Depuis quelques jours, tout le monde s’agite autour de ces quatre lettres : RGPD. Pas de panique, dans ce guide nous allons vous expliquer ce qu’est le Règlement Général de la Protection des Données et les étapes que votre PME doit suivre pour être en conformité dès son entrée, le 25 mai 2018. Et en Suisse ? Les entreprises suisses qui offrent des biens ou des services à des personnes dans l’Union Européenne devront être conformes au nouveau règlement européen sur la loi de la protection des données.

Le RGPD, c’est quoi ?

En 2016, les états de l’Union Européenne ont voté Le Règlement général sur la protection des données (RGPD ou GDPR en anglais, pour General data protection régulation) à caractère personnel. Son objectif : offrir aux citoyens un meilleur contrôle sur l’utilisation de leurs données via des règles communes et l’instauration d’un cadre unique pour les 28 pays membres. Le nouveau règlement renforce les droits des personnes dont les données sont collectées et traitées et met en place des sanctions plus importantes en cas de violation.

Il entrera en vigueur le 25 mai et abrogera de ce fait la précédente directive datant de 1995.

Vous avez bien dit « données personnelles » ?

Par donnée à caractère personnel, on entend une information qui permet d’identifier un citoyen. Il peut s’agir du nom, d’une photo, d’une plaque d’immatriculation, d’une adresse IP, d’un numéro de téléphone, d’une empreinte digitale, d’un mail…

Il peut s’agir de données non-sensibles (nom, prénom, date de naissance) et de données sensibles (opinion politique, l’orientation sexuelle, la santé, la philosophie ou encore à l’origine raciale et ethnique d’un individu).

A qui s’applique le Règlement Général de la Protection des Données ?

Le RGPD s’applique à toute entreprise qui collecte, traite et utilise des  données privées de citoyens européens même si votre entreprise se situe hors de l’UE. Il s’agit donc de presque toutes les entreprises dans le B2B (par exemple la liste des abonnés à la newsletter) ou la vente en ligne (données clients).

Ce règlement affectera les départements :

  • web,
  • marketing et
  • IT

et plusieurs personnes vont être concernées :

  • les prestataires de site e-commerce
  • les opérateurs web
  • les emails marketeurs.

Quelles nouveautés ?

Les principales nouveautés introduite par le RGPD sont l’apparition de nouveaux droits en matière de protection des données notamment :

  • le droit à la portabilité : tout individu a le droit de récupérer ses données le concernant auprès de n’importe quel organisme ;
  • le droit de rectification : la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant ;
  • le droit à l’oubli : offre à l’individu la possibilité d’obtenir l’effacement de toutes ses données et le droit d’opposition (à tout moment la personne concernée peut s’opposer et révoquer son consentement au traitement de ses données) ;
  • le droit à la limitation du traitement : permet à une personne physique d’exiger la limitation du traitement des ses données. Par contre ce droit ne peut se faire valoir que si les informations sont inexactes ou que le traitement est illicite ;
  • le droit à être notifié de toute rectification, effacement ou limitation de traitement des données ;
  • le droit d’accéder aux données.

Si les entreprises ne respectent pas leurs obligations, une amende peut être appliquée.

Ça va changer quoi ?

Avec l’entrée en vigueur du RGPD, les entreprises doivent maintenant :

a. Mettre en place un registre de traitement des données

b. Obtenir et conserver le consentement des citoyens

c. Identifier les processus et dispositifs de collecte: formulaires, réseaux sociaux… ainsi que le type de données récupérées par tous ces dispositifs.

d. Vérifier que les logciels externes et sous-traitants soient tous en adéquation avec le RGPD

e. Sécurisez les données

f. Nommer un DPO (Data Protection Officer)

a. Mettre en place un registre de traitement des données

En cas de contrôle de la CNIL, vous devez pouvoir prouver votre conformité. Pour cela, les entreprises sont appelées à dresser un registre des données en identifiant : leur origine, leur finalité et leur durée de conservation.

À savoir que les sous-traitants eux aussi se doivent de tenir un registre de traitement de données.

b. Obtenir et conserver le consentement des citoyens en limitant la collecte des données au strict minimum

Il est obligatoire dès la collecte d’une adresse email (ou d’autres informations personnelles) d’obtenir le consentement de vos prospects et pour les services en ligne le consentement pour les mineurs avant leur inscription.

Pour cela, mettez à jour vos clauses sur le consentement sur vos Conditions Générales de Vente (CGV) ou vos Conditions Générales d’Utilisation (CGU). Soyez transparent ! Et insérez un lien de type « J’accepte les CGV… » vers vos clauses à tout endroit de votre site où vous collectez une adresse email, un nom, un prénom, une date de naissance, etc.

Même si vous avez collecté vos adresses email avant Mai 2018, il est possible que vous ne puissiez plus les utiliser si vous ne pouvez pas prouver le consentement explique de vos destinataires.

Dans le cadre du marketing automation, il est aussi nécessaire d’informer vos destinataires de toute information qui va plus tard être utilisée dans un scénario automatisé. Vous comptez envoyer des emailings d’anniversaire ou des recommandations produit ? Vos destinataires doivent être informés que leur date d’anniversaire ou leur comportement d’achat seront utilisés pour segmenter vos envois.

Dans toute stratégie webmarketing, on est amené à collecter des données sur nos prospects et nos clients. Il faudra dorénavant récolter que des informations personnelles strictement nécessaires, mais en plus limiter leur conservation dans le temps (12 mois).

Si vous organisez des formation par exemple (c’est notre cas) et vous demandez à vos internautes de remplir un formulaire de contact, pour s’inscrire à la prochaine formation prévue et que vous leur demandez leur date et lieu de naissance, vous risquez d’avoir des problèmes ! En effet, ces deux informations vous sont pas nécessaire pour vos formations.

c. Identifier les processus et dispositifs de collecte: formulaires, réseaux sociaux… ainsi que le type de données récupérées par tous ces dispositifs.

Pour éviter tout souci, réalisez un audit du parcours de votre site  et de tous les lieux Web où vous demandez aux internautes des infos :

  • newsletter,
  • création de compte,
  • demande de SAV,
  • formulaire de contact

Nous conseillons de créer un document interne officiel, incluant toutes les informations ci-dessus, afin de pouvoir prouver en cas de contrôle que votre organisation a la volonté de se conformer au RGPD.

Faites consciencieusement cette identification/audit pour éviter de rater des choses à corriger.

d. Vérifier que vos logiciels externes et sous-traitants soient tous en adéquation avec le RGPD

La majorité des entreprises et organisations utilisent des solutions logicielles externes, de type SaaS par exemple, pour exploiter les données de leurs utilisateurs. Et ce qu’il faut savoir, c’est que la conformité au RGPD implique également l’utilisation de solutions logicielles externes conformes au RGPD. Pour faire simple, vous avez également une responsabilité quant aux choix des solutions, et vous devez vous assurer que ces dernières sont également en conformité avec la loi, puisque vous leur transmettez les informations d’utilisateurs.

A titre d’exemple, voici une liste de solutions qui auront un impact sur votre conformité au RGPD :

  • solution CRM
  • plateforme de routage emailing / SMS
  • logiciel de facturation
  • plateforme de jeu concours
  • logiciel SIRH
  • solution analytique
  • solution de paiement en ligne
  • plateforme publicitaire
  • etc

L’important sera de lister toutes les solutions utilisées au sein de votre organisation, et les formaliser sur un document interne, qui garantira que vous maîtrisez l’ensemble des flux d’informations. Et surtout, le plus important, consistera à vous rapprocher d’elles, afin de leur demander des preuves de mise en place d’une politique respectant le RGPD.

Concrètement, il faudra prouver, par le biais d’écrits, que vous vérifiez régulièrement que ces “sous-traitants” de la donnée sont conformes, et respectent la réglementation en vigueur. Ainsi, vous pourrez garantir la chaîne complète et sa conformité au RGPD.

e. Sécuriser les données récoltées

Et enfin, il ne faut surtout pas oublier cette dernière obligation : sécuriser et protéger les données récoltées.

Reprenons notre exemple de formations. Imaginons que vous avez collecté 1 000 adresses emails, noms et prénoms.

Mais que, de toutes évidences, vous ne protégez pas correctement l’accès à votre espace administrateur (WordPress par exemple) avec un mot de passe trop simple à trouver, et, de nouveau, vous êtes responsable s’il y a un vol de données…

Et les internautes peuvent vous demander réparation pour les dommages subis !

En conséquence, vous devez travailler à la protection et à la sécurisation de votre site Internet d’entreprise.

f. Nommez un DPO (Data Protection Officer)

Il ne s’agit d’une recommandation plutôt qu’une obligation. Le Data Privacy Officer est le point de contact avec les sujets dont les données sont traitées, et avec l’autorité de contrôle, avec qui il coopère (en France, c’est la CNIL). Mais surtout, il a pour tâche de vérifier la conformité de son organisation avec le RGPD. En d’autres termes, le DPO (Data Protection Officer) sera en mesure d’assurer la conformité et l’encadrement des données et pourra être l’interlocuteur en cas de contrôle. Le DPO n’est cependant pas légalement responsable de la conformité de son organisation : c’est bien l’entreprise ou l’organisme public lui-même qui l’est.

Quelles sanctions en cas de non conformité ?

Pour assurer le respect de ce nouveau règlement européen, les sanctions mises en place en cas de non conformité sont rudes: en plus d’un impact évident sur la réputation, il faudra compter 20 000 000 € d’amende ou 4% du chiffre d’affaires mondial de l’entreprise non conforme.

Entre ces deux sanctions, ce sera celle dont la valeur est la plus élevée qui sera appliquée. Des sanctions qui seront appliquées dès le 25 mai 2018. À savoir qu’aucun délais supplémentaires ou période de transition ne sera accordée.

Etes-vous prêt pour la mise en place de ces nouvelles mesures ?
L’infographie ci-dessous vous y aidera. Merci à Gombo Digital pour sa réalisation.

Règlementation Générale sur la Protection des Données