Comment mettre sa société en conformité avec le RGPD ?
Le RGPD (4 lettres pour Règlement Général pour la Protection des Données) est un nouveau règlement, voté le 27 avril 2016. Il touche toutes les entreprises qui gèrent des données personnelles de particuliers, comme vous et moi, et remet l’utilisateur au centre des préoccupations. Quelles en sont les conséquences ? Comment s’y préparer ?
Cette nouvelle législation doit permettre de stopper les fuites de données masquées et faire place à de nouveaux droits comme le droit à l’oubli, le droit au déréférencement (Art 17 du RGPD), le droit à la portabilité (Art 20 RGPD) et le droit au consentement renforcé (Considérant 32 du RGPD). Depuis deux ans, nous savons qu’il va falloir se mettre en conformité, mais, comme d’habitude, tout le monde s’affole au dernier moment. C’est toute l’ironie de la situation. Et comme beaucoup stressent, attention aux sauveurs déclarés qui sont prêts à vous faire payer cher leur conseil et accompagnement. Alors, comment faire pour s’y retrouver dans cette nouvelle vague de spécialistes de la norme RGPD ? Consultez déjà les recommandations prodiguées par la CNIL afin de comprendre le sujet.
Source : CNIL
Pas de panique, prenez votre temps
La date du 25 mai 2018 (date d’entrée en vigueur du RGPD) nous impose uniquement de commencer à effectuer les démarches pour nous mettre aux normes… et nous avons 3 ans pour le faire complètement. Cela laisse donc un peu de temps !
Relativisez l'ampleur de la tâche
Le RGPD a pour objectif d’empêcher les grandes entreprises à faire n’importe quoi avec nos données personnelles. Les petites sociétés ne sont finalement que des dommages collatéraux à cause de ce que l’on appelle la chaîne de responsabilité.
La taille de votre société n’est en réalité pas très importante. On s’intéresse plutôt à la taille de vos bases de données (ou de vos fichiers Excel ou Google Spreadsheet).
Et il faut comprendre que seules les données personnelles sont concernées. L’email professionnel, par exemple, est considéré comme une donnée personnelle. Par contre, les emails génériques de type Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. ne sont pas concernés.
Dans le cas du B2B (Business to Business), le consentement n’est pas obligatoire (on parle de l’opt-in) et vous devez toujours respecter les mêmes contraintes (informer l’utilisateur de l’objet du traitement, conserver les données moins de 3 ans sans échanger avec des tiers…). Il y a donc peu de changements en termes de prospection B2B.
Faites-vous accompagner
Il est important de se faire conseiller par des prestataires ou contacts en qui vous avez confiance pour vous accompagner dans ces démarches.
Trouvez des personnes qui vont prendre le temps de vous expliquer clairement et simplement la portée de ce nouveau règlement, sans trop en faire et sans vous vendre la révolution numérique.
En s’adressant à un expert connu et reconnu, on peut vite s’en sortir tout en dépensant des sommes très raisonnables.
Puisque l’analyse demande d’avoir des connaissances dans les outils informatiques, préférez un expert IT plutôt qu’un expert juridique.
Désignez un pilote pour cette démarche
Prenez le chef d’entreprise, le responsable marketing ou l’un de vos associés pour piloter cette démarche.
Le DPO (Data Protection Officer ou Délégué à la Protection des Données) dont on parle à la CNIL ne semble pas obligatoire lorsque l’on ne traite pas des données à grande échelle ou des données sensibles.
Cartographiez vos données
Allez voir votre responsable informatique et faites avec lui un travail de détection des données en répondant aux questions suivantes :
- Quelles données collectons-nous ?
- Où sont-elles stockées ?
- Par quels partenaires, fournisseurs transitent-elles ?
- Avec quelle finalité ?
Attention, si vous demandez à vos utilisateurs leur numéro de mobile, mais que vous ne l’utilisez pas, la CNIL ne va pas être contente. On dit qu’il faut appliquer le principe de minimisation de la collecte des données !
Priorisez les actions à mener
Après cet audit, un plan d’action doit être mis en place pour traiter les problèmes identifiés. Il faut prioriser les tâches et les planifier en prévoyant les ressources.
Gérez les risques
Selon les risques identifiés, vous devrez définir des moyens techniques ou les procédures pour les réduire. Si aucun risque n’apparaît, alors vous êtes tranquille.
Après, il est toujours intéressant de jeter un coup d’œil au parcours de vos données pour identifier à l’avance des failles potentielles.
Organisez les processus internes
Une autre action à mener concerne l’analyse des processus internes et la formation des opérateurs manipulant les données à caractère personnel. Ceci doit permettre de les sensibiliser pour éviter les mauvaises pratiques.
Il existe aussi le concept “Privacy by design” qui stipule que la démarche RGPD doit être intégrée au plus tôt dès la conception d’un produit ou d’un service utilisant des données personnelles.
Documentez votre démarche
Enfin, ce qui est important dans cette démarche, c’est la rédaction d’un rapport décrivant l’audit de votre situation, ce que vous envisagez d’améliorer ou de changer pour répondre aux exigences de la réglementation, et aussi détaillant les procédures mises en place pour bien gérer ce type de données.
Stéphane Paris
Consultant en transition numérique
Bleu Ebène