Règlement Général de Protection des Données : nouvelle approche de la Data

 

De par son omniprésence, le monde digital impose désormais son côté plus obscur d’une législation renforcée ! Les contraintes règlementaires vont peser plus lourdement sur les organisations.

L’Union Européenne a en effet voté en avril 2016 un nouveau règlement plus universel pour assurer la protection des données à caractère personnel. Les entreprises devront s’y conformer pour l’ensemble de leurs traitements dès le 25 mai 2018.

Ce Règlement Général de Protection des Données – RGPD ou GDPR – remplace les précédents textes nationaux, notamment la fameuse loi informatique et libertés et sera applicable dans tous les pays de l’U.E.

Si les objectifs de ce RGPD sont louables – protection des données, simplification et universalité ou encore meilleure circulation des données au sein de l’U.E. – la mise en œuvre va s’avérer fastidieuse d’un point de vue administratif et techniquement complexe.

Quid de la donnée personnelle ?

Le premier point est de rappeler ce qu’est une donnée personnelle. Par définition, cette donnée permet d’identifier un individu ou personne physique. Par exemple, le numéro de série d’un matériel, dès lors où sa garantie est enregistrée, permet d’identifier le propriétaire et devient une donnée personnelle. Dans ces conditions, le mot personnel s’associe par défaut au mot donnée et toutes les entreprises qui facturent des clients nominativement sont concernées par le RGPD.

La frontière entre B2B et B2C n’existe plus : l’adresse email professionnelle d’un individu est une donnée personnelle !

Pour protéger le citoyen, l’U.E. a décidé de lui rendre son pouvoir sur ses données dont il reste l’unique propriétaire ; données qu’il prête à l’entreprise…

Consentement aux traitements

Propriétaire de ses données, le citoyen en conserve donc le contrôle et l’entreprise ne peut les traiter qu’avec son consentement explicite préalable… Avant il fallait le consentement préalable pour communiquer de manière électronique, désormais c’est dès la collecte des données qu’il faut demander l’autorisation.
Aussi, CGU ou CGV, bien souvent ignorées par l’utilisateur, vont s’enrichir de demandes de consentement.

En d’autres termes, le RGPD n’interdit aucun traitement de données pour l’entreprise dès lors que le consentement explicite au traitement a été validé par le client ou prospect.

Des impacts organisationnels et techniques

Les nouveaux droits du consommateur vont impacter les processus de collecte et de gestion ainsi que la structure de l’information.

Ainsi, la durée de conservation de la donnée devra être précisée et gérée ! Quelle durée pour quelle donnée ? Comment mettre à jour de cette durée de conservation ?

Le droit à l’oubli, i.e. à la suppression de toutes les données personnelles par l’entreprise, est une nouveauté qui soulève le sujet de la transmission de ce droit lorsque l’information a été diffusée à des tiers. Comment assurer la traçabilité de la demande ?

Privacy by Design

Recueillir le minimum de données et ce dès la conception d’un process signifie que chaque donnée doit avoir une utilité dans un traitement consigné au registre.
La définition des besoins est donc essentielle avant toute démarche marketing ou relation client.

Renforcement de la sécurité

Lorsque l’entreprise sera piratée, elle aura pour obligation de communiquer à tous ses clients concernés par la violation de leurs données.

Cette seule mesure, dont on imagine facilement l’impact sur la notoriété et la fidélisation, incite à un renforcement sans précédent des mesures de sécurité. Ce d’autant plus que la multiplication des points d’entrée sur les systèmes d’information se multiplient et que les utilisateurs, bercés par leurs usages et routines quotidiens, ne prêtent plus guère attention aux risques de détournement.

Une responsabilité étendue

Précédemment la notion de responsable de traitement, i.e. l’annonceur, permettait de limiter la responsabilité. Avec le RGPD les sous-traitants deviennent également co-responsables des traitements.

Une échéance rapide

Il reste 14 mois aux entreprises pour prendre les mesures nécessaires qui peuvent être résumées en 5 axes d’audits et actions :

  1. Sensibilisation du personnel
  2. Traitements et registre
  3. Responsabilités et contrats
  4. Sécurité
  5. Implémentation, technique et process

Un enjeu majeur

L’arrivée du RGPD marque un tournant dans l’approche de la donnée au sein des entreprises.

Elle sonne la fin de l’ère d’une donnée abondante et facilement collectable pour entrer dans celle d’une donnée plus qualitative et citoyenne, car moins intrusive et dont l’utilisation est contrôlée par son propriétaire, la personne physique.

Aussi la mise en conformité au RGPD (GDPR) répond à un triple enjeu :

  • Réglementaire avec les clauses contractuelles, les chartes et procédures internes
  • Technique avec l’adaptation de process, l’intégration de nouvelles métadonnées et le renforcement de la sécurité
  • Culturel avec un nouveau regard sur la donnée dont l’entreprise n’est plus propriétaire.

Replay du webinar RGPD, réussir sa mise en conformité

 

Replay du webinar RGPD, présentation générale