RGPD comme Règlement Général sur la Protection des Données, établi par l’Union Européenne, entrera en vigueur en 2018. Autant dire demain ! Son objectif est simple : redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne. La mise en conformité devra se faire au plus tard le 25 mai 2018.
Cette réglementation, et notamment les derniers ajouts, auront un impact indéniable quant au management de la donnée et plus globalement au fonctionnement général du système d’information d’une entreprise. Cette directive couvre les données détenues non seulement par les personnes morales ou physiques européennes, mais également par les entreprises ou organismes non européens qui traitent les données de citoyens européens.
La définition des données à caractère personnel couvre désormais toute une série de détails comprenant les informations personnelles habituelles, mais aussi des éléments tels que les photographies et les données des réseaux sociaux.
Selon la loi, une donnée personnelle signifie :
Toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification (par exemple : le numéro de sécurité sociale) ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale (par exemple : nom et prénom, date de naissance, la biométrie les données, les empreintes digitales, ADN …).
La définition est large, mais elle implique que le RGPD est applicable si et seulement si la donnée est établie comme personnelle. Dans le cas contraire, si les données sont confirmées « anonymes » la réglementation ne s’applique pas.
Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.
L’expression du consentement est définie : les utilisateurs doivent être informés et leur accord requis de la collecte et usage de leurs données.
Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Rétablissant ainsi l’équilibre entre la personne et le porteur de la donnée.
L’entreprise ne peut plus se contenter d’informer que son site “utilise les cookies”, ni digitaliser sa gestion client (s’équiper d’un CRM ou un logiciel de marketing automation par exemple) sans prendre en compte les données qu’elle collecte et exploite à des fins commerciales. L’impact sera immédiat pour l’entreprise, dans l’organisation à court terme de son système d’information car pour la plupart d’entres elles, les données ne sont pas centralisées et l’entreprise ne peut donc pas en garantir ni sécuriser l’accès, la bonne gestion et le droit à l’oubli des données personnelles dans le respect de la réglementation applicable au 25 mai 2018.
Koban Marketing, notre outil de Marketing Automation vous permet de suivre et faire mûrir vos pistes. L’outil vous permet de tracker vos visiteurs web puis de les alimenter régulièrement en contenus ciblés grâce à l’automatisation. Le flux des données collectées constituent une “empreinte numérique” de vos prospects par l’enregistrement continu du comportement de vos visiteurs afin d’en élaborer un profil d’acheteur. Toutes ces empreintes, dès lors qu’elles ne sont plus anonymes, sont identifiées par l’entreprise et sont concernées par l’application du RGPD.
Si vous aussi, vous souhaitez mettre en place une stratégie de marketing automation, Koban est l’outil qu’il vous faut ! Demandez votre démonstration gratuite pour découvrir le champ des possibles et voir comment notre solution peut répondre à vos attentes.
Le fichier client
Tout client est en droit de demander l’accès aux informations détenues à son sujet. Mais au-delà des informations personnelles, celles ci peuvent impliquer un Tiers lorsqu’il s’agit de la sécurisation des données (localisation, export…). Si le stockage des informations n’est pas interne à l’entreprise, cela peut être compliqué et représenter un surcoût dans la gestion, l’accès et la transmission, ainsi que la garantie de sécurité et de droit à l’oubli pour le client.
Toute entreprise qui collecte et traite informatiquement des données rattachées à des individus sur le territoire européen. Et ce, qu’elles le fassent pour leur propre compte, ou pour le compte d’un tiers. Par exemple, toute entreprise de gestion et location de base de données ou les éditeurs de solutions en SAAS (comme nous) portent la responsabilité du respect de ces nouvelles règles au même titre que les entreprises dont elles gèrent/stockent les données.
3,3 milliards de requêtes sont effectuées chaque jour (100 milliards par mois) via Google qui couvre 96% des sites internet en Union Européenne.
source : Blog du modérateur
Vous avez autorisé, lors de votre adhésion à Google Analytics, à collecter les données de votre site en y déposant votre code de tracking. Sachez que selon les conditions d’utilisations de Google et la loi Informatique et Libertés, vous êtes juridiquement responsable de ce que Google Analytics a recueilli grâce à votre intermédiaire, même si vous n’en connaissez pas le contenu ni l’utilité.
En effet, les données recueillies sur votre site, via les cookies, peuvent être corrélée avec d’autres sources afin d’élaborer des “profils virtuels” et proposer un service ou besoin personnalisé. Prises séparément, ces informations ne permettent pas de s’introduire dans la vie personnelle de l’internaute. C’est leur exploitation et leur croisement qui porte atteinte à la vie privée de l’internaute car ils permettent d’établir l’identité d’une personne physique. Pourtant, sans ce croisement d’informations, les services de ces acteurs ne sont pas utilisables. Le croisement de ce type d’informations n’est pas illégal, si l’internaute qui les a émises a autorisé leur recueil et leur utilisation. La loi ne cherche pas à empêcher le développement de cette pratique. Au contraire, c’est tout l’enjeu des phénomènes « Big Data » et « Open Data ». La loi veut seulement garantir une pratique éthique et respectueuse des droits fondamentaux de l’individu.
Privacy by Design ou confidentialité par Design : tout nouveau processus d’affaire qui utilise les données personnelles doit prendre en considération la protection de la vie privée. En désignant par exemple le service informatique comme garant du cycle de vie des données dans le système d’information via un processus établi et conforme, qui veille à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).
Privacy by default ou confidentialité par défaut : les paramètres de confidentialité s’appliquent automatiquement à chaque nouvelle donnée personnelle collectée. L’utilisateur dispose donc par défaut de ses droits d’accès et de protection sans aucune modification manuelle des paramètres. Les données personnelles sont alors collectées et conservées durant la période nécessaire à fournir un produit ou un service.
Le non-respect de ce règlement expose l’entreprise à une amende d’un montant pouvant s’élever de 2% à 4% du chiffre d’affaires annuel. Par le droit à réparation des dommages matériel ou moral, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
1 . Désigner un pilote
Il est important de désigner un ou plusieurs responsables de la donnée, qui seront garants de leur protection et du processus de respect de la vie privée durant tout le cycle de vie de la donnée.
2. Cartographier vos traitements de données personnelles
Commencez par l’inventaire de vos données : Quelles données collectez-vous ?
3. Prioriser les actions
Après avoir identifié les traitements de données personnelles mis en œuvre, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
4. Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données.
5. Organiser les processus internes
Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (par exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).
6. Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Ce qu’il faut retenir :
Obtenir et prouver le consentement de la personne pour le recueil et l’usage des données personnelles
Garantir et sécuriser la bonne gestion des données personnelles (droit d’accès et droit à l’oubli)
Sources :
Les PIA (Privacy Impact Assessment) : Ces documents sont des catalogues de bonnes pratiques destinées à traiter les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les libertés et la vie privée des personnes concernées.
