Le compte à rebours a commencé : le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne entrera en vigueur le 25 mai 2018.

Conçu pour assurer la protection des données personnelles et harmoniser le cadre légal européen, ce règlement concerne toutes les entreprises et organisations qui gèrent des traitements de données à caractère personnel.

Les enjeux du RGPD

L’objectif du règlement est de renforcer, unifier et encadrer la protection des données personnelles des individus. Il s’agit de redonner aux citoyens le contrôle de leurs données personnelles et de responsabiliser les acteurs traitant des données.

Les données personnelles correspondent à toutes les données relatives à une personne physique qui permettent de l’identifier directement (par exemple le nom et le prénom, l’adresse postale, l’adresse email, le numéro de téléphone, etc.) ou indirectement (par exemple les cookies, les numéros de clients, les adresses IP, etc.).

Cette nouvelle règlementation européenne octroie plusieurs droits aux individus qu’il est indispensable de leur communiquer :

• Le droit à l’information, c’est-à-dire informer les individus de toute collecte de données les concernant, et leur permettre de donner explicitement leur consentement,

• Le droit d’accès, permettant aux individus d’accéder à leurs données personnelles et d’exiger une réponse quant à l’usage que les entreprises en font,

• Le droit à l’oubli, par lequel un individu pourra à tout moment retirer son consentement à l’utilisation de ses données, partiellement ou totalement,

• Le droit à la portabilité des données, offrant aux individus la possibilité de récupérer leurs données à des fins de réutilisation par une autre entreprise,

• Le droit de notification, obligeant les entreprises, en cas de fuite de leurs données, à informer les individus dans un délai maximum de 72h après la découverte de la fuite.

Les risques en cas de non-respect

Le RGPD concerne toutes les organisations et entreprises, européennes ou non, traitant des données personnelles de citoyens européens. En cas de non-respect du règlement, ce dernier a prévu des amendes allant de 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.

En cas de contrôle de la CNIL, c’est aux entreprises de démontrer qu’elles sont en conformité. Si elles travaillent avec des fournisseurs ou des sous-traitants qui ont accès aux données, ces entreprises doivent s’assurer qu’ils répondent également aux exigences du RPDG.

Les étapes à suivre pour être conforme

La collecte et l’utilisation des données sont des enjeux stratégiques, c’est pourquoi il est impératif de mettre en place un dispositif au sein de votre entreprise afin de :

• Obtenir de vos contacts leur consentement formel et explicite pour stocker et utiliser leurs données personnelles, en indiquant précisément pour quel usage vous demandez ce consentement et quelle est la durée d’archivage de ces données,

• Donner à vos contacts la possibilité d’accéder à leurs données,

• Permettre à vos contacts de demander de façon simple la suppression de leurs données,

• Les informer dans un délai de 72h de la fuite de leurs données.

Pour mener à bien votre conformité au RGPD, vous allez devoir auditer vos usages, former vos équipes et mettre en place des procédures.

Dans un premier temps, vous devrez identifier comment les données personnelles sont collectées au sein de votre entreprise, où elles sont stockées, quelles sont ces données, qui les manipule et quels sont les traitements faits sur ces données. Il faudra ensuite contrôler et sécuriser ce dispositif, puis mettre à jour et renouveler les consentements des individus. Ces données concernent vos clients, vos prospects, vos fournisseurs, vos partenaires commerciaux, ainsi que vos salariés.

Il faut disposer d’un système capable de fournir à chaque contact toutes les informations récoltées sur lui, dans un format lisible, facile d’accès et exploitable.

Le registre obligatoire des traitements de données

Dans le cadre du RGPD, les entreprises auront l’obligation de tenir en interne un registre de tous les traitements de données. Ce document détaillera précisément le traitement réalisé sur les données personnelles. Il permettra de répondre au droit à l’information des individus et également de justifier sa conformité au RGDP en cas de contrôle de la CNIL.

Le registre indiquera :

• qui traite les données,

• quelles sont les actions concernées,

• à quelles fins sont collectées et utilisées les données,

• où sont hébergées les données,

• combien de temps sont conservées les données,

• quelles mesures sont mises en œuvre pour assurer la sécurité des données et minimiser les risques de fuites.

Le rôle du Délégué à la Protection des Données (DPO)

Il est fortement recommandé aux entreprises de nommer un DPO, le RGPD rendant même obligatoire la désignation d’un DPO pour les entreprises traitant un très grand nombre de données.

Les missions du DPO seront de :

• Contrôler la conformité de vos process internes en matière d’usage des données personnelles avec les dispositions du RGPD,

• Accompagner et conseiller vos collaborateurs pour être conforme au RGPD,

• Alerter votre direction en cas de manquement.

Au-delà du risque juridique, le DPO doit communiquer à tous les collaborateurs de votre entreprise sur l’enjeu commercial de cette conformité.

Zoom sur les principales étapes de conformité concernant les bases de données marketing

Tout d’abord, il faut répondre au droit à l’information et au consentement. Si vous avez mis en place des systèmes d’opt-in, ces derniers seront conformes si vous pouvez prouver précisément que votre contact a donné son accord pour recevoir des informations de votre entreprise. Dans le cas contraire, il faudra recueillir, d’ici le 25 mai 2018, pour chacun de vos contacts, un consentement précis et spécifique indiquant clairement le type de communication concerné par cette demande de consentement et par quel canal votre contact choisit de recevoir vos communications.

Avant l’entrée en vigueur du RGPD, il faudra avertir tous vos contacts (clients, fournisseurs, prospects, partenaires) que vous ne serez plus en mesure de les contacter sans leur consentement. Il devient urgent de commencer à recueillir ces consentements.

Une fois cette étape effectuée, le dispositif mis en place devra permettre à votre contact de facilement gérer son consentement via une interface facile d’accès et explicite. L’interface doit aussi lui permettre d’effacer partiellement ou intégralement les données qui le concernent. Il s’agit ici du droit à l’oubli.

Votre contact devra aussi pouvoir accéder et télécharger simplement l’intégralité des données qui le concernent (droit d’accès et droit à la portabilité des données).

Un enjeu commercial stratégique

Le RGPD s’inscrit dans une tendance de fonds sur le respect de la vie privée. Il a pour objectif d’apporter plus de clarté et de confiance entre les individus et les entreprises. Les risques de non-conformité sont conséquents, tant en termes financiers que d’image. C’est donc un sujet stratégique majeur pour le développement actuel et futur de chaque entreprise.

Saisissez cette opportunité pour instaurer une plus grande proximité avec votre contact, en lui adressant, par exemple, un message de remerciement lorsqu’il vous aura donné son consentement ainsi qu’un lien vers l’interface lui permettant de gérer ses données.

Sécuriser ses process, c’est aussi rassurer son client et le conforter dans le partenariat qu’il a établi avec vous.

#RGPD #Basesdedonnéesmarketing