Ce n’est désormais plus qu’une question de jours : le Règlement général sur la protection des données privées, ou RGPD, entre en vigueur le 25 mai. Pourtant, la majorité des IT managers estime encore ne pas être prête pour le 25 mai. Au lendemain du scandale Cambridge Analytica, il devient plus qu’urgent de se mettre en conformité avec ces nouvelles règles : ne pas être prêt à temps peut impacter fortement l’image de marque. Voici un rappel et des conseils pour se préparer au plus vite.
Protéger les données personnelles des citoyens européens
Un bref rappel : le RGPD (GDPR en anglais) est un règlement européen qui vise à protéger les données des citoyens européens. Il succède à la législation actuelle, qui a été introduite avant l’avènement du numérique et la pratique consistant à récolter des données via divers canaux. Le RGPD permet ainsi d’imposer un cadre à l’utilisation croissante du Big Data et d’éviter autant que possible les dérives telles que la vente de données à l’insu des propriétaires ou le piratage. Si la réglementation est destinée à harmoniser les lois sur la protection de la vie privée en Europe, on peut constater de légères différences selon les législations propres à chaque pays. En France, la CNIL propose un accompagnement en six étapes pour amorcer la transition.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Deux champs d’application
Le RGPD a deux champs d’application spécifiques :
Champ d’application matériel
Le RGPD s’applique dès qu’un traitement de données à caractère personnel a lieu ;
Champ d’application territorial
Le RGPD s’applique :
• Si l’entreprise est située dans l’UE et traite des données à caractère personnel dans le cadre de ses activités, que ces données soient traitées dans l’UE ou non, et que cela soit en tant que responsable du traitement ou en tant que sous-traitant.
• Au traitement des données à caractère personnel de personnes concernées de l’UE (ce qui est plus large que les seuls citoyens de l’UE) par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’UE, mais dont le traitement concerne l’une de ces activités : l’offre de biens ou de services à des personnes concernées de l’UE (qu’un paiement de la personne concernée soit requis ou non) et le suivi des données de comportement de personnes concernées de l’UE, dans la mesure où celui-ci intervient au sein de l’UE.
Un facteur de confiance dans la relation client
En cas de non-conformité avec le RGPD, les conséquences s’avèrent incroyablement élevées. Les amendes administratives relatives à un usage considéré comme abusif des données à caractère personnel peuvent concerner entre 2 et 4% du chiffre d’affaires. L’autre enjeu concerne l’image de marque et la réputation de l’entreprise. Dans un contexte où les consommateurs sont de moins en moins confiants lorsqu’il s’agit de renseigner leurs données, le non-respect de la réglementation peut se révéler problématique. En revanche, les consommateurs se montrent plus ouverts au partage de données personnelles envers les entreprises qui communiquent de façon transparente. En leur laissant le choix sur la manière dont ils souhaitent être contactés et en les informant clairement de l’usage qui sera fait de leurs données et de la politique de confidentialité appliquée, les entreprises regagnent la confiance des clients.
3 actions pour être en règle le 25 mai
Déterminer les besoins en équipement et en recrutement
Documents juridiques, mise à jour des logiciels, des formulaires de contact ou des pratiques de collecte des données sont autant de mesures nécessaires pour suivre le règlement. Certaines entreprises auront besoin de faire appel à un expert : le délégué à la protection des données (DPD). Celui-ci représentera alors un élément clé pour mettre en œuvre la nouvelle norme et accompagner l’entreprise dans sa transition.
Établir un audit des données existantes
Il est essentiel d’interroger les processus existants de gestion des données. Quelles sont les pratiques actuelles de récolte et de stockage des données ? A quelles fins sont-elles utilisées ? Afin de traverser dans les meilleures conditions cette étape cruciale, il peut être judicieux d’avoir recours au Cloud et aux technologies SaaS. Ces deux outils regorgent de possibilités de stockage en toute sécurité.
Informer ses clients
Un client informé est un client potentiellement fidèle : c’est ce que révèle une étude d’Accenture Strategy, qui place la confiance au cœur de la relation client à l’ère du Big Data. Pour gagner et maintenir cette confiance, et assurer sa conformité, toute entreprise devra porter à la connaissance des consommateurs, de manière claire et compréhensible le mode de collecte des données auquel elle a recours et l’usage qu’elle en fera. C’est une obligation pour les responsables du traitement des données (c’est à dire l’entité qui détermine les finalités et les moyens du traitement de données à caractère personnel). En outre, elle doit également préparer un e-mail détaillé pour expliquer le RGPD à ses clients, avec un lien vers sa déclaration de protection de la vie privée mise à jour. Cette déclaration doit au moins faire référence au RGPD, et contenir des informations sur les aspects suivants : quelles données à caractère personnel sont recueillies, comment elles sont recueillies, quelle est la finalité du traitement, le délai de conservation des données, les droits des personnes concernées, la procédure de réclamation, le processus de transfert de données à des tiers, etc.
Si la mise en conformité avec le RGPD peut paraître laborieuse, elle a un double effet : elle permet de s’éviter des sanctions hautement dommageables et de s’attirer la confiance d’une clientèle de plus en plus avertie.