webleads-tracker

Breaking News

image L’Approche Agile
RGPD

RGPD : Ce qui nous attend et comment se préparer ?

La nouvelle Réglementation Générale sur la Protection des Données (RGPD), vous en avez entendu parler au café du coin, dans les médias, partout sur le web, dans les discours présidentiels…

Ah, non ? Alors laissez-moi vous faire un petit récapitulatif. Car si vous occupez une fonction marketing, cela va forcément vous impacter dans les mois prochains.

Ce qui change avec la RGPD

Le 25 mai 2018, une nouvelle réglementation entrera en vigueur dans toute l’Union européenne. Elle permet aux pays européens d’être alignés sur le sujet du traitement et de la gestion des données personnelles, au point que toutes les entreprises même non européennes souhaitant opérer sur le territoire de l’Union devront également s’y conformer. Attention, la sanction peut s’avérer assez rude et s’élever à 4% du chiffre d’affaires mondial de l’entreprise !

Les objectifs de la RGPD sont les suivants (cf. CNIL) :

  • Renforcer le droit des personnes, notamment des mineurs
  • Responsabiliser les acteurs s’occupant des données personnelles
  • Crédibiliser la réglementation via des sanctions et traitements transnationaux

[Petite parenthèse] Mais au fait, c’est quoi, une « donnée personnelle », exactement ?
Il s’agit d’une information se rapportant à une personne physique (pas morale !) identifiée ou identifiable directement ou indirectement (avec cookie ou adresse IP par exemple) par un  « identifiant ».

Les terrains d’application principaux pour les entreprises seront les suivants :

  • Le droit à l’oubli : sur une simple demande, et sauf raison légitime de les conserver, une personne peut demander à une entreprise l’effacement de ses données personnelles – cette entreprise devra également transmettre la demande aux autres parties dupliquant les données.
  • Le citoyen (ou lead, dans notre cas), doit également donner son consentement clair et explicite pour la collecte et le traitement de ses données : par exemple, une case à cocher, si celle-ci indique clairement et simplement la façon dont la donnée sera traitée. L’opt-in « par défaut » en absence d’opt-out n’est donc plus d’actualité.
  • La portabilité de la donnée : grâce à cette loi, les personnes peuvent transmettre leurs données vers un autre fournisseur facilement et sans pertes.
  • Droit d’être informé rapidement, notamment en cas de piratage
  • Limitations sur le profilage : selon le texte officiel, le profilage est « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données […] pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne« .
    La loi prévoit que ce profilage ne peut être utilisé que si la personne donne son consentement ou s’il est nécessaire à la conclusion d’un contrat  ̶̶̶  et non à des fins discriminatoires.
  • Protection des enfants et mineurs : une autorisation parentale est nécessaire pour ouvrir un compte sur les réseaux sociaux, et le droit à l’oubli qui leur est accordé est également plus clair.
  • Pour faire court : Le respect de la vie privée devient la norme.

Mais alors… que faire ?

Pas de panique, un des gros changements est que nous passons d’un système déclaratif auprès de la CNIL à une autonomie totale sur le sujet, d’un contrôle a priori à un contrôle a posteriori.

Vous ne serez donc contrôlé que si un utilisateur dépose une plainte à la CNIL ou qu’une fraude interne ou externe est détectée (cyber-attaque ou autre).

La CNIL prévoit six étapes pour se préparer à la RGPD. 

RGPD 2018

Désigner un Délégué à la Protection des Données

Le Délégué à la Protection des Données, ou DPO pour la version anglaise, est globalement le nouveau nom du CIL (Correspondant Informatique et Libertés). Si vous avez déjà élu un CIL, ce dernier a donc vocation à devenir DPD.
Il est seulement obligatoire pour les organisations dont l’activité de base est de traiter ou collecter massivement des données personnelles, et pour celles qui détiennent des données dites sensibles (cf www.cnil.fr).
Cette mesure permet néanmoins d’avoir un référent sur tous les sujets liés à la protection des données afin d’informer les différents acteurs, de vérifier le respect des textes, mais aussi de servir de relais avec les autorités concernées. Un conseil, nommez DPD une personne capable de jouer un rôle transverse, idéalement rattachée à la direction  générale.

Recenser tous les traitements de données personnelles

Disposer d’un registre de tous les traitements que vous opérez concernant des données personnelles. Par exemple, recenser tous les consentements (opt-in) à recevoir des contenus par email, tous les cookies collectés et sur quels site web, etc.
La CNIL nous résume cela simplement : Qui ? Quand ? Où ? Comment ? Pourquoi et Jusqu’à quand ?

  • Une fois l’ensemble des traitements recensés, prévoir un plan d’actions pour s’aligner en fonction des informations manquantes, mal renseignées ou incorrectes.

Réaliser une étude d’impact

Lorsque vous effectuez des « traitements de données personnelles à risques », il vous sera demandé d’effectuer une étude d’impact sur ces derniers. Vous verrez souvent le sigle PIA pour Privacy Impact Assessment, en anglais.

Lorsque la CNIL parle de données sensibles « à risques » elle entend que les traitements réalisés sur ces dernières présentent un risque sur les libertés des personnes concernées. On distingue trois cas de figure principaux :

  • Les données recueillies abordent des sujets « sensibles » : La religion, les orientations sexuelles, des données judiciaires, génétiques, biométriques, des opinions politiques, la santé d’une personne….
  • L’utilisation du profilage avec des conséquences juridiques ou significatives pour la personne concernée
  • Les données sont transférées dans des pays hors de l’UE

Élaborer des procédures internes de suivi

La RGPD instaure, entre autres, un nouveau principe de privacy by design. Il s’agit de prévoir, dès la conception d’une application ou d’un traitement de données, les mesures de protection des données personnelles récupérées ou traitées.

Prévoir aussi toutes les étapes à suivre lors d’une réclamation d’accès, de rectification ou de suppression de données personnelles par une personne : comment répondre ? Qui répond ? Dans quel délais ? …

Et, comme pour toute nouvelle procédure interne, ne surtout pas oublier de communiquer avec tous les acteurs impliqués directement ou indirectement dans le traitement de ces données. Bien veiller à ce que vos collaborateurs sachent qui contacter, quoi faire et comment réagir face à une demande ou à une faille de sécurité par exemple.

Documenter l’ensemble des points précédents

Regrouper tous les fichiers liés dans un dossier global qui attestera de votre conformité à la réglementation.

  • L’étude d’impact s’il y en a une
  • Le registre des traitements de données personnelles
  • L’ensemble des procédures prévues en cas de réclamation
  • Le registre des consentements

En cas de contrôle, ces derniers vous permettront de prouver que vous cherchez à respecter la réglementation en vigueur et que vous êtes conscients des risques engendrées par vos différents traitements de données.

En conclusion

Ces six étapes peuvent de la RGPD, on ne va pas se le cacher, paraître bien fastidieuses.

En prenant du recul on se rend compte que cela peut vraiment s’avérer très utile :

  • Pour faire le ménage et mettre au clair l’ensemble des données que vous traitez
  • Et ainsi avoir une vue globale de ce qui se passe dans votre base
  • Revoir vos opt-in et unsubscribed pour repartir sur une base propre
  • Impliquer et sensibiliser davantage l’ensemble des personnes utilisant ces données
  • Anticiper les risques de cyber-attaque

Un point essentiel à retenir parmi cette longue check list est que nous passons à un contrôle a posteriori : personne ne viendra vous surveiller tous les ans !
Cependant, si une réclamation est déposée, la CNIL viendra toquer à votre porte pour vérifier que vous êtes en règle. L’essentiel sera alors de prouver que vous faites preuve de bonne volonté et que vous avez commencé à mettre en œuvre des processus adaptés.

S’il vous manque une étape, mais si vous avez un plan d’action bien défini et pouvez montrer que des mesures ont déjà été mises en place, vous ne devriez pas être sanctionné.

En résumé ? Pas de panique, prenez votre temps et profitez-en pour être au clair avec la gestion de vos données.

Pour approfondir ce sujet, tous les utilisateurs Marketo sont cordialement invités à la séance du 4 juillet 2017 de notre désormais traditionnel Café Croissants sur la RGPD. Et découvrez en avant-première l’offre spéciale de SunTseu pour la mise en conformité de votre marketing automation.

email

Related News

Répondre

Votre email ne sera pas publié. Les champs obligatoires sont marqués *

Copyrıght @ SunTseu 2016. TOUS DROITS RESERVES.

Notre Blog utilise des cookies pour améliorer votre expérience. En continuant la navigation, vous acceptez notre politique de confidentialité. Plus d'infos ici
Accepter
x