Etes-vous prêt à prendre le virage RGPD ?

9 mars 2018 | Maryline Bernard-Castel | Connaissance Client, Tous les articles

Le 25 mai 2018 entrera en vigueur une nouvelle directive européenne concernant le traitement et la protection des données personnelles : le RGPD, pour Règlement Général de la Protection des Données. A quels changements devez-vous vous attendre, et quelles opportunités peut vous offrir ce nouveau cadre légal ?

Le RGPD : plus de souplesse, mais aussi plus de transparence dans l’utilisation des données personnelles

Faute d’informations claires sur le sujet, de nombreuses entreprises sont bien en peine d’expliquer en quoi consiste le RGPD, ni ce qu’elle implique en termes de mise en conformité, ou même de sanctions. Alors, quel avenir pour les entreprises ayant adhéré –à juste titre- au Data Driven Marketing ?

Une obligation de protection et de communication

Tous les détails du nouveau règlement européen sont disponibles sur le site de la CNIL. Les professionnels pour qui l’exploitation des données personnelles de leurs clients est devenue vitale doivent se préparer à quelques grands changements :

  • La sécurisation renforcée des données dès l’étape de collecte, par les responsables du traitement de données, en assurant par exemple à vos clients que leurs données sont protégées et qu’elles ne seront pas hackées.
  • Une limitation de la collecte et stockage des données au regard de leur finalité et pertinence. Un mot d’ordre : aucune donnée stockée sans pouvoir en justifier l’exploitation. Prenons l’exemple d’un distributeur de prêt-à-porter ou une marque alimentaire, ces acteurs n’ont aucune utilité à collecter « la situation maritale » de leurs clients, or il arrive encore fréquemment de voir ce champs dans certains formulaires. A l’inverse on peut comprendre l’intérêt pour un organisme financier ou de crédit ou encore une mutuelle de collecter cette information. Dès lors que la donnée collectée donne lieu à un traitement justifié au regard de l’activité, de l’offre d’une action marketing, etc., alors elle peut être stockée en base.
  • Une transparence vis-à-vis de vos clients : pour toute donnée collectée directement ou indirectement, il vous faudra informer votre client de son usage. Celui-ci devra affirmer sans ambiguïté son accord pour que vous collectiez et utilisiez ses données personnelles. Vos clients doivent également avoir la possibilité de refuser la collecte et l’exploitation de leurs données. Cette obligation est d’autant plus importante qu’en termes de communication, vous devez obtenir l’accord de votre client pour chaque canal : un optin email n’équivaut pas à un optin pour tous les autres canaux.
  • Un historique des données désormais disponible : chacun de vos clients pourra réclamer auprès de votre entreprise la liste complète de ses données, ainsi que leur usage. Il pourra ainsi s’opposer au traitement de certaines d’entre elles, et bénéficiera d’un droit à l’oubli, avec effacement de toutes les données que vous aurez pu recueillir à son sujet.

    Pour rappel :

Les données personnelles ont une date de péremption et ne peuvent donc pas être conservées pour une durée illimitée. C’est au responsable du fichier de fixer une durée de conservation raisonnable en fonction de la finalité du fichier, et de communiquer cette durée aux utilisateurs. Une fois ce temps écoulé, les données « périmées » doivent être transférées et archivées sur un support distinct.

  • La licéité du traitement des données : votre entreprise se doit d’assurer une mise en conformité du règlement. C’est au responsable de traitement de veiller à la bonne application des nouvelles obligations. Par exemple, une entreprise de cosmétique qui possède une gamme de produits pour les peaux noires ne pourra pas collecter et traiter de la donnée liée à la couleur de peau, les données d’origines raciales étant considérées comme sensibles. Le responsable de traitement doit avoir l’autorisation de la CNIL ou respecter une exception légale pour exploiter ce type de données. Dans le cas contraire, pour l’exemple cité, le ciblage des clients se fera plutôt sur la base d’un score d’appétence à la gamme de produits.
  • Il vous faudra également nommer un DPO (Data Protection Officer), en charge de la mise en conformité de votre entreprise au RGPD. Sont concernées : les entités publiques qui effectuent le traitement de données personnelles et les entreprises privées traitant de données sensibles ou pénales. Un hôpital stockant les données médicales de ces patients devra nommer un DPO pour respecter le règlement. Cela concerne aussi les entreprises privées dont l’activité principale est le traitement de données de suivi, de façon régulière et systématique et à grande échelle. Si vous êtes dans la cible mais votre taille ne vous permet pas d’avoir un DPO interne, vous pouvez externaliser voire mutualiser cette fonction avec d’autres entités.
  • En contrepartie, les entreprises verront leurs obligations déclaratives supprimées, à partir du moment où le traitement des données ne constitue pas une entrave au respect de la vie privée du client.
Quelles sanctions pour un défaut de mise en conformité ?

Elles sont de divers ordres et s’établiront de manière graduée, du simple avertissement à l’effacement des données improprement utilisées. Le règlement prévoit aussi le retrait du certificat de conformité pour les professionnels pris en faute, et une amende administrative pouvant s’élever à 20 millions d’euros, ou 4 % du CA mondial… un sacré poids sur les épaules des entreprises, même si cette responsabilisation des collecteurs de données s’accompagne de véritables opportunités en termes de politique CRM.

Les bonnes pratiques à suivre pour respecter le RGPD

Renforcer la sécurité des données tout en améliorant la transparence en direction de vos clients : le projet est vaste mais il peut également vous permettre d’améliorer votre réputation et la confiance que les clients accordent à votre entreprise. Quelle méthodologie devriez-vous suivre pour y parvenir ?

  • Révisez en profondeur votre banque de données : c’est le moment ou jamais de passer en revue toutes vos données afin de les rendre plus facilement disponibles en cas de demande de vos clients. Vous pourriez ainsi mettre en œuvre un classement plus efficace, éliminer les doublons et les informations obsolètes, et surtout, éliminer les données sensibles qui n’auraient jamais dû être collectées…
  • Formez vos équipes CRM en amont : avant la mise en place du RGPD, une session de formation sur cette nouvelle réglementation est bien évidemment à prévoir. Cette dernière pourra aussi englober les informations sensibles interdites de collecte (telles que l’orientation sexuelle ou la religion), et les règles éthiques indispensables. Il est également nécessaire de sensibiliser vos équipes sur les échanges de fichiers en interne ou avec des partenaires externes, ainsi que sur l’utilisation des données à des fins de ciblage et de personnalisation des campagnes. Un book des bonnes pratiques en termes de traitement des données peut être une solution pour accompagner vos collaborateurs dans ce virage.
  • Soyez exigeant avec les partenaires et sous-traitants qui gèrent les échanges de données pour votre entreprise : vous faites appel à un prestataire pour la collecte, le traitement ou l’analyse de vos données ? Vérifiez qu’il se mette lui-même en conformité avec la directive européenne. Veillez à trouver un arrangement pour établir la meilleure stratégie commune, notamment en ce qui concerne la sécurisation de la transmission des données. Le RGPD impose en effet que les fichiers data soient transmis uniquement via un serveur sécurisé (SFTP).
  • Faites appel à un expert de la sécurisation des données : même si vous n’êtes pas tenu d’embaucher un DPO, se référer à un consultant extérieur vous permettra d’obtenir une vision globale de votre banque de données, et la meilleure façon de les sécuriser.
  • Enrichissez les mentions légales de votre site internet : vous pourrez ainsi informer votre clientèle de l’utilisation que vous faites de ses données, à travers une rubrique propre aux traitements des données personnelles. Communiquer ainsi clairement votre nouvelle politique de confidentialité vous permettra d’obtenir le double avantage de rassurer vos clients, tout en augmentant la confiance qu’ils vous accordent. De quoi faciliter les collectes de données futures.

Votre To-Do List du RGPD

Pour éviter des sanctions administratives et financières importantes, mettez-vous dès à présent en conformité avec la réglementation en suivant les 6 étapes préconisées par la CNIL :

  1. Désignez une personne garante et pilote de la mise en application du RGPD et de sa conformité au sein de votre structure ;
  2. Créez un registre précis du traitement de vos données personnelles, pour avoir une cartographie et une vision précise de ce que vous devez modifier et rectifier ;
  3. Etablissez des actions prioritaires en fonction de ce registre ;
  4. Menez une analyse d’impact sur la protection des données (PIA) sur la base de ces traitements de données. Lesquels engendrent-ils le plus de risques pour les droits et libertés de vos contacts ?
  5. Mettez en place une série de protocoles de sécurité internes, à chaque étape sensible du traitement de vos données, pour éliminer tout risque de faille ;
  6. Rassemblez une documentation complète démontrant votre conformité avec la réglementation et présentant précisément vos actions, à mettre à jour régulièrement.

Vous n’imaginez pas comment faire fonctionner votre entreprise sans banque de données confidentielles ? De nombreux professionnels sont dans votre cas. Raison de plus pour négocier sans attendre votre virage RGPD. A la clé : des relations encore plus saines et transparentes avec vos clients, une plus grande liberté d’utilisation des données confidentielles –dans le cadre légal défini par l’UE-… et une conscience tranquille !

Maryline Bernard-Castel

Maryline Bernard-Castel

LinkedIn 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *