RGPD : en 2018, fini de rire avec les données personnelles !
Ecrit par Mathieu CHAPON
le
Vous n’en avez jamais entendu parler ? Alors il est grand temps de vous documenter sur le sujet, car ceux qui ne seront pas préparés risquent de le regretter amèrement…
Des entreprises responsabilisées, et de lourdes sanctions !
À partir du 25 mai 2018, le nouveau texte part du principe que les entreprises sont pleinement responsables de la façon dont les données personnelles sont recueillies et exploitées. Et le non-respect des règles produit des sanctions qui sont potentiellement énormes :
– 20 millions d’euros au maximum
– ou 4% du CA mondial de l’entreprise sanctionnée
Qui est concerné par cette législation ?
Quelles sont les grandes lignes de la nouvelle organisation ?
Dorénavant, les principes à respecter seront :
– de ne récolter que les données réellement utiles à l’objectif assigné à un traitement (principe de minimisation)
– de ne rien faire qui puisse engendrer un risque pour la vie privée des personnes
– de sécuriser les données conservées
– et d’être en mesure de justifier à première demande des mesures prises pour être en conformité avec la legislation
Bref, on entre dans l’ère du « Privacy by Design », c’est à dire que la protection des données personnelle doit être garantie dès la mise en œuvre des dispositifs de collecte, et ce, par défaut.
Quelles sont les conséquences concrètes de la nouvelle réglementation ?
Ces nouveaux principes ont plein de conséquences pratiques. Par exemple, pour une newsletter online, demander l’adresse poste ou le numéro de téléphone de l’utilisateur devient non conforme. Si vous demandez des infos pour personnaliser votre emailing, un champ « nom » unique est censé être suffisant et il devient difficile de justifier la présence d’un champ permettant d’isoler le genre de la personne si le prénom est demandé.
Concernant les emailing, seul l’optin strict est conforme : aucune base de données non optin ne pourra plus être utilisée sans violer la loi.
Aujourd’hui, de nombreuses bases de données de type CRM sont non conformes, ainsi que les formulaires de collecte de données client que l’on trouve sur les sites internet. Bref, rare sont les entreprises qui sont véritablement prêtes se mettre en conformité avec la nouvelle législation.
Comment se mettre en conformité ?
Il est d’ores et déjà important de désigner en interne un chef de projet, un pilote qui va prendre connaissance des nouvelles règles et organiser le travail de préparation pour assurer la mise en conformité
Ensuite, il convient de cartographier et de recenser toutes les bases de données gérées dans l’entreprise, et de déterminer ce qui est conforme ou non vis à vis de la nouvelle législation. Il sera sans doute nécessaire de supprimer des champs dans certaines bases, ou d’anonymiser certaines données. Une fois ce travail fait, un registre des traitements de données personnelles doit être mis en place.
La 3ème étape consiste à prioriser les actions à mener pour être en conformité pour le 25 mai prochain : le plus important est d’intervenir sur les points qui constituent une violation des droits ou des libertés, ou les mettent en péril sérieusement
La 4e étape est d’évaluer les risques que vous faites courir aux droits et aux libertés. S’ils sont importants, vous devrez procéder à une analyse d’impact sur la protection des données (process baptisé PIA en anglais)
L’avant-dernière étape, c’est de revoir tous les processus de traitement des données pour les sécuriser au mieux
Et enfin, réaliser tous les documents qui attestent :
– du travail de mise en conformité
– des efforts accomplis pour la sécurisation des données
– et de la bonne gestion des risques inhérents à cette activité
C’est donc un travail important… Ne tardez pas trop à vous y mettre, car toute plainte d’un utilisateur qui viendrait à mettre en doute la conformité de votre entreprise au RGPD pourra déclencher des contrôles et des sanctions.
Liens utiles :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz