Pourquoi et comment vous préparer au nouveau Règlement Général sur la Protection des Données (RGPD)

Culture web
Laurence Georges Par Laurence Georges
28 novembre 2017
Mise en conformité d'une entreprise pour respecter le RGPD

Département marketing, service commercial, direction informatique, ce nouveau règlement vous concerne !

Le 25 mai 2018, la gestion et l’utilisation des données personnelles va prendre un nouveau tournant.
Le Règlement Général sur la protection des données (ou RGPD) issu de l’Union Européenne et ratifié par les Etats membres entrera en vigueur.
Son but ? Élargir les droits des citoyens en matière de gestion de leurs données personnelles et imposer des devoirs aux entreprises qui traitent ce type de données.
Cet acte veut notamment sonner le glas des potentielles dérives en matière d’utilisation des données personnelles par les entreprises ou tout service qui collecte et traite ce type d’informations. Des sanctions seront prévues par la loi pour les mauvais élèves.

Pourquoi et comment les entreprises doivent-elles s’y préparer ?

1) Droits des citoyens et devoirs des entreprises !

Le Règlement général sur la protection des données, ou le General Data Protection Regulation (GDRP), concerne les droits des citoyens mais aussi les devoirs des entreprises.

a) Les droits des citoyens :

Dans la continuité de la Loi Informatique et Liberté française, les individus, citoyens et consommateurs vont avoir plus de droits en matière de gestion de leurs données personnelles.

Qu’est-ce qu’une donnée personnelle ?
La CNIL les définit ainsi :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne  »
Les nouvelles technologies de l’information et de la communication génèrent par milliers des données personnelles : connexion internet et navigation sur les sites internet, utilisation des moteurs de recherche tel Google, usage d’un téléphone mobile, d’une carte bancaire etc. Des masses de données (ou data) sont engendrées par tous les individus chaque jour.

Pour que les citoyens puissent mieux comprendre l’enjeu de l’utilisation de leurs données personnelles, mieux les maîtriser et ainsi protéger leur vie privée, le RGPD impose plusieurs principes.
Les principaux sont :

  • le consentement des individus à la collecte de leurs données personnelles
  • le droit de savoir à quoi servent les données collectées
  • le droit de consultation et de modification de ses données
  • le droit à l’oubli de ses données et la possibilité de s’opposer à tout moment à leur traitement

Logiquement, ces nouveaux droits impliquent des devoirs aux entreprises qui collectent et traitent les données de leurs prospects ou clients.

b) Les devoirs des entreprises :

Pour pouvoir suivre pertinemment le RGPD, les entreprises vont devoir mettre en route un lourd chantier.

Rétroactivement :

  • toutes les données personnelles possédées vont devoir être retrouvées.
  • tous les points de contact avec les utilisateurs collectant des données vont devoir être identifiés (formulaires, cookies…).

Dans le cas des cookies présents sur les sites internet, la tâche sera dure. En effet, l’entreprise n’est parfois pas maître de ces derniers sur des plateformes comme Google, Facebook ou autres…

A l’avenir :
Les entreprises vont devoir trouver les moyens de notifier et demander l’autorisation pour chaque donnée personnelle collectée. Actuellement, l’utilisateur coche une case. Dès 2018, les demandes d’autorisation seront plus complètes et détaillées. De ce fait, les utilisateurs seront peut-être plus conscients du processus et moins enclins à la collecte de leurs données personnelles ! Dans tous les cas, il y aura beaucoup de demandes d’informations venant des prospects/ clients et avec cela la nécessité de les traiter rapidement !

Ces nouveaux devoirs nécessitent une réorganisation complète des services gérant les données personnelles et plus largement de toute l’entreprise ! Il sera indispensable d’installer des dispositifs et des systèmes d’organisation rendant efficiente la bonne gestion des principes du RGPD et plus transparente et visible l’utilisation des données des citoyens.

La réorganisation des entreprises :

  • Les entreprises vont être dans l’obligation de repenser leur approche de la donnée, leur stratégie Data. Elle doivent devenir Data Centric. Le principe sera de tirer de la valeur des données mais en toute conformité avec les nouveaux principes du RGPD.
  • Toute la hiérarchie des personnes responsables du traitement des données doit être responsabilisée et être en mesure de garantir le respect des principes du Règlement. La sécurité du traitement des données doit être assurée (cryptage, anonymat …) et constamment évaluée et communiquée en interne et externe.
    Au-delà des services spécifiques, l’ensemble des collaborateurs de l’entreprise doit être sensibilisé à ces nouvelles directives. La culture globale de l’entreprise doit se transformer.
  • Beaucoup d’entreprises vont devoir nommer un Data Protection Officer ou délégué à la protection des données pour assurer et coordonner ces transformations. Il sera obligatoire dans toutes les administrations (centrales, territoriales) mais aussi dans les entreprises qui font du traitement de données à grande échelle et/ou collectent et gèrent des données sensibles.
    Même si certaines entreprise pourront s’en passer, une compétence interne est conseillée pour bien suivre les principes du RGPD et mettre en oeuvre une complémentarité entre les différents acteurs de cette transformation (juridique, DSI, responsable processus Métiers…).
  • L’entreprise doit réfléchir à des outils performants adaptés à sa nouvelle gestion des données. Disposer d’applications lui simplifiant la conduite de ses relations avec les citoyens et leurs nouveaux droits va être indispensable.

2) Une opportunité pour les entreprises ?

La mise en conformité de la gestion des données par les entreprises risque d’être longue et ardue.
Cependant, il ne faut pas que ces dernières vivent le RGPD comme une unique contrainte.
Tout ce qu’il implique va contribuer à leur transformation digitale.

  • Il va améliorer la culture « Data » des entreprises, qui est à la traîne.
  • Il va impliquer la mise en place d’outils efficaces pour récolter et traiter les datas. Amélioration de la qualité des données des entreprises, de leur valorisation, de leur sécurité et de leur contrôle seront à la clé.
  • Les données vont être récoltées et traitées en toute transparence. C’est le moyen idéal de rétablir la confiance avec les citoyens!
Retrouvez-nous sur :

Ajouter un commentaire

Articles similaires