#RGPD – Les 6 commandements

Strategy Consulting 23 avril 2018

Le RGPD, ou Règlement Général sur la Protection des Données, sera effectif le 25 mai prochain. Votre entreprise n’est pas encore en complète conformité avec ce nouveau règlement européen ? Ou certaines questions restent en suspens malgré les multiples réunions avec votre cabinet d’avocat ?

Le RGPD ne doit pas rimer avec scénario catastrophe, et pour cause : c’est au contraire l’opportunité de consolider la confiance entre votre entreprise et les internautes, et de mieux maîtriser vos données. Ce règlement s’applique de la même manière aux 27 pays de l’Union Européenne, et a pour objectif principal de renforcer la protection des données personnelles. Pensé pour répondre aux évolutions des usages, notamment liées à l’apparition du digital, ce règlement renforce les droits des citoyens en matière de protection et d’accès aux données. Confiance des utilisateurs et sécurité des données : deux éléments stratégiques essentiels pour une marque qui vise un développement sain et durable. De plus en plus inquiets face à la sécurité de leur vie privée et de leurs données sur Internet (et le scandale de Cambridge Analytica et Facebook en est l’exemple !), les internautes doivent pouvoir reprendre la main sur leurs données personnelles. Beaucoup d’entreprises, et ce sans distinction de secteur ou de département, utilisent les données personnelles des usagers pour leur stratégies : recrutement, prospection, ciblage…. Mais elle ne savent pas toujours par quoi commencer. Pas de panique, nous vous expliquons en 6 points clés l’essentiel du RGPD !

1. Le consentement tu demanderas

Premier pilier du RGPD qui reste encore souvent ignoré sur internet : les données peuvent être traitées seulement si la personne concernée y a consenti, et ce de manière explicite. Ce principe d’ opt-in, habituellement réservé aux campagnes d’ emailing, devra être généralisé pour tous les types de données collectées. Cependant, le consentement n’est pas la seule base légale pour effectuer un traitement de données : l’intérêt légitime, ainsi que l’exécution d’un contrat entre l’entreprise et l’utilisateur, constituent également un cadre propice au traitement.

Dans un objectif de transparence, si le traitement de la donnée suit plusieurs finalités, le consentement de l’utilisateur sera requis pour chacune d’entre elles. Si l’utilisateur accepte par exemple que l’entreprise utilise ses données pour recevoir une newsletter, il ne consent pas nécessairement à ce qu’elle diffuse cette donnée à un partenaire.

Un consentement éclairé

La RGPD définit le consentement de la personne comme “ toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

Source : RGPD, Chapitre I, article 4, 11

2. L’information tu communiqueras

Avant même d’obtenir le consentement de l’utilisateur, l’entreprise responsable du traitement des données doit être en mesure de pouvoir fournir aux internautes une information claire sur la manière dont les données seront utilisées, de façon à faciliter l’exercice de leurs droits.

Comment sont collectées mes données, et où sont-elles stockées ? Pour combien de temps ? Puis-je transférer mes données d’un acteur à un autre en faisant appel au droit à la portabilité des données ? Si je change d’avis, le droit à l’oubli est-il possible ? En bref, les entreprises doivent pouvoir répondre à la question : dans quelle mesure les usagers peuvent-ils rester maîtres de leurs données personnelles ?

D’autre part, l’information doit être présentée de manière compréhensible pour tous, sans nécessairement entrer dans des détails techniques ou juridiques, par exemple. Cela implique pour les professionnels de développer une communication claire, à visée pédagogique, pour expliciter au mieux leur politique de gestion des données auprès des internautes. Cette information doit également être facilement accessible : la transparence est le maître mot !

3. Les finalités et limitations tu définiras

Les données doivent être collectées pour des finalités déterminées à l’avance par l’entreprise en charge du traitement. Bien entendu, ces finalités doivent être à la fois légitimes et explicites. D’autre part, une durée “raisonnable” d’usage et de stockage doit être déterminée. Selon les recommandations de la CNIL, “une fois que l’objectif poursuivi par la collecte de données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées”. Par exemple, si un prospect n’a plus donné signe de vie depuis 3 ans, ses coordonnées doivent être effacées.

4. L’exactitude tu respecteras

Les données collectées doivent être exactes, et même tenues à jour lorsque cela est nécessaire pour leur traitement. Dans le cas contraire, celles-ci doivent être supprimées de la base de données de la société. Carrefour Banque a notamment reçu l’an dernier un avertissement de la part de la CNIL en lien avec l’inscription de plus de 38 000 clients à une date qui était inexacte. En effet, des données erronées peuvent porter préjudice aux consommateurs, et c’est l’entreprise qui effectue le traitement de ces données qui est également responsable de leur actualisation.

5. La sécurité tu renforceras

Ce principe est l’un des enjeux les plus importants dans le monde digital aujourd’hui. L’objectif ici est d’une part de mettre en place des mesures qui garantissent la sécurité des données des utilisateurs, et d’autre part de définir des processus clairs et efficaces pour limiter les dégâts en cas d’éventuel piratage ou fuite de données. On se souvient des multiples fuites de données personnelles, notamment sur les réseaux sociaux : Snapchat en 2014, Uber en 2016, Instagram en 2017, ou encore Facebook en 2018… Personne ne semble à l’abri !

6. Tes responsabilités tu endosseras

Enfin, le dernier principe fondateur du RGPD (et pas des moindres) : la responsabilisation de l’entreprise en charge du traitement des données, qui doit être capable à tout moment de prouver la validité des données et la conformité de son processus de traitement, de la collecte à l’analyse. Ce principe est particulièrement important puisqu’il se trouve considérablement renforcé, par rapport à ce qui est prévu par la Loi Informatique et Libertés de 1978.

Le règlement européen précise cette partie en prévoyant la nomination d’un responsable clair au sein de l’entreprise, capable de conseiller les responsables du traitement des données et les décisionnaires : le délégué à la protection des données personnelles ou DPO (Data Protection Officer).

En cas de non-respect de ces principes, de lourdes sanctions sont prévues. En effet, les amendes peuvent atteindre 20 millions d’euros, ou 4% du chiffre d’affaires mondial. Mieux vaut prévenir que guérir !