Le règlement général sur la protection des données (RGPD) régule le traitement de données personnelles au sein de l’Union européenne.

 Celui qu’on appelle aussi General Data Protection Regulation s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et vient fortifier le contrôle qu’ont les citoyens sur leurs données personnelles et l’utilisation de ces dernières par les entreprises.

 Responsabilité, transparence et confiance forment le triptyque d’objectifs de ce règlement européen.

Selon la CNIL (Commission Nationale de l’Informatique et des Libertés), une donnée personnelle signifie “toute information se rapportant à une personne physique identifiée ou identifiable”. Les données personnelles incluent donc le nom et le prénom d’une personne, mais aussi son numéro de téléphone, son adresse e-mail, son numéro de sécurité sociale, des informations médicales, ses données biométriques, etc.

 L’identification d’une personne peut se faire grâce à une unique donnée (numéro de sécurité sociale, par exemple), ou bien par regroupement de données (nom de famille d’une personne, ville d’habitation et métier exercé permettent aisément de retrouver l’identité d’une personne, par exemple).

Le traitement de données personnelles se définit, toujours selon la CNIL, comme « une opération ou un ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé ». Il peut s’agir de la collecte de données, de leur conservation, de leur consultation, de leur diffusion, etc.

 Avec le RGPD, chaque traitement de données doit avoir un objectif précis. Le recueil de data (donnée) sur sa clientèle pour pouvoir éditer une facture pour livrer un produit est donc un traitement de données autorisé. Il ne faut cependant pas chercher à recueillir des données personnelles n’ayant pas de rapport direct avec l’objectif, par exemple le lieu de naissance de la personne pour la création d’une facture, par exemple.

 Il n’est pas non plus possible de collecter et de traiter des informations personnelles par anticipation, juste au cas où cela serait utile un jour.

Toutes les entreprises doivent respecter le règlement européen sur la protection des données personnelles. Peu importe sa taille, son activité, et même son pays d’implantation, une société est impactée par le RGPD si :

–   elle est située sur le sol européen (même si elle collecte et traite des données sur des personnes physiques hors UE).

–   elle recueille et traite des données sur des résidents européens (même si l’entreprise est implantée en dehors de l’UE).

–   elle recueille et traite des données pour le compte d’autres sociétés (sous-traitance).

Le RGPD inclut des sanctions en cas de non-respect du texte. Les autorités de protection peuvent sévir de manière graduelle. Cela va de l’avertissement à l’amende administrative, pouvant monter à 20 millions d’euros, ou jusqu’à 4% du chiffre d’affaires annuel mondial. Entre les deux, on retrouve la mise en demeure de l’entreprise, la limitation du traitement, la suspension des flux de données, l’effacement de données, etc.

Pourquoi est-il bon pour votre entreprise et ses actions de marketing digital d’être en règle avec le règlement général sur la protection des données ?

 Éviter les pénalités encourues par l’infraction au texte de loi sur la protection des données personnelles.

1. Évacuer le stress lié au risque d’être visé par des pénalités. Être en conformité avec le RGPD permet d’être plus serein et donc de travailler avec plus d’aisance.
2. Libérer la créativité dans les opérations marketing. Connaître ses contraintes permet paradoxalement de libérer la créativité. A contrario, conduire des opérations de communication en étant “dans le flou” empêche de voir où l’on peut aller et implique souvent une certaine “timidité” dans la recherche d’idées novatrices.
3. Créer une meilleure image auprès de vos clients. Une bonne politique de la protection de la vie privée crée une relation de confiance avec vos prospects, clients, partenaires et collaborateurs.
4. Mettre en place un dispositif marketing orienté qualité. Le RGPD force plus ou moins les sociétés à orienter leur stratégie marketing vers des approches qualifiées. Les entreprises adeptes de la prospection tous azimuts et non qualifiée découvriront peut-être ainsi tous les avantages que procure l’approche qualifiée.
5. Être en règle avec le RGPD permet de montrer l’exemple à suivre, et donc de profiter par effet de retour d’un milieu professionnel (et personnel) plus sain : moins de mails non désirés dans sa boîte mails, moins d’appels commerciaux non qualifiés, etc.

Mais comment peut-on donc profiter de ces avantages ?

Pour être en conformité avec le RGPD et assurer une protection constante des données personnelles, vous devez suivre six grandes étapes…

Il est primordial de définir une personne chargée du traitement de données personnelles. Ses missions ? Veiller à la conformité constante au RGPD, échanger avec les autorités de protection des données et diminuer au maximum les risques.

 La désignation d’un délégué à la protection des données (DPO) est d’ailleurs obligatoire pour les organismes publics et pour les entreprises « dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et des infractions. »

 Un DPO doit avoir des compétences juridiques, une connaissance accrue du secteur d’activité, du temps à consacrer à sa mission, des moyens matériels et humains, être en relation avec les équipes internes et les acteurs externes. Et il ne doit pas avoir de conflit d’intérêts, ni recevoir des instructions de sa hiérarchie dans le cadre de l’exercice de ses missions de déléguer à la protection des données.

 Et parmi les missions du DPO… on retrouve notamment la création d’un registre des différents traitements des données.

Vous devez créer et alimenter un registre des traitements qui figure dans la liste des documents à garder pour rester en conformité avec le RGPD (point 6). Ce registre sert aussi à mesurer l’impact du RGPD sur votre activité.

 Vous devez réunir :

–   Les catégories des données personnelles que vous traitez.

–   La finalité de chaque opération de traitement de données.

–   Les différents traitements de collecte, conservation, analyse, etc.

–   Les différentes personnes physiques et morales qui ont accès aux données.

–   Les flux des données en interne, depuis l’extérieur et vers l’extérieur.

 La mission de mise en conformité nécessite du temps. Votre DPO doit alors prioriser les actions à mener.

Vous devez identifier les actions nécessaires pour respecter le RGPD. Priorisez-les selon les risques qu’ils pourraient représenter pour les droits et libertés des personnes physiques.

 Faites attention à bien :

–   vérifier que les données collectées et traitées sont strictement nécessaires pour les objectifs définis.

–   identifier la base juridique sur laquelle repose le traitement : consentement de la personne, contrat…

–   relire les mentions informatives pour qu’elles respectent le règlement européen.

–   vous assurer que les sous-traitants sont en phase avec le RGPD.

–   anticiper les modalités d’exercice des droits des personnes physiques : droit d’accès à ses données, droit de rectification, droit à la portabilité…

–   vous assurer que toutes les mesures de sécurité nécessaires sont en place.

 Vous devez  porter une attention toute particulière aux données sensibles (orientation sexuelle, appartenance religieuse, identité génétique, appartenance syndicale, données sur des personnes mineures…).

 Si vous traitez des données de ce type ou que vous transférez des données en dehors de l’UE, il est alors recommandé de réaliser une analyse d’impact relative à la protection des données (AIPD) dont nous parlerons au point suivant.

 Le DPO évitera les risques les plus accrus en priorisant ses actions, mais il devra également les anticiper.

Vous devez analyser les traitements de données personnelles qui peuvent provoquer des risques élevés pour les personnes physiques.

 Selon la CNIL, l’analyse d’impact relative à la protection des données (AIPD) contient :

–   une description du traitement étudié et de ses finalités.

–   une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités.

–   une évaluation des risques pour les droits et libertés des personnes concernées et les mesures envisagées pour faire face aux risques.

 L’analyse d’impact se met en place avec la participation du responsable de traitement, le délégué à la protection des données, les sous-traitants, les personnes physiques concernées, les maîtres d’ouvrage, les maîtres d’œuvre, les responsables de la sécurité des systèmes d’information…

 L’AIPD peut se faire grâce au PIA, un outil téléchargeable gratuitement sur le site de la CNIL. Il est aussi disponible en version web.

 Le PIA regroupe notamment des outils de visualisation permettant de repérer les risques du traitement étudié. Il fournit aussi des informations juridiques pour garantir le respect de la loi lors du traitement. Il est possible d’adapter les contenus à des besoins spécifiques. Disponible en open source, ce logiciel peut en outre être modifié et personnalisé selon votre activité.

 Les risques s’anticipent de surcroît grâce à une bonne organisation des processus.

Vous devez mettre en place des procédures en interne pour bénéficier d’un niveau de protection de la data (donnée). Une bonne organisation permet de :

–   faire face aux éventuelles failles de sécurité

–   faciliter la gestion des demandes de rectification d’accès aux données de la part des personnes concernées

–   rendre plus aisé la modification des données

–   …

 Comment mettre en place cette organisation ? 

1. En considérant le RGPD pour chaque opération marketing.

Pour chaque opération pouvant impliquer du traitement de data, vous devez inclure dans le cahier des charges les opérations obligatoires et inhérentes à la protection des données personnelles : durée de conservation, mentions légales d’information, récupération du consentement des personnes physiques, gestion des données, vérifications de la conformité, etc.

2.     En créant un processus de remontée d’information.

Pour ce faire, il est primordial d’organiser un plan de formation pour préparer et avertir l’ensemble de votre équipe.

3.     En traitant les réclamations, les demandes de rectifications, d’accès aux données…

Vous devez vous assurer que toute personne dont vous possédez des informations puisse faire valoir ses droits de rectification, d’opposition, de retrait du consentement, etc.

4.     En anticipant les violations de données.

Il est important de mettre en place des systèmes performants de protection de vos bases de données. Vous devez également prévoir « la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais », explique la CNIL.

 L’organisation comprend aussi la bonne documentation pour servir de preuve en cas de contrôle.

Ça y est, vous êtes conforme au règlement européen ? Il faut alors réunir l’ensemble des documents prouvant cette conformité.

 Devra figurer dans ce recueil de documents :

–   Le registre des traitements

–   Les documents concernant l’AIPD

–   L’encadrement des transferts hors de l’UE

–   Les mentions d’informations

–   Les procédures créées pour l’exercice des droits

–   Les modèles de recueil du consentement

–   Les preuves des consentements

–   Les contrats avec les sous-traitants

–   Les procédures internes pour le cas où des données sont violées

 Vous devez penser à tenir à jour cette documentation dans le cas où la CNIL réalise un contrôle. Le RGPD permet aussi à la CNIL de vérifier le bon usage des données auprès des prestataires sous-traitants.

 Vous souhaitez en savoir plus sur le RGPD ? Découvrez sans plus attendre l’interview d’Arnaud Richard, avocat spécialiste du RGPD, qui répond aux questions complémentaires que tout entrepreneur peut se poser sur ce règlement européen.

 N’hésitez pas à diffuser cet article sur les réseaux sociaux pour aider vos partenaires à se mettre eux aussi en règle avec le RGPD.