RGPD : quels impacts pour vos données et votre entreprise ?

RGPD : votre entreprise fait-elle partie du champ d’application de la réglementation ?

Le Règlement Général sur la Protection des Données s’applique à tous les acteurs économiques et sociaux dès lors qu’ils traitent des données personnelles sur les résidents de l’Union européenne. Entreprises, associations, organismes publics et sous-traitants sont donc concernés, mais aussi les entreprises dont le siège est hors Union Européenne mais opérant dans la zone sur des données des citoyens européens.

Les PME et TPE sont-elles aussi concernées ?
Oui, la forme juridique de l’entreprise n’importe pas. Ce qui compte, c’est l’action de votre organisme sur les données personnelles. La taille de l’entreprise ou le nombre de données traitées n’ont pas d’influence. Toutefois, le RGPD prévoit une dispense de tenue de registre des activités de traitement lorsque le nombre de salariés dans l’entreprise est inférieur à 250 personnes.

Les données personnelles : de quoi parle t-on exactement ?
Selon la définition de la CNIL (Commission Nationale de l’Informatique et des Libertés), une donnée personnelle signifie « Toute information identifiant directement ou indirectement une personne physique (par exemple son nom, son numéro d’immatriculation, son numéro de téléphone, une photographie, sa date de naissance, sa commune de résidence, son empreinte digitale…) ».

La définition des données à caractère personnel couvre un champ plus large et s’étend également aux habitudes et préférences de l’individu par exemple mais aussi à sa géolocalisation, son origine ethnique, son orientation sexuelle… Tout ce qui permettra d’identifier un individu par un simple recoupement d’informations.

En pratique, nombre d’entreprises utilisent et traitent des données personnelles sans forcément le remarquer : un bon de commande fournisseur, des cartes de visite professionnelles… Ces documents, communs à beaucoup d’entreprises, contiennent des données à caractère personnel.

Les données confirmées comme « anonymes » ne sont en revanche pas considérées comme des données à caractère personnel et n’entrent pas dans le cadre du règlement.

Le RGPD : 6 étapes clés menant vers la conformité

Même s’il bouleverse profondément les usages en matière de données personnelles, ce règlement sur la protection des données ne doit pas constituer un frein à la transformation digitale des entreprises. Il doit se faire par étape, que chaque entreprise doit être en mesure de suivre.

Pour aider les organismes concernés à être prêts le 28 mai 2018, la CNIL préconise de suivre six étapes :

1 | Désigner un pilote
Cette étape est obligatoire pour toutes les entreprises de plus de 250 personnes. Un DPD est un Délégué à la Protection des Données. Il occupe une place centrale et doit être associé aux différentes questions sur la protection des données. Comment choisir votre DPD ? Si un correspondant CNIL est déjà nommé dans votre entreprise, c’est, logiquement cette personne qui deviendra votre Délégué à la Protection des Données. Le DPD peut aussi être un prestataire externe qui travaille pour plusieurs entreprises, dans la mesure où il n’y a pas de conflit d’intérêts.
Idéalement, ce pilote connaît bien les données clients et doit pouvoir analyser si les pratiques de traitement des données au sein de votre entreprise sont conformes ou non afin de vous donner des conseils.

2 | Cartographier
Il s’agit là de recenser précisément le type de données que vous récoltez, quels en sont vos usages et jusqu’à quand vous les conservez. Vous allez établir un registre de traitement. Par exemple, si vous recevez des CV de candidats, il vous faudra notifier dans quel cadre vous le faites (un recrutement par exemple), si ces CV sont conservés ou détruits lorsque le poste est pourvu et par qui (service Ressources Humaines, chef d’entreprise…).

3 | Prioriser les actions de mise en conformité
Comme pour toute gestion de projets, il vous faudra gérer les priorités. Cette troisième étape vers la conformité est cruciale car elle vous permettra de savoir précisément, sur la base de votre registre de traitement, quelles sont les actions à mener pour vous conformer au RGPD.

Concrètement, ces actions se définissent par :

• La protection et la sécurisation des données personnelles collectées :
  Il s’agit là de prendre toutes les précautions nécessaires pour sécuriser les données personnelles.
  Par exemple, si vous stockez des données dans un logiciel de gestion de relation client (CRM), il vous faudra changer régulièrement les mots de passe d’accès et empêcher que des personnes non autorisées puissent accéder à l’outil.
• La collecte de données nécessaires à vos objectifs :
  Dans cette logique de “Data Minimization”, vous allez évaluer la pertinence des données que vous collectez et faire le point sur celles qui vous sont nécessaires et celles qui ne sont qu’optionnelles.
• La mise à jour des mentions légales :
  Avec le RGPD, le contenu des mentions d’informations obligatoires s’allonge. Le nouveau règlement impose aux organismes d’informer la personne dont les données sont traitées de plusieurs mentions, parmi lesquelles : l’identité et les coordonnées du responsable de traitement et du DPD, la finalité du traitement, la durée de conservation des données ou encore le droit d’introduire une réclamation auprès d’une autorité de contrôle.
• Le respect des règles concernant le droit des personnes (accès, modification, suppression des données, portabilité des données) :
  Le RGPD renforce véritablement les droits accordés aux citoyens européens dont les données sont collectées. Il doit pouvoir, en un clic, vous demander d’accéder, de rectifier, de supprimer, et même d’exporter les données que vous stockez le concernant. Vous devez donc vous préparer à réagir à ces nouvelles demandes ou, au mieux, automatiser, le processus, comme le fait Linkedln par exemple.

Le réseau professionnel Linkedln donne d’ores-et-déjà la possibilité à ses utilisateurs d’obtenir les archives de leurs données

• La communication avec vos sous-traitants :
  Désormais, les responsabilités sont partagées ! Assurez-vous que vos sous-traitants connaissent leurs devoirs pour être conforme. Il semble donc utile de leur communiquer les mesures à respecter vis-à-vis du RGPD et de votre entreprise. Par exemple, si vous faites appel à un sous-traitant pour la création d’une nouvelle application pour votre business, celui-ci devra respecter le principe de Privacy by Design (protection de la vie privée dès la conception).

4 | Gérer les risques
Cette étape répond au principe de co-responsabilité promu par le règlement général sur la protection des données. Elle ne s’impose pas à tous les traitements de données mais seulement à ceux qui comportent des risques. Par exemple, si vous traitez des données à grande échelle ou des données sensibles comme des informations sur la santé des individus, il vous faudra réaliser une analyse d’impact sur la protection des données (DPIA). Cette analyse permet de montrer que vous avez connaissance des risques potentiels pour les droits et libertés des personnes et de vérifier qu’ils sont convenablement traités.

 
5 | Organiser
Comment allez-vous gérer ces changements en interne ? Dés la conception d’un produit, d’un service ou d’une nouvelle application, vous devrez être en mesure de prendre en compte la protection de la vie privée. Cela répond au principe de « Privacy by Design » évoqué plus haut, depuis la collecte d’informations, jusqu’à l’effacement des données.

6 | Documenter
Cette dernière étape consiste à rassembler les documents nécessaires afin de prouver votre conformité. On devra notamment retrouver : la documentation sur vos traitements des données personnelles, l’information que vous apportez aux individus concernés et les contrats qui définissent les responsabilités de chacun (incluant les sous-traitants par exemple). Cette démarche d’ « accountability » s’inscrit dans une logique de responsabilisation. C’est désormais aux entreprises de prouver qu’elles ont pris en compte toutes les mesures pour garantir la conformité au RGPD.

Si vous collectez, traitez, stockez et utilisez les données personnelles de citoyens européens, voici en résumé les principales obligations auxquelles vous devrez répondre pour être en conformité :

Et si on ne change rien ?
Face aux nombreuses obligations induites par le RGPD, il peut être tentant pour les entreprises (en particulier les PME et TPE qui ont souvent de moins en moins de moyens financiers et humains à y consacrer) de ne rien changer à leurs habitudes. Attention tout de même car les sanctions prévues par les instances de régulation sont lourdes. Selon l’infraction, elles peuvent aller d’un simple avertissement à une amende de 2 à 4% du chiffre d’affaires annuel mondial total, comme le précise l’article 83 du règlement européen. La technique de l’autruche est donc à éviter en ce qui concerne le RGPD, d’autant plus que les avantages apportés par cette nouvelle directive sont à considérer.

Le RGPD : quelles opportunités pour mon business ?

Si le Règlement Général sur la Protection des Données peut paraître à première vue comme un ensemble de contraintes juridiques, organisationnelles et techniques, il représente néanmoins un enjeu stratégique pour les entreprises.

Un regain de confiance des consommateurs… Mais pas seulement.
Suite aux nombreux piratages de données dont ont été victimes certaines entreprises, les consommateurs ont peu à peu perdu confiance. On se souvient par exemple de la cyberattaque du géant du VTC Uber fin 2016, subtilisant les noms, adresses mails et numéros de téléphone de près de 57 millions d’utilisateurs. En prouvant aux consommateurs que les données qu’ils vous confient ne sont pas prises à la légère, vous gagnerez la confiance des clients et prospects et favoriserez l’engagement client. Le RGPD prévoit, par ailleurs, dans sa mise en vigueur une création de labels et de certificats propices à vous démarquer de vos concurrents.

La mise en conformité vis-à-vis du RGPD signifie également pour vos partenaires (ainsi qu’aux instances de régulation) que vous jouez la carte de la transparence. Cette confiance partagée ne peut qu’améliorer vos relations BtoB. Intéressant 😉

Une sécurité renforcée
Aujourd’hui, les données collectées par une entreprise, quelle que soit sa taille, constituent un véritable patrimoine immatériel. Le règlement sur la protection des données personnelles amène les entreprises à avoir une compréhension stratégique de la sécurisation de leurs données : Qui possède les données ? Qui en est responsable ?… Le travail de mise en conformité leur permet en outre de renforcer leur capacité à protéger et à sécuriser les données personnelles des individus.

Une occasion d’impliquer tous vos collaborateurs dans cette démarche
En mettant en commun le juridique, l’organisationnel et la technologie, le RGPD permet d’engager les différentes branches d’activité d’une entreprise dans une démarche vertueuse sur la protection des données personnelles. Le RGPD n’est pas seulement l’affaire de la Direction du Système d’Information de votre business : ressources humaines, marketing, etc. seront, de près ou de loin, concernés par cette réglementation. Certes, elle est nouvelle mais elle sera à terme, complétement intégrée aux process internes à l’entreprise pour devenir au final un « standard ».

Le RGPD : ce qu’il faut garder en tête

Cette nouvelle réglementation modifie en profondeur l’organisation des actions faites sur les données personnelles des citoyens par les entreprises. Voyez en cela l’occasion d’optimiser leur collecte, leur gestion, leur stockage et leur traitement au sein de votre entreprise. Si vous aviez prévu de lancer de nouvelles campagnes de marketing digital, c’est le moment !

En choisissant de partager – ou non – ses données avec votre entreprise, l’utilisateur devient à la fois producteur (il vous communique des données et accepte que vous les utilisiez) et consommateur (il consent à recevoir des informations de votre part).
Ce n’est pas nouveau, les données personnelles des individus valent de l’or. Jeux concours, newsletters, cartes de fidélité, formulaires à remplir… Les entreprises débordent d’imagination pour récolter le précieux sésame qui boostera leurs campagnes marketing. La différence apportée par le RGPD est que votre client est averti de votre démarche et consentant à transmettre des informations. S’il ne l’est pas, il vous le signalera. Dans ce cas, vous éviterez de passer pour une entreprise intrusive et « spammeuse », qui envoie toutes sortes de notifications non souhaitées.

Opter pour la Data Minimization (« minimisation des données »)
Le Règlement général sur la protection des données invite les entreprises et organisations à miser sur la qualité des données récoltées plutôt que la quantité. Imaginez : vous êtes une PME spécialisée dans la pose de fenêtre. Avez-vous un intérêt à questionner vos prospects sur leur date de naissance ? En revanche, vous renseigner sur la géolocalisation de votre prospect (Vit-il à proximité d’un aéroport, dans une région où le climat est rude, dans une rue calme… ?) vous orientera précisément sur ses attentes en matière d’isolation. Vous recentrer sur les données créatrices de valeur vous permettra :

• de gagner en efficacité dans la récolte et le traitement de données,
• de mieux communiquer auprès de vos cibles,
• de mettre à jour vos bases de données et CRM en éliminant les doublons, les données inutiles, etc.

Vous pourrez ainsi délivrer un message personnalisé et fidèle aux attentes (et donc beaucoup plus pertinent) à votre prospect. Vous améliorerez son expérience utilisateur tout en respectant ses préférences. Bingo ! C’est le moment de réviser votre stratégie de collecte et de faire le tri entre les données qui apporteront une réelle valeur ajoutée à votre business et celles que vous stockez inutilement. Autrement dit, préférez la smart data au big data !

Faire le point sur les objectifs de récolte de données personnelles
Dans le cadre de la récolte de données, les entreprises sont amenées à respecter un principe de pertinence et de proportionnalité. En pratique, cela signifie que les informations personnelles enregistrées doivent avoir un lien direct avec la finalité du traitement. Vous ne pourrez par exemple pas demander de façon obligatoire le numéro de téléphone d’un prospect qui souhaite simplement s’abonner à votre newsletter. L’étude, en amont, des objectifs à atteindre, s’avère donc nécessaire. Plus les objectifs seront clairs, plus il vous sera ensuite aisé de traiter les données.

Les impacts sur le marketing digital
Selon l’Association Française des correspondants à la Protection des données à caractère personnel, au premier trimestre 2017, seulement 19% des entreprises concernées estimaient qu’elles seraient conformes au RGPD fin mai 2018.

Le Règlement général sur la protection des données impose notamment aux entreprises qu’elles mettent à disposition des citoyens européens une information claire, compréhensible par tous et accessible concernant l’usage des données personnelles. C’est donc officiel, vous ne pourrez pas vous contenter de mentionner que votre site internet « utilise des cookies » pour respecter le règlement sur la protection des données !
Vous devrez par exemple recueillir de façon explicite le consentement (opt-in) de l’utilisateur. Fini les envois de mails BtoC en masse, l’accord de l’utilisateur est maintenant au cœur des enjeux du RGPD.

En pratique, pour être totalement en conformité avec le RGDP lors de la récolte de données, vous devez faire une demande d’autorisation auprès de l’utilisateur. Cette demande doit être :

• claire et concise,
• visible,
• sans ambiguïté (pas de double négation par exemple),
• séparée de toutes autres mentions.

L’entreprise de solutions d’emailing Mailjet par exemple respecte ces conditions avec une phrase claire dès sa page d’accueil.

Capture d’écran de la page d’accueil du site Mail jet, partie « inscription à la newsletter ». Elle mentionne par qui les données sont collectées et informe l’utilisateur qu’il peut se désabonner à tout moment.

D’autres entreprises comme la PME Ekyog par exemple (marque Rennaise de vêtements bio et équitables) choisissent la méthode du double Opt-in. Autrement dit le double consentement. Elle comprend une étape supplémentaire qui consiste à envoyer un courriel à l’intéressé afin qu’il confirme son inscription à sa newsletter. Plus contraignant ? Pas vraiment : cliquer sur un lien prend environ 2 secondes ; on ne peut pas dire que cela soit chronophage. Et cela fonctionne ! Les campagnes e-mailing en double opt-in obtiennent un taux de clics plus élevé que les autres et déplorent moins de désinscription.

Pour s’inscrire à la newsletter d’Ekyog, l’utilisateur doit cliquer 2 fois sur “je m’inscris” puis valider son inscription en cliquant sur le lien ou en entrant un code de confirmation.

L’Opt-in passif (le fait de pré-cocher des cases dans un formulaire par exemple, afin que l’utilisateur ne s’en aperçoive pas) disparaît donc au profit de formulation claire, précise et sans équivoque.

Faire du RGPD un argument commercial
Ça y est, après de nombreuses heures de réunion en interne, vous êtes fin prêts et le terme RGPD ne vous fait plus du tout frissonner J. Il est temps de communiquer envers vos prospects ! Placer les clients au centre de votre activité et leur donner le contrôle sur la façon dont vous utilisez leurs données personnelles est un bel argument commercial. Certaines entreprises comme MailJet ont commencé à mettre en avant leurs démarches de mise en conformité dans leur communication sur leur site internet.

En bas de page du site web de MailJet, on constate que le fournisseur de solutions emailing communique sur sa conformité au RGPD.

À terme, les nouvelles actions marketing des entreprises qui ont vocation à collecter des données devront toutes intégrer le respect des droits des personnes et la sécurité des données personnelles, dès leur conception.

L’Œil de DIGITALL

Pour contrer l’appréhension des utilisateurs face au numérique et développer leur confiance dans l’usage de l’information, le Règlement Général sur la Protection des Données s’avère aujourd’hui nécessaire. Si, à première vue, il se place plutôt du côté de la protection des citoyens européens et contraint les organismes à remettre en question leurs actions sur les données personnelles des individus, ce nouveau règlement est loin d’être insurmontable. Il permet, au contraire d’améliorer ses pratiques et de les rendre plus efficaces et responsables. En outre, il ouvre de nombreuses opportunités pour le business des entreprises conformes. Une fois les principes de ce nouveau règlement respectés, les entreprises s’inscrivent dans une démarche gagnant-gagnant avec le consommateur : elles leur apportent une réelle valeur ajoutée et répondent précisément à leurs besoins. Êtes-vous prêts ?!

Pour en savoir plus :
L’intégralité du règlement : https://www.cnil.fr/fr/reglement-europeen-protection-donnees