Le RGPD (Règlement Général sur la Protection des Données) est un ensemble de règles visant à harmoniser les lois de protection des données des personnes relevant de la juridiction de l’union européenne. Pleinement applicable depuis le 25 mai 2018, il contraint les entreprises et leurs sous-traitants à la mise en place d’actions pour assurer l’information des utilisateurs, mais également la traçabilité et la sécurité de leurs données.
Deux ans après l’entrée en vigueur du RGPD, décryptage de l’impact concret sur le fonctionnement des entreprises et plus spécialement, dans le cadre d’une stratégie d’inbound marketing. Un sujet qui nous touche particulièrement chez Adeliom, en tant que défenseurs d’une expérience utilisateur positive.
Des termes à éclaircir
Ci-dessous nous emploierons quelques termes qui nécessitent une explication préalable :
Données personnelles : ce sont toutes les informations se rapportant à « une personne physique identifiée ou identifiable ». C’est à dire que la personne peut être identifiée grâce à ses données :
- un identifiant, tel qu’un nom, un numéro d’identification ;
- des données de localisation ;
- un identifiant en ligne ;
- un ou plusieurs éléments spécifiques propres à son identité : physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Attention, la personne peut être identifiée de manière indirecte, par exemple grâce à un identifiant, une adresse IP ou un numéro de client.
Traitement de données personnelles : c’est toute opération ou un ensemble d’opérations portant sur des données personnelles (collecte, tri, analyse, statistiques, actions marketing…).
Responsable des traitements de données : ce sont les personnes physiques ou morales en charge du traitement des données personnelles (par exemple, un responsable marketing peut être un responsable des traitements de données).
1. Les professionnels sont des personnes comme tout le monde
L’identification des données personnelles est relative à « toute personne physique identifiable ». Cela signifie qu’il n’y a pas de différence entre le cadre professionnel et le cadre personnel. Ajoutons que les enfants de moins de 16 ans sont encore plus protégés et que la collecte de leur données nécessite l’autorisation du représentant légal.
Application directe
Plus de campagne d’e-mailing b to b sauvages, plus d’inscription automatique aux newsletters, les règles d’opt-in s’appliquent à tous (voir ci-dessous). Les formulaires à destination des enfants de moins de 16 ans doivent demander l’accord des représentants légaux.
2. Informer avant de collecter
Lors de la collecte des données, l’utilisateur doit être informé de ses droits, ainsi que des droits de l’entreprise. L’explication doit être « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Elle doit contenir l’ensemble des finalités liées à la collecte, la nature des destinataires (services internes, prestataires, clients) ainsi que le nom du responsable du traitement des données, la durée de conservation (qui doit être limitée et justifiée) et les mesures prises pour éviter les risques.
Application directe
Cette règle existait déjà mais l’exigence sur la quantité d’informations données et sur la qualité du support pour la communiquer était moindre. Il est préconisé par exemple de séparer l’information sur la protection des données des autres textes juridiques et d’utiliser des moyens ludiques pour l’explication (vidéos, infographies, tableaux clairs). Chez Adeliom, nous préconisons de créer des tableaux pour expliquer comment chaque donnée est stockée et quel sera son usage pour l’entreprise.
3. Apporter la preuve du consentement
La CNIL doit être capable de contrôler le consentement de telle ou telle personne vis-à-vis de l’utilisation de ses informations.
Application directe
Il est donc obligatoire de demander l’autorisation d’utilisation des données avec au moins une case à cocher (qui n’est pas pré-cochée on le rappelle, c’est ce que l’on appelle des données opt-in). Pour autant, inutile d’aller, comme certains l’entendent, jusqu’au « double opt-in », technique qui consiste à envoyer un mail de validation suite à l’inscription à une newsletter. En revanche, nous conseillons vivement de conserver une liste de formulaires d’inscription en back-office contenant le champs « utilisation des données autorisée ? Oui/Non ».
Pour les cookies de tracking, le règlement exige également un consentement explicite avec une preuve. Exit donc, le bandeau cookies déclaratif, place à la fenêtre pop-in de consentement avec la liste détaillée des cookies et leurs buts.
4. Pour accéder et récupérer ses données
Le RGPD prévoit un nouveau droit pour l’utilisateur : celui de récupérer ses données dans un « format structuré, couramment utilisé et lisible par machine ». Cette révolution dans le domaine de la gestion des données va peu à peu transformer les usages afin d’utiliser les innovations technologiques pour transférer des données personnelles depuis une entreprise vers une autre sans effort et sans ressaisie chronophage, le tout sous le contrôle de la personne concernée.
Application directe
Deux tendances se dessinent actuellement. Tout d’abord, la mise à disposition d’un fichier au format simple, de type .csv ou .xls, permettant à l’utilisateur de récupérer ses données. Ce procédé est plus aisé à réaliser quand l’utilisateur bénéficie d’un espace client. Dans le cas contraire, l’utilisateur devrait pouvoir recevoir le fichier par mail sur simple demande.
A plus long terme, car c’est encore très rare, les outils permettant le transfert automatique des données d’une entreprise à l’autre devraient se développer. Des API peuvent ainsi permettre des interfaces entre les différents responsables de traitement des données. Plus efficace encore, la solution PIMS devrait peu à peu prendre le dessus, puisque préconisée par le CEPD (contrôleur européen de la protection des données).
Concrètement, un PIMS (Personal Information Management System) ou « système de gestion de l’information personnelle » est un outil de centralisation de nos données personnelles. Stockées localement ou dans le cloud (via un tiers de confiance), les données sont modifiables par son propriétaire et peuvent être mises à disposition aux entreprises souhaitant y accéder avec son consentement.
« Je fais déjà ça avec Google Drive » nous direz-vous ! C’est que votre esprit « Google addict » a pris le dessus au moment où vous lisez ces lignes. Néanmoins, il existe bel et bien une différence entre des systèmes de centralisations de données avec SSO (single sign on) tels que Google ou Facebook et les PIMS. C’est simple :
Alors que Google et Facebook cherchent à monétiser vos données, les PIMS sont là pour les protéger.
5. Cartographier : le registre des activités de traitement des données
Dans les entreprises de plus de 250 salariés, chaque responsable de traitement des données est tenu de créer et de mettre à jour un document récapitulant les éléments relatifs à l’utilisation qu’il fait des données récoltés. Les sous-traitants tiennent également un registre. La création du registre n’est pas obligatoire pour les entreprises plus petites, sauf si les données récoltées sont des données sensibles (informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle) ou si leur usage présente un risque pour les droits et libertés des personnes.
Application directe
Prenons l’exemple simple d’un formulaire d’inscription à une newsletter.Voici la liste des éléments à faire apparaître dans le registre :
- Les noms et coordonnées de la personne gérant le traitement ;
Ex : Noms et coordonnées du responsable marketing - La finalité du traitement ;
Ex : Newsletter mensuelle dans le but d’informer les utilisateurs sur les nouveautés de l’entreprise - La segmentation des personnes et des données ;
Ex : Contient les noms, prénoms, adresses mail, numéros de téléphones professionnels des utilisateurs qui sont des employés ou des dirigeants - Les catégories de destinataires ;
Ex : Transmis à l’équipe marketing de l’entreprise et au partenaire Mailjet, entreprise de routage mail, dont le siège social est en France - Dans la mesure du possible, les délais prévus de conservation des données ;
Ex : Jusqu’au désabonnement de l’internaute - Dans la mesure du possible, une description des mesures de sécurité techniques et opérationnelles mises en place.
Ex : Conservation sur un serveur sécurisé en France
6. Nommer un délégué à la protection des données
Le délégué à la protection des données (DPO en anglais pour Data Protection Officer) est le garant de l’application du RGPD au sein des entreprises. Il a une mission de conseil auprès des responsables de traitements et des autres salariés de l’entreprise, ainsi que de coordination des actions de conformité à mettre en place. Il peut être salarié de l’entreprise ou intervenant extérieur.
La nomination d’un délégué à la protection des données n’est obligatoire que pour certaines entreprises (les entreprises publiques notamment). Il appartient à chaque entreprise de réaliser une étude, en partenariat avec la CNIL, qui déterminera si oui ou non un DPO est nécessaire. Le G29 recommande vivement la création de la fonction au sein des entreprises, même si elles n’en ont pas l’obligation légale.
7. Déclarer les failles de sécurité
En 2017, UBER couvrait une faille de sécurité touchant 57 millions de passagers et de chauffeurs. Pour éviter ce type de débordement, le RGPD demande désormais aux entreprises de notifier les utilisateurs de toute faille de sécurité concernant des données personnelles et ceux, dans les 72h après l’incident. L’annonce de la faille devra être réalisée auprès des autorités mais également, point important, auprès des personnes concernées par ces données.
Des sanctions RGPD en hausse
Cocorico ! La France est le pays qui a infligé les amendes pour violation du RGPD les plus lourdes, entre mai 2018 et janvier 2019. À l’échelle européenne, sur cette période, ce sont plus de 114 millions d’euros d’amende qui ont été appliqués, tandis que 160 000 notifications ont été reçues. En France, l’amende de 50 millions d’euros infligée à Google a fait grand bruit. Toutefois, avec un chiffre d’affaires annuel dépassant les milliards de dollars, ce Géant du Web ne risque pas de s’ébranler de si tôt ! C’est sur cette base du CA que sont calculées les sanctions pécuniaires, soit 2% à 4% du chiffre d’affaires annuel mondial de l’entreprise concerné.
Dans les faits, il existe deux types de sanctions, les sanctions d’actions et les sanctions pécuniaires. En outre, les autorités de protection peuvent décider des actions suivantes :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données.
Je ne suis pas encore en règle, que dois-je faire concrètement ?
Le RGPD est très dense et concerne l’ensemble des organisations qui utilisent des données personnelles. Sans être exhaustifs, nous avons ici choisi de mettre en avant des informations utiles pour vous, clients et communiquants qui nous lisent.
Dernière recommandation pour les entreprises traitant des données via des outils digitaux, n’oubliez pas de concevoir vos futurs projets en terme de Privacy by Design. On entend par là une conception centrée autour de la protection des données, avant même d’entamer le nouveau projet. Le principe de « minimisation » est ici essentiel : il vous sera demandé de limiter la collecte aux données nécessaires seulement et de limiter leur quantité.
Besoin de conseils personnalisés pour mettre en conformité votre entreprise ? Nos consultants à Strasbourg, Paris et Marseille sont à votre disposition pour répondre à toutes vos interrogations concernant le RGPD. Contactez-nous pour être accompagné !
