Le nouveau règlement européen sur la protection des données personnelles, plus connu sous le nom de RGPD, entrera en vigueur le 25 mai 2018 prochain. Ce règlement, qui sera applicable à l’ensemble de l’Union européenne, impactera directement les entreprises et organisations qui collectent des données utilisateurs.
Tout type de structure sera impacté : e-commerce, médias en ligne, applications mobile, plateformes de mise en relation, associations… A l’ère où de nombreuses structures utilisent le digital au cœur de leur stratégie de développement, il est important de mettre en place un plan d’action en interne qui permettra d’être en conformité.
A ce titre, si vous souhaitez obtenir un guide complet, nous vous recommandons de télécharger notre livre blanc RGPD : “RGPD: Travailler ensemble pour un site web conforme”.
Data & RGPD : comment collecter pour être conforme ?
Le RGPD a pour principal objectif de protéger les internautes citoyens de l’Union Européenne de la collecte et l’exploitation de leurs propres données. Concrètement, ce règlement imposera de nombreuses contraintes supplémentaires aux acteurs qui collectent des données, à travers des processus plus strictes et une plus grande transparence.
En cas de non-respect du RGPD, les organisations pourraient subir des amendes allant jusqu’à 20 millions d’euros ou 4% de leur CA annuel (le montant le plus élevé sera retenu).
Pour éviter cela, et avant toute chose, il faudra dresser un état des lieux de l’exploitation des données au sein de votre organisation.
Concrètement, il s’agira d’identifier les différents moyens de collecte des données de vos utilisateurs mais également du stockage de ces données.
Voici les étapes à suivre :
- étape 1 : lister les formulaires de saisie de votre site web (inscription newsletter, création de compte, ticket SAV, formulaire de contact etc), mais également les points de collecte externes (application de concours sur Facebook par exemple)
- étape 2 : effectuer un mapping des types d’informations collectées pour chacune des pages (nom, prénom, adresse e-mail, téléphone, code postal…)
- étape 3 : vérifier la méthodologie de stockage des données (sécurisation etc)
- étape 3 : identifier les logiciels, solutions et autres prestataires à qui vous communiquez également ces informations, qui seront considérés comme des “sous-traitants”
Conseil : réunissez toutes ces informations sur un support, de type documentation technique ou rapport, qui vous sera utile en cas de problème et qu’il faudra maintenir à jour.
Comprendre la notion de “sous-traitant de la donnée”
Il est important de connaitre les différences entre un responsable du traitement (« data controller ») et un sous-traitant (« data processor ») – et à quel niveau vous et vos fournisseurs vous situez.
Le responsable du traitement, en règle générale, c’est vous, à travers votre organisation. En effet, votre site web récupère les informations d’utilisateurs que vous fixez, donc quand vous rendez obligatoire la saisie d’une date de naissance dans un formulaire d’inscription, c’est vous qui imposez cette règle à l’utilisateur.
Le sous-traitant correspond généralement aux solutions d’exploitation de vos données, à titre d’exemple votre CRM qui récupérera les informations des utilisateurs, dont la date de naissance.
Et ce même sous-traitant peut également travailler avec d’autres solutions externes, de type plateforme e-mailing, à travers une API par exemple, afin de déclencher l’envoi d’une offre promotionnelle dans le cadre de l’anniversaire de votre utilisateur.
Concrètement, il faudra prouver que vous vérifiez régulièrement la conformité de ces “sous-traitants”. Cela passe bien évidemment par la non divulgation de ces données à un tiers, mais également de la sécurisation de ces données (base de donnée encryptée, serveur sécurisé et régulièrement mis à jour etc).
Ainsi, vous pourrez garantir la conformité de la chaîne complète d’un point de vue RGPD.
A titre d’information, voici une liste non exhaustive de solutions qui pourraient impacter votre conformité au RGPD :
- logiciel de facturation
- plateforme de jeu concours
- logiciel SIRH
- solution analytique
- solution de paiement en ligne
- solution CRM
- plateforme de routage emailing / SMS
- plateforme publicitaire (retargeting etc)
- etc
N’hésitez pas à télécharger notre livre blanc RGPD pour en savoir plus sur les risques encourus en cas de non-respect du RGPD par l’un de vos prestataires, et comment se protéger.
Qu’est-ce qu’un DPO et pourquoi est-il conseillé d’en avoir un ?
Pour mener à bien votre stratégie de mise en conformité au RGPD, il sera utile de nommer en interne un DPO. Le délégué à la protection des données (en anglais DPO pour Digital Privacy Officer) supervise la stratégie et l’implémentation des initiatives de protection des données nécessaires pour être en conformité avec le RGPD au sein de votre organisation.
Que vous promouviez une personne en interne ou que vous recrutiez une nouvelle personne, ce profil sera obligatoire pour toutes les autorités publiques et toutes organisations traitant d’importantes quantités de données.
Rappel des points importants pour la mise en conformité au RGPD
Pour résumer cet article, voici les principaux conseils que nous pouvons vous donner :
- Faire l’état des lieux de vos données existantes (pré-RGPD) : identifier l’origine des données collectées, vérifier qu’elles aient bien été obtenues dans un cadre légal autorisé par le RGPD, et si ce n’est pas le cas, prévoir de demander à nouveau le consentement des utilisateurs OU renoncer définitivement à l’exploitation de ces données
- Identifier les dispositifs de collecte actuels au sein de votre stratégie digitale : lister les formulaires de contacts, applications, réseaux sociaux … qui récupèrent des datas utilisateurs et surtout le type de data (nom, prénom, code postal, adresse ip, version du navigateur…)
- Auditer les solutions webmarketing externes et obtenir une certification de leur part quant à leur conformité au RGPD, et le faire de manière régulière
- Nommer un DPO pour “Digital Privacy Officer” (ou en français DPD pour “Délégué à la protection des données) qui sera le chef de projet en interne et externe pour toutes les problématiques autour du RGPD
Le RGPD est un sujet de fond qui va obliger de nombreuses entreprises, acteurs du secteur public, associations etc… à repenser complètement leur collecte de données utilisateurs.
Notre livre blanc complet sur le RGPD vous aidera à mieux comprendre l’enjeu, à mieux structurer votre plan d’action pour vous rendre conforme, et à structurer une collaboration efficace avec vos différents départements en interne (IT / Web / Marketing…).
Article rédigé en partenariat avec Siteimprove