Le 25 mai 2018 est passé, ça y est ! Retour sur les élements à mettre en place pour répondre aux exigences de ce nouveau cadre législatif.
Le Règlement général sur la protection des données (RGPD) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Ce texte protège l’ ensemble des résidents de l’Union européenne, ce qui veut dire que toutes les entreprises qui exercent leurs activités dans cette zone y sont soumises (même les entreprises américaines bien sûr).
Applicable depuis le 25 mai 2018 à l’ensemble de l’Union européenne, il renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitant ces données (responsables de traitement et sous-traitants).
Rappel de l’objectif du Règlement général sur la protection des données
Le RGPD incarne le nouveau texte de référence au sujet des données personnelles, en remplaçant une directive datant de 1995, quelque peu obsolète face aux évolutions numériques actuelles et des nouveaux modèles économiques liés au traitement de la donnée. L’autre objectif de ce texte est d’harmoniser les différents traitements de la donnée dans les différents pays de l’Union.
Au fait, qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.
Une information importante : toutes les entreprises sont concernées dès lors qu’elles travaillent sur de la donnée sur le territoire européen.
Voici donc maintenant une liste de recommandations vous permettant d’engager votre conformité RGPD, si celle-ci n’a pas déjà été amorcée… Pour cela, nous nous appuyons sur les ressources fournies par la CNIL pour vous apporter un éclairage sur la démarche.
Comment se préparer au RGPD en 6 étapes ? (source CNIL)
- Désigner le pilote de vos données : le délégué à la protection des données (DPO)
Pour piloter la gouvernance des données personnelles de votre structure, il est nécessaire de nommer un chef d’orchestre de la démarche : ses missions, informer, conseiller et contrôler en interne.
Certaines structures ont fait le choix de définir une personne issue d’une formation juridique pour remplir cette fonction clef. Sachez également qu’il existe des délégués externalisés ou partagés, qui, pour les TPE/PME peuvent répondre à vos besoins.
- Etablir une cartographie du traitement des donnée personnelles et établir un registre
Afin de mesurer l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles grâce à un registre des traitements qui regroupera :
- Les différents traitements effectués,
- les types des traitements,
- les types de données recueillies et utilisées (l’origine des données, les catégories de données, un transfert éventuel des données de l’étranger ou à l’étranger),
- les acteurs traitant des données,
- les conditions d’exécution du traitement,
- la durée de conservation des données personnelles.
Vous pouvez utiliser un fichier Excel comme le montre l’exemple suivant de la CNIL :
Disponible également ici en téléchargement: https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
Pour chaque donnée que vous stockez, posez-vous donc les questions suivantes :
QUI ?
- Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données.
- Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme.
- Etablissez la liste des sous-traitants (nous vous en reparlerons plus tard dans l’article)
QUOI ?
- Identifiez les catégories de données traitées.
- Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple : les données relatives à la santé, les infractions, données ethniques, religieuses, appartenance syndicale…).
- Les données liées aux mineurs :
- Ce n’est qu’à partir de 16 ans que les mineurs peuvent donner leur propre consentement au traitement de leurs données à caractère personnel sans l’autorisation du titulaire de la responsabilité parentale.
- Soyez donc vigilant à l’état de vos bases clients concernant cette catégorie d’utilisateurs
- Ce n’est qu’à partir de 16 ans que les mineurs peuvent donner leur propre consentement au traitement de leurs données à caractère personnel sans l’autorisation du titulaire de la responsabilité parentale.
POURQUOI ?
- Quelle est la finalité du traitement ?
- Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (par exemple : gestion de la relation commerciale, gestion RH, livraison, programme de fidélité…).
OÙ ?
- Déterminez le lieu où les données sont hébergées.
- Indiquez vers quels pays les données sont éventuellement transférées (au sein et hors de l’UE)
- Exemple, avec des routeurs email hébergés hors U.E
JUSQU’À QUAND ?
- Quels sont les délais d’effacement des données ?
- Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.
- Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées. Donc sachez que si aucune échange entre la marque et l’utilisateur n’a pas été réalisé durant 3 ans, (aucun achat, aucune ouverture newsletter, aucune pose de cookie), alors l’utilisateur doit sorti de votre base.
COMMENT ?
- Comment les données sont-elles sécurisées ?
- Précisez les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.
- Prioriser les actions à mener
En fonction des données identifiées dans ce registre, déterminez les actions à mener pour vous conformer aux obligations énoncées et priorisez ces actions en fonction du degré de risque encouru par les utilisateurs de vos services.
Ce pan concerne également la mise en place des conditions du traitement des données, entre autres : le consentement de la personne concernée, le droit à l’oubli, la finalité et la durée du traitement et de la conservation des données.
- Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
- Déterminer des processus internes pour limiter les risques
Il est maintenant nécessaire de s’assurer de la protection des données en prenant en compte les évènements qui risqueraient d’entacher l’intégrité des données. Pour cela, mettez en place des procédures internes qui limiteront le risque en cas de faille de sécurité, des données collectées, changement de prestataire…
- Documenter la conformité sur l’ensemble de la chaîne de valeur (interne, sous-traitants…)
Pour prouver votre conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. C’est un enjeu majeur de la RGPD car en cas d’inspection vous devez être capable de prouver la mise en œuvre de la démarche.
- La documentation concernant les divers traitements de données ; entre autres le registre des traitements ainsi que les analyses d’impact sur la protection des données,
- L’ensemble des informations concernant les personnes touchées par le traitement des données ; entre autres le recueillement du consentement de ces personnes et les procédures internes encadrant et protégeant les droits de ces personnes,
- L’ensemble des contrats des acteurs de l’organisme ; entre autres les contrats avec les sous-traitants et l’ensemble des documents permettant de cerner la responsabilité de chacun dans le traitement des données.
Et le sous-traitant ? Le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE1 . Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements. Retrouvez plus d’informations ici.
Devons-nous attendre à une inspection dès demain ?
Concrètement, il semblerait que non, mais il est nécessaire d’engager une démarche si ce n’est pas encore le cas :
- Sachez que les grandes entreprises ont déjà mis en place/activé des plans de mise en conformité RGPD (exemple : Groupe ERAM depuis l’été 2017)
- Sachez également que les plus petites entreprises qui ont moins de ressources juridiques et techniques pour mettre en place la mise en conformité risquent d’être plus impactées et également la proie de certaines arnaques à la RGPD sur laquelle la CNIL a envoyé des messages d’alerte (jouant notamment sur les risques de sanction financière en proposant des solutions clefs en main « RGPD compliant »)
Ce que nous vous recommandons toutefois pour engager la démarche RGPD dans votre entreprise :
D’engager rapidement la démarche : débutez le processus afin de montrer patte blanche via les actions suivantes :
- Mise en place de la cartographie de vos données
- Mise à jour de vos formulaires avec le consentement obligatoire (cf. point ci-dessous)
- De vous assurer également du consentement et de la preuve du consentement de vos bases (notamment via la demande du double optin qui risque d’être bientôt instauré en France)
Quelques exemples ci-dessous avec la notion d’optin activé permettant de valide un consentement actif.
Exemple de Mailjet – l’exemple de droite montre le consentement actif – fini les cases pré-cochées !
Exemple de Walmart au Canada avec différentes cases à cocher en fonction de l’utilisation des données avec la notion d’optionnel qui est valorisée
Sachez que depuis vendredi 25 mai 2018, vous ne pouvez plus envoyer un mail à un destinataire sans avoir reçu la preuve de son consentement. Donc travaillez le consentement actif de vos utilisateurs et gardez des preuves de celui-ci. Le consentement est un pan important de la RGPD, soyez donc très vigilant sur ce point. Sachez qu’en BtoB, une carte de visite peut aussi faire office de consentement donc archivez ces cartes également.
- Renforcez le respect des règles de bases de la vie privée de vos utilisateurs :
- Via les envois d’emailing :
- Rappeler les raisons de l’envoi. Dans chaque mail, la raison pour laquelle la personne reçoit ce mail doit être clairement exprimée.
- Permettre la désinscription. Il est nécessaire d’inclure un lien de désabonnement rapidement identifiable dans chaque email marketing.
- Le stockage des données et accès à celles-ci :
- Permettre à vos utilisateurs un droit d’accès, suppression, rectification, opposition et droit à l’oubli
- Expliquer clairement à quoi servent vos données :
- Dans quel cadre sont-elles utilisées et dans quel but
- Via les envois d’emailing :
Exemple qui explique qui utilise les données et pourquoi
- S’assurer de l’hébergement sécurisé des données utilisateurs :
- Identifiez les risques de faille qui permettrait une fuite de données ou une altération de celles-ci
- Travailler la minimisation de la donnée : ne gardez que le strict minimum
- Traiter uniquement les données qui sont nécessaires au regard d’une finalité définie. Certes, cela va à l’encontre de la collecte de data engagée ces dernières années, mais la directive est claire, il est important de ne garder que le strict minimum. Ce nouveau cercle ne peut être que bénéfique pour gérer la pression publicitaire et travailler une logique marketing qualitative.
- Voici des exemples assez basiques mais parlants :
- Dans le cas d’un site e-commerce, l’adresse physique d’un client pour une livraison est nécessaire
- La date de naissance d’un client est-elle nécessaire pour lui envoyer un message d’anniversaire dans le cadre d’un programme de fidélité ? Non, ne sont nécessaires que le jour et le mois de naissance et non la date de naissance pour envoyer un emailing.
- Dans le cadre d’un jeu-concours, si vous demandez à vos internautes s’ils aiment les voyages ou le rouge à lèvre, attention, si cette donnée n’est pas nécessaire, ne la stockez pas.
Pour finir, sachez que la CNIL fournit des ressources accessibles et assez claires, n’hésitez donc pas les consulter ou les imprimer ! A titre d’exemple, ce guide téléchargeable en PDF est un résumé intéressant : https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf qui pourra faire office de livre de chevet dans les prochains jours.
Nos équipes se tiennent à votre écoute si vous souhaitez échanger sur le sujet ou vous orienter vers des solutions qui vous permettront de gérer au mieux le consentement des internautes, notamment sur vos formulaires.
Toujours dans une logique d’expérience utilisateur, nos partenaires peuvent vous proposer des solutions de recueil et de stockage de consentement qui vous permettront d’engager un premier pas dans la RGPD.
A bientôt,
Sources :
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
https://www.lafabriquedunet.fr/blog/gdpr-ux-consentement-internautes/
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles