Qu’est-ce que le RGPD et comment bien s’y préparer ?

Partager sur :

Temps de lecture : 5 mins
Si vous traitez les données personnelles de vos utilisateurs, vous êtes forcément impacté par l'entrée en vigueur de la RGPD le 25 mai prochain.

D’ici le 25 mai 2018, toutes les entreprises possédant des données de citoyens européens devront avoir mis leur système d’information en conformité avec la nouvelle réglementation RGPD qui vise à assurer la protection des informations personnelles.

Le RGPD, c’est quoi ? 

RGPD, qui est concerné ?

Le RGPD, vous en avez certainement déjà entendu parler, c’est le Règlement Général sur la Protection des Données (sous-entendu des données des utilisateurs). Il s’agit d’une réglementation supra-nationale commune à tous les pays de l’Union Européenne. Celui-ci entrera en vigueur le 25 Mai 2018, date à partir de laquelle la responsabilité des entreprises concernant la protection des données sera renforcée.

Ses objectifs principaux sont les suivants : 

  • Concéder aux citoyens européens un niveau de protection et un contrôle de leurs données plus élevés
  • Renforcer et uniformiser la réglementation sur la protection des données au niveau européen
  • Responsabiliser les acteurs de la donnée (entreprises et intermédiaires) au regard du développement du numérique et des nouvelles technologies
  •  

Petit rappel des rôles de chacun :

  • Le “Responsable du traitement” : c’est celui qui définit le traitement des données, ses finalités et ses conditions. C’est vous ! La base de données est la vôtre, notre plateforme est votre outil pour la constituer, l’enrichir et l’animer selon vos directives.
  • Le “Sous-traitant” : c’est celui qui traite les données pour le compte du responsable. C’est Adelya !
  • Le propriétaire des données : il n’a pas de rôle à proprement parler, mais le RGPD lui accorde plus de droits, avec notamment la possibilité de consulter, modifier et supprimer ses données personnelles et ses opt-in. Ce sont vos clients !

Qu’est-ce qu’une donnée personnelle ?

Les données personnelles sont au cœur de la nouvelle réglementation.

L’article 4 du Règlement est consacré aux définitions et dans son premier point, il indique que les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable, dénommée la « personne concernée ».

Concrètement, cela signifie que chaque donnée recueillie par le biais d’un formulaire papier ou électronique constitue une donnée personnelle. Inversement, toute information permettant d’identifier une personne physique de façon directe (nom, âge) ou indirecte (adresse IP) constitue une donnée personnelles, peu importe quelle soit publique ou confidentielle.

Autres exemples de donnée personnelle : une photo, un numéro de sécurité sociale, un identifiant de connexion, une géolocalisation, une transaction bancaire, …

Pour qu’une donnée ne soit plus considéré comme personnelle, il faut qu’elle soit rendue anonyme, c’est-à-dire qu’elle ne doit plus permettre d’identifier la personne concernée (nom masque, visage flouté, ….).

Pourquoi cette nouvelle réglementation ?

En France, la réglementation en vigueur jusqu’à présent, contrôlée par la CNIL, assurait déjà une protection avancée des données. Avec le règlement, tous les pays de l’Union appliqueront les mêmes règles pour une protection des données du citoyen européen uniforme, quel que soit le pays dans lequel ses données sont traitées.

En bref, ce que le règlement change aux règles actuelles :

  • Il renforce et élargit le droit des personnes
    Ce premier point concerne deux aspects principaux : une obligation de transparence et un renforcement du consentement.
    Concernant la transparence, on entend de clairement indiquer aux personnes comment les données sont collectées, par qui, pour quoi faire et leur durée de conservation, ainsi que de permettre facilement à chacun l’accès, la modification, le transfert ou la suppression de ses données.
    Concernant le consentement, on entend de pouvoir prouver l’accord exprès de chacun, ce qui exclut tout consentement tacite.
  • Il clarifie les relations entre le responsable et le sous-traitant
    Ce deuxième point vise à une meilleure répartition des droits et devoirs du propriétaires du fichier (vous) et du responsable technique du traitement (Adelya). Dorénavant le sous-traitant est clairement identifié comme un acteur portant lui-même des responsabilités.

Schéma des 4 enjeux dans la protection des données personnelles
Comment se préparer à la nouvelle réglementation ?

Être en réglementation d’ici le 25 mai c’est possible, en suivant pas à pas les 6 grandes étapes de la CNIL

Méthodologie pour se préparer à la mise en conformité RGPD

 

  1. Désignez un pilote (Délégué à la Protection des Données) : chef d’orchestre de la mise en conformité, il supervise et coordonne la mise en oeuvre du projet RGPD et sera l’interlocuteur de la CNIL en cas de litige
  2. Cartographiez les données : d’où proviennent les données et de quelle nature sont-elles ? à qui et à quoi sont-elles destinées ? où sont-elles stockées, pendant combien de temps ? Toutes ces questions vous permettront de cartographier les données présentes dans votre entreprise
  3. Priorisez les actions à mener : il s’agit de définir une feuille de route à partir de la cartographie des données. La priorisation permet d’identifier les données à risque (données sensibles) et les traitements à risque (documentation et mesures organisationnelles et techniques absentes, incomplètes ou imparfaites)
  4. Gérez les risques : si des risques élevés sont identifiés lors de l’étape 3, il faut déterminer, pour chaque action une analyse d’impact sur la protection des données (PIA). La CNIL met à disposition un logiciel libre pour faciliter la conduite et la formalisation d’analyses d’impact
  5. Organisez les processus internes : garantissez une protection totale des données en anticipant les événements susceptibles de se produire lors du cycle d’un traitement de données personnelles (par exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.)
  6. Documentez la conformité : la documentation doit notamment recueillir les informations sur vos traitements de données personnelles (le registre, le PIA, l’encadrement des transferts…), l’information des personnes (mention d’information, modèles du recueil de consentement, …) et les contrats qui définissent les rôles et les responsabilités des acteurs (contrats, procédures internes, preuves de consentement, …). Chaque point doit être réexaminé et actualité régulièrement pour rester constamment en conformité

Le RGPD, une opportunité de renforcer la confiance des consommateurs

Cette nouvelle réglementation oblige à réduire le recueil des données au strict nécessaire et pertinent. A l’heure où 55% des internautes abandonnent leur achat en ligne car ils redoutent de perdre le contrôle de leurs données, il faut envisager le RGPD comme une opportunité de gagner la confiance des consommateurs. Une meilleure protection et traitement des données signifie un parcours client plus transparent et fiable, et donc plus de chance de fidélisation.

Le RGPD en bref : la check list des clauses essentielles

Sauvegardez la provenance de vos contacts
Demandez leur consentement lors de la collecte de leurs données
Retirez de votre base les contacts inactifs depuis plus de 3 ans
Assurez-vous de pouvoir exporter toutes les données de vos contacts
Assurez-vous que vos prestataires sont en conformité avec le RGPD
Optez pour la “pseudonymisation” des informations : séparer les données de leurs propriétaires respectifs

Pour en savoir plus sur le règlement européen ou sur le vocabulaire à connaître, nous vous conseillons de visiter le site de la CNIL.

Apprenez-en plus sur :

Subscribe To Our Newsletter

Get updates and learn from the best