée personnelle signifie :

Toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification (par exemple : le numéro de sécurité sociale) ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale (par exemple : nom et prénom, date de naissance, la biométrie les données, les empreintes digitales, ADN …).

Donnée personnelle: définition, CNIL

La définition est large, mais elle implique que le RGPD est applicable si et seulement si la donnée est établie comme personnelle. Dans le cas contraire, si les données sont confirmées « anonymes » la réglementation ne s’applique pas.

Concrètement ?

Consentement renforcé et transparence

Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.

L’expression du consentement est définie : les utilisateurs doivent être informés et leur accord requis de la collecte et usage de leurs données.

De nouveaux droits

Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Rétablissant ainsi l’équilibre entre la personne et le porteur de la donnée.

Pourquoi est-ce un défi ?

L’entreprise ne peut plus se contenter d’informer que son site “utilise les cookies”, ni digitaliser sa gestion client (s’équiper d’un CRM ou un logiciel de marketing automation par exemple) sans prendre en compte les données qu’elle collecte et exploite à des fins commerciales. L’impact sera immédiat pour l’entreprise, dans l’organisation à court terme de son système d’information car pour la plupart d’entres elles, les données ne sont pas centralisées et l’entreprise ne peut donc pas en garantir ni sécuriser l’accès, la bonne gestion et le droit à l’oubli des données personnelles dans le respect de la réglementation applicable au 25 mai 2018.

Quelles applications ?

Le Marketing Automation

Koban Marketing, notre outil de Marketing Automation vous permet de suivre et faire mûrir vos pistes. L’outil vous permet de tracker vos visiteurs web puis de les alimenter régulièrement en contenus ciblés grâce à l’automatisation. Le flux des données collectées constituent une “empreinte numérique” de vos prospects par l’enregistrement continu du comportement de vos visiteurs afin d’en élaborer un profil d’acheteur. Toutes ces empreintes, dès lors qu’elles ne sont plus anonymes, sont identifiées par l’entreprise et sont concernées par l’application du RGPD.

Le fichier client

Tout client est en droit de demander l’accès aux informations détenues à son sujet. Mais au-delà des informations personnelles, celles ci peuvent impliquer un Tiers lorsqu’il s’agit de la sécurisation des données (localisation, export…). Si le stockage des informations n’est pas interne à l’entreprise, cela peut être compliqué et représenter un surcoût dans la gestion, l’accès et la transmission, ainsi que la garantie de sécurité et de droit à l’oubli pour le client.

Qui est concerné ?

Toute entreprise qui collecte et traite informatiquement des données rattachées à des individus sur le territoire européen. Et ce, qu’elles le fassent pour leur propre compte, ou pour le compte d’un tiers. Par exemple, toute entreprise de gestion et location de base de données ou les éditeurs de solutions en SAAS (comme nous) portent la responsabilité du respect de ces nouvelles règles au même titre que les entreprises dont elles gèrent/stockent les données.

Un exemple concret : Prenons l’exemple de Google Analytics.

3,3 milliards de requêtes sont effectuées chaque jour (100 milliards par mois) via Google qui couvre 96% des sites internet en Union Européenne.

source : Blog du modérateur

Vous avez autorisé, lors de votre adhésion à Google Analytics, à collecter les données de votre site en y déposant votre code de tracking. Sachez que selon les conditions d’utilisations de Google et la loi Informatique et Libertés, vous êtes juridiquement responsable de ce que Google Analytics a recueilli grâce à votre intermédiaire, même si vous n’en connaissez pas le contenu ni l’utilité.

En effet, les données recueillies sur votre site, via les cookies, peuvent être corrélée avec d’autres sources afin d’élaborer des “profils virtuels” et proposer un service ou besoin personnalisé. Prises séparément, ces informations ne permettent pas de s’introduire dans la vie personnelle de l’internaute. C’est leur exploitation et leur croisement qui porte atteinte à la vie privée de l’internaute car ils permettent d’établir l’identité d’une personne physique. Pourtant, sans ce croisement d’informations, les services de ces acteurs ne sont pas utilisables. Le croisement de ce type d’informations n’est pas illégal, si l’internaute qui les a émises a autorisé leur recueil et leur utilisation. La loi ne cherche pas à empêcher le développement de cette pratique. Au contraire, c’est tout l’enjeu des phénomènes « Big Data » et « Open Data ». La loi veut seulement garantir une pratique éthique et respectueuse des droits fondamentaux de l’individu.

Source : Audito

Quel niveau de confidentialité établir ?

 2 types de confidentialité possibles

Privacy by Design ou confidentialité par Design : tout nouveau processus d’affaire qui utilise les données personnelles doit prendre en considération la protection de la vie privée. En désignant par exemple le service informatique comme garant du cycle de vie des données dans le système d’information via un processus établi et conforme, qui veille à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).

Privacy by default ou confidentialité par défaut : les paramètres de confidentialité s’appliquent automatiquement à chaque nouvelle donnée personnelle collectée. L’utilisateur dispose donc par défaut de ses droits d’accès et de protection sans aucune modification manuelle des paramètres. Les données personnelles sont alors collectées et conservées durant la période nécessaire à fournir un produit ou un service.

Quels risques ?

Le non-respect de ce règlement expose l’entreprise à une amende d’un montant pouvant s’élever de 2% à 4% du chiffre d’affaires annuel. Par le droit à réparation des dommages matériel ou moral, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Quel processus mettre en place pour être conforme ?

6 étapes pour se préparer au RGPD

1 . Désigner un pilote

Il est important de désigner un ou plusieurs responsables de la donnée, qui seront garants de leur protection et du processus de respect de la vie privée durant tout le cycle de vie de la donnée.

2. Cartographier vos traitements de données personnelles

Commencez par l’inventaire de vos données : Quelles données collectez-vous ?

  • Quels types de données ? Personnelles, publiques, génériques, nominatives…
  • Où les collectez-vous ? Cloud, serveur, SaaS…
  • Où sont-elles localisées ? Europe, Asie, US, France…
  • Comment les collectez-vous ? Achat, déclarées (formulaires), comportementales…
  • Pourquoi les collectez-vous ? Marketing, prospection, fichier client, statistiques, publicités…
  • Quel usage en faites-vous ? Commercial, administratif…
  • Combien de temps les conservez-vous ? Annuel, mensuel, usage unique…
  • Qui accède aux données ? Toute l’entreprise, un responsable, un sous-traitant, personne…

3. Prioriser les actions

Après avoir identifié les traitements de données personnelles mis en œuvre, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.

4. Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données.

5. Organiser les processus internes

Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (par exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).

6. Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Ce qu’il faut retenir :

Obtenir et prouver le consentement de la personne pour le recueil et l’usage des données personnelles

Garantir et sécuriser la bonne gestion des données personnelles (droit d’accès et droit à l’oubli)

Sources :

Règlement européen sur la protection des données : ce qui change pour les professionnels

Les PIA (Privacy Impact Assessment) : Ces documents sont des catalogues de bonnes pratiques destinées à traiter les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les libertés et la vie privée des personnes concernées.

Livre Blanc Audito : solutions techniques simples de mise en conformité avec la Loi Informatique et Libertés, réglementation des cookies.

CNIL : 6 étapes pour se préparer au RGPD

Testez votre connaissance des grandes thématiques de la protection des données !

Source : Sia Partners

Clothilde

Clothilde

Responsable marketing

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

note satisfaction client 2017
Partagez48
Tweetez
Partagez12
+11