A l’heure où l’exploitation de la data est au cœur des préoccupations des entreprises, il est nécessaire de comprendre ce qu’est le RGPD ou Règlement Général sur la Protection des Données.

Le Règlement Général sur la Protection des Données est une évolution logique suite aux différents textes sur la protection des données des consommateurs de l’Union Européenne.

Il est applicable depuis le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.

Dès son application, il a remplacé les réglementations nationales jusqu’alors en vigueur.

Ainsi, la directive Informatique et Libertés de 1995 ne s’applique plus en France.

Pour plus d'informations

Voir toutes les définitions

Quels sont les objectifs du RGPD ?

Pour les entreprises, le chemin de la mise en conformité est de taille. Elles ont l’obligation d’adapter leurs outils et procédures, ce qui implique de lourds investissements :

  • Redonner aux citoyens européens le contrôle de leurs données personnelles.
  • Simplifier l’environnement réglementaire au sein de l’UE pour les entreprises internationales.
  • Faciliter la libre circulation des données personnelles au sein de l’UE.

 

L’important dans le RGPD est de s’informer

Pour cela, la CNIL, l’organisme français, joue un rôle majeur de clarification et d’interprétation du texte.

Ensuite, il est envisageable de nommer (ou recruter) un DPO.

Ce Data Protection Officer se chargera de sensibiliser et former les équipes pour une mise en conformité en douceur.

Comment se mettre en conformité ?

Sachant que 74% des consommateurs sont fidèles aux marques qui protègent leurs données personnelles (étude Accenture Strategy, 2016) et que la conformité au RGPD est devenue obligatoire depuis 2018, il est temps de s’y mettre ! 45% des entreprises interrogées ignoraient encore ce nouveau RGPD un an avant sa mise en place. Après la mise en application du RGPD, le chiffre est en constante diminution mais cette évolution est très lente. Les entreprises doivent avancer, anticiper et pour ce faire, décrypter le texte du RGPD.

Se poser les bonnes questions

Pour commencer, il est important de se poser certaines questions :

Où sont les données que l’entreprise stocke ?

Pourquoi a-t-elle ces données ?

A-t-elle récolté un consentement d’utilisation de la part du consommateur ?

Qui a accès à ces données ? Qui les traite ?

Combien de temps sont-elles conservées ?

Comment est-il possible de les récupérer ?

Adapter ses méthodes et outils

La première étape peut consister à supprimer les données inutiles dans le CRM (ex : Mme X n’est plus cliente depuis plusieurs années, alors pourquoi conserver ses revenus mensuels ?).

Il est ensuite important de construire une étude d’impact (ex : en cas de faille de sécurité sur les données, quels sont les risques majeurs et mineurs ?).

Puis viennent les contrats pour y intégrer la co-responsabilité du traitement des données, l’identification de toute faille potentielle de sécurité.

Enfin, arrive la rédaction des codes de conduite (ex : traçabilité des demandes liées au droit des personnes, information de la personne concernée…) puis l’ajout des nouvelles mentions sur tous les supports de communication…

Pour aller plus loin : comprendre le RGPD en 13 points

  • Extension de la définition de la donnée à caractère personnel.
  • Création d’un registre des traitements pour expliquer la finalité du traitement des données.
  • Engagement réciproque de responsabilité de tous les acteurs traitant des données.
  • Mise en place du « privacy by design » : seul un minimum d’informations doit être collecté.
  • Nécessité d’une analyse d’impact avant la collecte de données pour identifier les risques liés à leur traitement (ex : si faille de sécurité).
  • Précision du traitement des failles de sécurité : définition, sanction, communication.
  • Création d’un nouveau métier, le Data Protection Officer (DPO) : obligatoire dans toute entreprise de +250 salariés ou qui traite beaucoup de données.
  • Co-responsabilité de tous les acteurs : responsabilité conjointe et de même degré.
  • Consentement préalable du client renforcé, explicite et pour une durée déterminée.
  • Extension des droits à la personne : actuellement 4 droits, à venir 6 nouveaux.
  • Nouvelle application territoriale : chaque consommateur européen est protégé, peu importe son lieu de connexion (même s’il est hors UE).
  • Encadrement des transferts de données personnelles hors UE : uniquement avec accord de la personne.
  • Alourdissement des sanctions : max 20 millions d’euros ou 4% du CA mondial.


Merci à Fabienne Granovsky, Expert Informatiques et Libertés de fgconseil.fr, pour son expertise qui a grandement aidé à écrire cette page !

Trucs et Astuces

Efficy CRM, votre outil GDPR

Le GDPR aura de réels impacts sur votre core business. Efficy vous propose et vous conseille ces quelques solutions pour vous adapter à ce grand[...]
En savoir plus
DataRelation Citoyen
Voir tous les articles