Depuis fin 2017, les alertes sur l’arrivée le 25 mai 2018 du RGPD ne cessent de tomber. Mais, au juste, c’est quoi ce fameux RGPD qui sème la terreur et l’incompréhension dans les entreprises ?
Le 17 avril dernier, Blueboat a organisé une session afterwork de l’Erepday à la SIM de Mulhouse avec Alexandre Nappey (cabinet Scan Avocats), avocat spécialisé en propriété intellectuelle et technologies de l’information, afin d’y voir plus clair.
Les bases : une donnée personnelle c’est quoi ?
Une donnée personnelle concerne toute donnée qui est susceptible d’identifier une personne physique, au sens le plus large possible. Simple, non ?
Le RGPD : c’est quoi, pour qui, pourquoi ?
Le RGPD, c’est le Règlement Européen pour la Protection des Données Personnelles qui sera applicable partout en Europe à compter du 25 mai 2018.
Son but ? Renforcer la sécurité des données personnelles en s’adaptant aux nouvelles réalités du monde numérique.
Jusqu’à maintenant, la protection des données personnelles en France reposait sur la loi Informatique et Libertés. La réglementation était une directive datant de…1995 ! Par ailleurs, ce qui était une jurisprudence est parfois devenu aujourd’hui un droit fondamental, à l’image du droit à l’oubli. Des évolutions et une harmonisation étaient donc nécessaires.
Avec le RGPD, la loi française va connaître un lifting et une mise à jour pour prendre en compte les nouvelles exigences européennes et les adapter aux particularités nationales.
La théorie c’est bien, mais, en pratique, chaque entreprise se demande si elle est vraiment concernée. La réponse est oui, toutes les entreprises (et collectivités) qui traitent des données personnelles informatiquement sont concernées sans exception. Et quelle société ne traite pas aujourd’hui ce type de données ? On a beau chercher, pour l’instant, on n’a pas trouvé.
Le RGPD et le digital : ça change quoi ?
Au niveau du digital et du webmarketing particulièrement, avec le Règlement Européen pour la Protection des Données Personnelles, les entreprises devront être en mesure de prouver :
- qu’elles ont obtenu le consentement préalable à la collecte des données
- que leurs sites web et serveurs sont sécurisés
- que leurs sous-traitants sont en conformité eux-aussi
Mais au-delà des contraintes, le RGPD est aussi à voir comme une opportunité selon Alexandre Nappey :
C’est un avantage pour les entreprises qui sont soumises aux mêmes droits dans toute l’Union Européenne, c’est une simplification pour les relations commerciales
Digital : comment se mettre en conformité avec le RGPD ?
Concrètement, la mise en conformité avec cette nouvelle réglementation européenne de protection des données personnelles va passer par la mise en place :
- d’un registre des traitements de données
- d’outils permettant aux personnes d’exercer leurs droits
- de mesures de sécurisation des données (organisation interne, technique)
- la nomination au sein de l’entreprise d’un Délégué à la Protection des Données (DPO) pour les organismes publics ou manipulant des données sensibles.
La mise en conformité RGPD n’est pas une fatalité, il faut en faire un argument de confiance avec les clients
Pour toutes les activités de l’entreprise liées au web et à la relation client, des mesures plus spécifiques sont à mettre en place pour être en conformité :
- Effectuer un audit des données collectées sur le web et des solutions logicielles externes : formulaires, newsletter, comptes d’accès, solutions de routage e-mailings et SMS, CRM, paiement en ligne, facturation, …
- Créer un registre répertoriant pour chaque point de collecte des données (page web, formulaire de contact, logiciel etc.) les champs demandés
- Vérifier que le consentement de l’utilisateur par la présence d’une case à cocher est demandé, et que les informations relatives à la protection et droit de modification/suppression des données sont bien présentes.
Cette procédure vous permettra de détecter les points de collecte de données personnelles qui ne sont pas en conformité, et également de prouver votre bonne volonté en cas de contrôle de la CNIL !
L’idée est de se contenter du strict minimum en matière de collecte de données
Pour toutes les données recueillies/stockées sur des solutions logicielles externes, il convient de demander aux éditeurs de ces solutions des preuves de leur conformité au regard de la réglementation RGPD.
Et si mon entreprise n’est pas en conformité avec le RGPD, je risque quoi ?
En cas de contrôle et de non-conformité avérée, l’entreprise risque une amende jusqu’à 4% du chiffre d’affaires mondial, avec un plafond à 20 millions d’euros !
Début 2018, le “cas Darty” a fait beaucoup parler de lui, l’entreprise étant accusée d’avoir laissé une faille de sécurité sur l’un de ses formulaires de demande SAV développé par un prestataire externe, qui permettait à des tiers d’accéder aux données personnelles saisies par les clients ! Darty a été condamné à 100.000€ d’amende pour manquement à ses obligations de protection des données, le recours à un prestataire externe n’étant pas une “excuse” au yeux de la CNIL.
Pour accompagner la mise en place de la mise en conformité des entreprises, la CNIL a mis à disposition un outil, le logiciel open-source PIA qui permet de répertorier tous les traitements de données existants et de vérifier leur conformité.
Il est également possible (et conseillé !) de se faire accompagner par un consultant spécialisé, et d’externaliser ses données chez des prestataires prenant à leur charge la gestion des données en conformité avec le RGPD.
Commentaires désactivés.