NOTRE GUIDE DU NOUVEAU RGPD (Règlement général sur la protection des données): SON IMPACT SUR VOTRE ACTIVITÉ

  1. De quoi s’agit-il ?

  2. Qui est concerné ?

  3. Que devez-vous faire si vous ne l’avez pas déjà fait ?

La nouvelle réglementation européenne en matière de respect de la vie privée, désignée par le RGPD, est entrée en vigueur dans l’Union européenne le 25 mai 2018. C’est l’un des sujets les plus commenté du moment et une source de préoccupation pour tous les secteurs d’activité en Europe, au Moyen-Orient et en Afrique. Les modifications qu’il engendre affectent la manière dont les sociétés récupèrent, utilisent et sauvegardent les données personnelles de leurs clients. Le but? Leur permettre d’exercer davantage de contrôle sur leurs informations personnelles. D’après un sondage publié par Smart Insights, en mars 2018, seuls 6 % de professionnels parmi plus de 200 entreprises estimaient être prêts à appliquer le RGPD dans le délai imparti. Dans une autre étude, publiée par Dell and Dimension Research, menée auprès de 800 professionnels chargés de la protection des données dans le secteur de l’informatique et du commerce, 80 % des entreprises ignoraient tout, ou presque, du RGPD. Ces résultats sont surprenants compte tenu de l’importance des nouvelles réglementations en matière de protection de la vie privée des clients. Crimson Hexagon suggère qu’« être prêt en termes de protection de la vie privée et de conformité avec la nouvelle législation fait partie des préoccupations les plus importantes liées au RGPD ».

Pour vous aider à mieux comprendre les nouvelles réglementations, voici un guide des domaines clefs du RGPD.

  1.  De quoi s’agit-il ?

Le RGPD comprend 99 articles et de nombreuses complexités. Il a été appliqué à travers toutes les lois locales sur la protection de la vie privée au sein de l’Union européenne et de l’Espace économique européen. L’une des principales modifications apportée par la nouvelle réglementation porte sur les droits des personnes dans le cadre de leurs données personnelles.

Conformément à la nouvelle réglementation, les personnes ont :

  • Le droit d’être informées : cela implique la collecte de données par des organisations, étant entendu que les personnes doivent être informées avant la collecte de leurs données. Les clients doivent accepter et autoriser expressément la collecte des données. Vous devez également donner aux personnes concernées des informations précises sur les activités de traitement des données que vous envisagez d’accomplir en utilisant leurs données. 
  • droit de refus : les personnes ont la possibilité de refuser le traitement de leurs données personnelles sur la base d’intérêts légitimes ou si vous les utilisez à des fins de marketing direct. Aucun traitement ultérieur desdites données ne doit être effectué à la réception de la demande. Ce droit doit être communiqué aux personnes à compter du début de l’échange de données. Si la personne concernée refuse le marketing direct, vous devez cesser le traitement immédiatement, sans exception. 
  • droit d’être informé dans le cadre d’une prise de décision automatisée et d’un établissement de profil : les personnes ont le droit de savoir lorsqu’elles sont soumises à un processus automatisé basé sur une décision visant à évaluer des aspects personnels spécifiques. Par exemple, en cas d’utilisation des données pour faire des prévisions les aptitudes d’une personne à accomplir une certaine tâche au travail. Par conséquent, vous devez veiller à ce que les personnes concernées puissent obtenir une intervention humaine afin d’avoir une explication de la décision. Les personnes doivent être en mesure d’exprimer leur point de vue à ce sujet. L’entreprise est exonérée de cette obligation si elle est autorisée par la loi ou si la décision automatisée est basée sur un consentement explicite ou pour des raisons d’intérêt public majeur. 
  • Le droit à la portabilité des données : les personnes doivent être en mesure de transférer, de faire une copie ou de déplacer leurs données personnelles aisément et de manière sécurisée d’un prestataire à un autre. Cela confère aux consommateurs le droit d’utiliser leurs informations pour dénicher de meilleures affaires. Si la personne demande le droit à la portabilité des données, vous êtes tenu de transférer les informations gratuitement et directement à une autre organisation, si cela est techniquement faisable. Les données doivent être fournies sous un format lisible et structuré.
  • Le droit de limiter le traitement : cela confère aux personnes le droit de limiter l’utilisation de leurs informations personnelles si le traitement était illicite, inexact ou n’est plus nécessaire. Si vous avez divulgué les données personnelles de votre client à un tiers, il vous incombe de veiller à ce qu’elles ne soient plus utilisées non plus.
  • Le droit d’obtenir la rectification d’informations : dans le but de renforcer leur contrôle sur les informations personnelles, les personnes concernées ont le droit d’obtenir la rectification de leurs informations si elles sont inexactes ou incomplètes. Cela garantit que les données détenues sont impérativement mises à jour et pertinentes. En tant qu’entreprise, vous devez satisfaire à toute demande dans un délai d’un mois à compter de la réception.
  • Le droit à l’oubli (droit à l’effacement) : les personnes ont le droit d’obtenir la suppression de leurs données personnelles. Surtout si celles-ci ne sont plus nécessaires dans le cadre de l’objet initial, si elles révoquent leur consentement ou s’opposent à l’utilisation et au traitement de leurs informations. Cette disposition s’applique également si les données personnelles ont été traitées de manière illicite et doivent être effacées afin de se conformer à une obligation légale.
  • Le droit d’accès : les personnes ont le droit d’accéder à leurs données personnelles à tout moment une fois qu’elles ont été collectées. La société est tenue de leur fournir une copie gratuite et sous format électronique, si nécessaire, dans un délai d’un mois à compter de la réception. Conformément aux nouvelles législations, vous pouvez refuser de satisfaire une demande d’accès uniquement si la demande est « manifestement infondée ou excessive ».  
  1. Qui est concerné ?

Si votre entreprise commercialise ou détient des données de ressortissants de l’Union européenne, incluant des utilisateurs finaux, clients et employés, vous devez tenir compte des réglementations du RGPD. Cela comprend également les entreprises en dehors de l’Union européenne qui commercialisent et sauvegardent des informations personnelles de ressortissants européens.

L’article 4 de la directive du RGPD définit les Données personnelles comme « toute information relative à une personne concernée, identifiée ou identifiable ». Une telle information comprend un ou plusieurs facteurs propres à son identité physique, physiologique, mentale, économique, culturelle ou sociale. Cette disposition s’applique également dans le contexte de relations interentreprises dans lequel les clients sont, par exemple, des entreprises. Il s’agit d’une définition au sens large de l’objet, neutre du point de vue technologique, de sorte qu’il importe peu de savoir si les informations sont détenues en version papier ou dans un système informatique.

  1. Que devez-vous faire si vous ne l’avez pas déjà fait ?

Il est à présent assez clair que la nouvelle réglementation rend le consommateur maître de la situation bien que la mise en œuvre revienne pleinement aux entreprises. Il vous est recommandé de demander conseil auprès d’un contrôleur de la protection des données ou de recruter un gestionnaire des données clients afin de garantir que vous disposez d’un cadre adéquat pour le RGPD. Les entreprises en infraction écoperont de lourdes pénalités et amendes. Par conséquent, vous devrez garantir que tous les services de votre entreprise savent comment traiter les données personnelles en conformité avec le RGPD. Les anciennes modalités de collecte des informations clients ne sont plus acceptables en vertu du RGPD.

Si vous n’avez pas entamé ces mesures visant à respecter le RGPD, vous devez impérativement vous y mettre ! Voici quelques conseils pour y procéder :

Comprendre les données de votre entreprise

Afin d’évaluer si vous êtes conforme ou non aux réglementations du RGPD, vous devez dans un premier temps recenser les données de votre entreprise, les localiser et déterminer qui peut y avoir accès. Cela vous permet d’évaluer la situation actuelle et les politiques adéquates à mettre en place en termes de protection des données.

Connaître vos exigences en matière de sécurité et les droits des clients

Évaluez l’état actuel de vos pratiques en matière de sécurité, identifiez les lacunes et instaurez des contrôles de sécurité afin de les combler et de prévenir toute violation de données. En mettant en place des mesures de sécurité, vous pourrez alors protéger votre entreprise et garantir que les données personnelles de vos clients sont protégées. Vous identifierez et donnerez la priorité aux vulnérabilités en matière de sécurité et vous mettrez au point des contrôles en interne et auprès de vos fournisseurs. Vous devez vérifier que les mesures de sécurité adaptées ont été mises en place.  

Examen et mise à jour de vos déclarations de confidentialité

Conformément à la nouvelle législation, vous devez impérativement avoir le consentement explicite des personnes, à l’acquisition et au traitement de leurs données. Par conséquent, les cases de consentement implicite ou cochées précédemment ne sont plus acceptables. Vous devez examiner votre documentation et l’adapter le cas échéant car, en vertu du RGPD, vous devez obligatoirement demander l’autorisation du client pour continuer d’utiliser ses données.

Mettre en place un processus pour recevoir les demandes des clients

Compte tenu de la nouvelle réglementation, vous êtes susceptible de recevoir plusieurs demandes émanant de clients concernant leurs données personnelles. En mettant en place une stratégie correctement communiquée sur les modalités de traitement de ces demandes, votre entreprise sera plus à même de les traiter. Vous devez instaurer des procédures de traitement des données personnelles basées sur les 8 droits fondamentaux spécifiés en vertu du RGPD.

Les nouvelles modifications du RGPD peuvent en effet constituer un défi mais cela offre également de nombreuses opportunités si elles sont mises en œuvre de manière appropriée. Vous devez les considérer de manière positive : comme un moyen d’améliorer votre communication et de mener une stratégie de marketing davantage basée sur les données.

Parce que les entreprises devront réaliser un audit des données pour garantir l’exactitude et le respect des nouvelles législations, les spécialistes en marketing auront une meilleure compréhension de leur base de données et des plus fidèles clients de la marque. En tant que marque, cela vous permettra de créer de nouvelles offres ultra pertinentes et une communication convaincante de votre marque. De même, parce que vous aurez besoin de l’autorisation du client pour continuer d’utiliser leurs données, vous saurez que ceux qui donnent leur consentement sont beaucoup plus susceptibles de s’engager auprès de votre marque. Cela est idéal pour les nouvelles campagnes de marketing et les lancements de produits, par exemple. Par ailleurs, le RGPD offre aux entreprises une excellente opportunité de nouer des liens plus solides avec leur plus fidèle clientèle.