RGPD ??? Kézako ???

Qu’est-ce que le RGPD ?

C’est un acronyme qui signifie : Règlement Général sur la Protection des Données

Attention cet article est assez long, mais c’est pour votre bien 😉

Pourquoi vous ?

Ce règlement a pour objectif de définir un cadre opérationnel, administratif et juridique auquel les entités ( entreprises, associations, établissements publics,…) doivent se conformer s’ils traitent des données personnelles de citoyens européens.

Qu’est-ce qu’une données personnelle ?

Au premier coup d’oeil, nous ne nous sentons pas vraiment concernés. On imagine qu’une donnée personnelle est une donnée sensible concernant un individu, ses convictions religieuses ou politiques, son orientation sexuelle ou ses données de santé…

Ces données sont effectivement personnelles, mais ce sont surtout, au regard des différentes commissions de la vie privée des différents pays européens, des données sensibles que vous devez manier avec grande précaution (et en faire la déclaration du traitement aux commissions CPVP en Belgique, CNIL en France, pour les autres pays, renseignez-vous ).

Une règle simple : Une donnée personnelle est plus basique que cela, c’est simplement une donnée qui permet d’identifier directement ou indirectement une personne.

Données personnelles :

  • nom
  • prénom
  • adresse postale
  • adresse email
  • adresse IP

Avec cela une simple recherche sur internet et l’on peut trouver la personne concernée.

Toutes ces données font l’objet de ce « nouveau réglement ».

Que risque-t-on ?

Ce réglement  a été élaboré pour contraindre les géants de l’internet (les GAFAM, Google, Amazon, Facebook, Apple, Microsoft) à respecter nos données personnelles. Le texte prévoit des applications de sanctions pouvant stabiliser ces puissantes sociétés.

Je n’y crois pas trop, personnellement, car ces sociétés sont toutes basées aux USA et le RGPD ne prévoient des sanctions qu’en EUROPE. Le RGPD va « forcer » ces entreprises à se mettre aux normes en EUROPE (en dehors, ils feront ce qu’ils veulent)

Le problème est qu’un texte de loi est applicable à tous et que vous risquez pour votre entreprise les mêmes sanctions que Google… soit une sanction financière jusqu’à 4% de votre chiffre d’affaires mondial à concurrence de 20 millions d’euros…

Que faire ?

Comment se mettre en conformité ? Je vais essayer d’y répondre


Il y a plusieurs étapes importantes pour compléter et expliquer ce schéma.

1 - Le délégué à la protection des données

Vous devez déterminer quelle sera la personne, au sein, de votre entreprise, qui sera désignée comme délégué  à la protection des données. Si vous êtes indépendant, c’est vous.

Cette personne sera l’interlocuteur avec la CPVP, CNIL en cas de contrôle. Cette personne sera en charge de la mise en place et de la mise en conformité.

Cette personne sera chargée d’informer et de dialoguer avec les sous-traitants. C’est là que cela devient un peu compliqué, car vous serez également responsable de la conformité des sous-traitants, fournisseurs,etc…

Exemple
Vous êtes en conformité avec le RGPD , mais, si l’un de vos sous-traitants n’est pas en conformité, alors le simple fait de lui confier certaines données personnelles de votre entreprise fait que vous n’êtes plus en conformité vous même.

Concrètement, vous hébergez des données personnelles dans une base de données chez un sous-traitant (votre hébergeur, par exemple) qui n’est pas en conformité, vous perdez alors votre conformité…

Que faire ?

Vous devez faire une liste des entreprises avec lesquelles vous travaillez et éliminer celles qui peuvent mettre en péril votre conformité.

2 - Cartographie du traitement des données personnelles

Étape chronophage mais nécessaire. Vous devez lister toutes les données personnelles que vous traitez.

Exemples :

  • Les emails et prénoms de vos prospects et clients que vous collectez avec vos page de capture et que vous ajoutez dans un autorépondeur.
  • Les emails et prénoms et autres données que vous laissent vos visiteurs lorsqu’ils s’inscrivent sur votre blog ou votre site.
  • Les IP des visiteurs qui sont enregistrées dans la base de données de votre site sans même que vous en ayez conscience (logs)
  • Les coordonnées complètes des clients que vous enregistrez, ou votre comptable, dans le logiciel de comptabilité.

Une fois chaque source isolée, vous devez indiquez quels traitements vous réalisez.

Exemple
Vous collectez l’email et le prénom de prospects en les enregistrant automatiquement dans un système d’autorépondeur. Si ce système d’autorépondeur n’est pas conforme RGPD, votre société ne l’est pas non plus.

Pire, si le service est hors UE. Même si le service déclare être conforme RGPD, vous allez être obligé de déclarer que vous faites sortir des données personnelles de l’Europe, mais également à qui vous les envoyez. Et si vous ne respectez pas un certain formalisme contraignant, vous êtes certain de recevoir les
foudres de la CVPP, CNIL et probablement d’être sanctionné pour cela…

Un des objectifs du RGPD est d’éviter la sortie des données de l’Europe. Le Service doit être conforme au RGPD mais aussi le pays.

Il est plus prudent, donc, de ne travailler qu’avec des partenaires européens.

Vous devez donc lister tous les services (API, Script, SAS, plugin) et inscrire ce qu’ils font.

exemple :

  • Je collecte des emails par l’intermédiaire d’une page de capture hébergée sur un serveur géré par telle société.
  • J’envoie automatiquement ces données collectées dans un autorépondeur.
  • En même temps j’utilise un service d’automatisation qui vérifie que ces personnes ne sont pas déjà clientes et si c’est le cas, ce système les enregistre automatiquement dans une nouvelle liste …

Vous devez alors vérifier :

  • que votre hébergeur est conforme (le serveur de votre site enregistre automatiquement les IP des visiteurs),
  • que le service d’autorépondeur est conforme,
  • que le service d’automatisation est conforme
  • et, si possible, qu’ils sont situés en Europe …

Ce n’est pas terminé, il faut aussi déterminer la finalité du traitement et déterminer une durée de conservation.

  • je collecte l’email et le prénom de prospects avec pour objectif de leur faire des propositions commerciales, leur vendre des produits.
  • Ces données seront conservées durant 2 ans, si dans 2 ans ces prospects n’ont pas donné suite à mes propositions,achats, abonnement newletters… leurs données personnelles seront effacées de la base
    de données de l’autorépondeur et / ou de la base de données de mon site web.

Enfin, vous devez déterminer comment sont protégées les données du piratage.

Si vous passez par un service tiers autorépondeur, il y a de fortes chances qu’il soit protégé (quoique !!!)

Si vous avec un blog et que votre mot de passe est 123456 ou encore motdepasse, on pourra estimer que vous n’avez pas mis en oeuvre les sécurités minimales. Vous pouvez donc, être sanctionné pour ces négligences en cas de perte/vol de données.

3 - Effectuer les corrections nécessaires

Maintenant que vous avez tout lister, vous pouvez corriger les anomalies détectées.

Exemple 1

Vous collectez le nom, le prénom et le numéro de téléphone de vos prospects sur une page de capture. Mais vous n’utilisez jamais leur numéro de téléphone. Vous n’êtes donc pas conforme, car la collecte de la donnée personnelle « numéro de téléphone » n’a aucune finalité utile pour votre entreprise.
Vous devez donc supprimer le champ de collecte « numéro de téléphone » de votre page de capture et effacer cette donnée de votre base de données.

Exemple 2

Vous utilisez un service d’automatisation de votre marketing situé au USA et vous y transférez des données personnelles. Vous avez tout intérêt à changer de service d’automatisation et d’en choisir un situé en Europe pour éviter de prendre trop de risques inutiles avec votre propre conformité. Et surtout d’éviter les contraintes administratives importantes découlant du transfert de données personnelles hors Europe.

Exemple 3

Vous faites de l’affiliation et vous donnez régulièrement à vos affiliés la liste des clients provenant de la promotion qu’ils ont effectué avec leur lien d’affiliation (par exemple pour qu’ils leur envoient le cadeau promis si le client achète votre produit par leur lien d’affilié).

Vous n’êtes pas conforme, car ces clients n’ont jamais donné leur accord pour que vous transmettiez leurs données à vos partenaires commerciaux ( d’autant plus envoyé dans un fichier Excel par email ou dans un dossier public dans le cloud).

Exemple 4

Si vous enregistrez des données liées à la santé (produits sur l’amaigrissement ou des problèmes de santé particuliers) à l’orientation sexuelle, (produit sur les rencontres ou le comportement amoureux), des données révélant des infractions (produit sur la récupération de point de permis de conduire ou les faillites personnelles) se sont des données sensibles que vous devez manier avec précaution, protéger, déclarer à la CPVP/CNIL et surtout ne plus collecter du tout si elles ne sont pas réellement nécessaires à votre
activité.

4 - Minimiser et protéger le vol de données

Avec le RGPD vous devenez responsable du vol des données personnelles que vous gérez.
Vous devez déclarer un vol de ces données (dans les 72 heures à partir du moment où vous en prenez connaissance) à la CVPV/CNIL et à chacune des personnes dont vous vous êtes fait voler les données personnelles.

Vous devez donc vous assurer que ces données sont parfaitement protégées.

Par exemple que les mots de passe de vos bases de données sont bien protégés. Que les sécurités des serveurs sur lesquels elles sont hébergées sont à jour. Que vous ne conserviez pas sur les PC de votre entreprise des fichiers (Excel, texte, csv…) bourrés de données personnelles et accessibles en deux clics.

Si vous êtes concepteur de scripts, d’applications, de sites web, de base de données, vous devez concevoir vos projets « privacy by default » c’est-à-dire que vous devez prendre toutes les mesures nécessaires à la protection des données personnelles, dès la conception de votre projet.

Par exemple, utiliser un algorithme de cryptage pour enregistrer les données personnelles dans votre application. Ce qui rendra leur utilisation bien plus difficile, voire impossible, par un hacker ayant réussi à s’introduire dans votre système.

5 - Obtenir l'accord explicite de vos prospects et clients pour la collecte et le traitement de leux données personnelles

Un des changements les plus importants dans le cadre de l’acquisition de données personnelles est d’obtenir l’accord volontaire et explicite de vos prospects et clients.

Jusqu’ici nous pouvions publier une simple page de capture avec une bonne accroche, un formulaire demandant l’email des prospects et voilà 30 secondes plus tard l’email de la personne est enregistré dans une base de données.

Maintenant, vous allez devoir prendre quelques précautions supplémentaires.

Premièrement, dans votre formulaire de capture, vous allez devoir ajouter une case à cocher avec un texte indiquant par exemple : « j’accepte de recevoir par email des informations commerciales ou marketing à propos de ce produit »
Cette case à cocher ne devant pas être cochée par défaut et le fait de ne pas la cocher par le prospect doit rendre impossible la validation du formulaire.

Lors de la vente d’un produit, peut-être avez-vous l’habitude d’enregistrer automatiquement l’email de votre client dans votre autorépondeur. De façon à pouvoir par exemple lui proposer d’autres produits de votre gamme par email.

Maintenant au moment de la vente, vous allez devoir ajouter sur votre bon de commande une nouvelle case à cocher (en plus de celle lui demandant d’accepter vos conditions de vente) qui demandera à votre client s’il accepte de recevoir vos informations commerciales ou marketing par email.

Attention, même avec cette acceptation, vous devez respecter l’objectif initial de la collecte des données personnelles. Par exemple, vous ne pouvez pas utiliser l’acceptation initiale de vos prospects de recevoir des informations sur vos produits d’amaigrissements pour les enregistrer sans leur avis dans une nouvelle liste traitant de rencontres.

Pour cela vous devez leur demander à nouveau leur avis. Par exemple en leur envoyant un message avec un lien à cliquer en leur indiquant que s’ils cliquent sur ce lien ils seront ajoutés dans une liste d’information traitant de techniques de rencontres.

De même vous ne pouvez plus utiliser la technique du « Clic to lead » qui consiste à faire cliquer une personne sur un lien qui va automatiquement l’inscrire dans une nouvelle liste de prospection, sans lui demander son avis. D’autant plus si cette liste ne vous appartient pas, mais est celle d’un de vos amis marketeur ….
Ne perdez pas de vu, qu’en cas de contrôle de la CVPV/CNIL, vous devrez pouvoir démontrer ce consentement explicite des personnes inscrites dans vos listes.

Cela veut dire qu’il est serait prudent d’effacer de votre autorépondeur la plupart de vos prospects pour lesquelles vous n’avez pas obtenu ce consentement explicite.

Il y a de forte présomption que vous ne puissiez plus contacter les personnes présentes dans vos listes auprès desquelles vous n’avez pas obtenu de consentement explicite préalable et vérifiable.

Une attitude proactive pourrait être d’envoyer un message à l’ensemble des inscrits dans vos listes existantes en leur demandant s’ils désirent toujours recevoir vos informations.

Vous allez sûrement perdre une grande partie de vos inscrits qui ne répondront pas ou répondrons par la négative. Mais dites-vous que ces personnes de toute façon n’ouvrent jamais vos messages et donc nuisent à votre délivrabilité (votre réputation en tant qu’expéditeur de message email) et ne vous achèteront jamais aucun produit…

6 - Création d'un registre de traitement et modification des conditions de vente ou d'utilisation

L’ultime étape de votre mise en conformité RGPD consiste à créer un registre de traitement des données personnelles, sous la forme de votre choix (fichier Excel, document Word, Pdf ou simple registre papier…).

Ne vous en faites pas si vous n’avez qu’une petite entreprise et que vos systèmes d’acquisition de données personnelles évoluent peu, la tenue de ce registre ne sera pas contraignante ni chronophage. Vous le créez une fois pour toutes et le faites évoluer que si des modifications surviennent dans vos traitements.

Le registre n’est obligatoire que si votre entreprise comporte plus de 250 salariés ou traite des données sensibles.

Cependant, il est fortement conseillé à toute entreprise de tenir ce registre, d’une par car il vous aidera grandement à devenir et rester conforme RGPD en listant chaque traitement et leur finalité. D’autre part car en cas de contrôle de la CVPV/CNIL, il prouvera votre bonne foi dans vos efforts à vous mettre en conformité, même si vous commettez quelques erreurs presque inévitables au vu de la complexité de ce règlement.

Ce registre doit pouvoir être consulté sur demande, d’une par par les personnes dont vous détenez des données personnelles, d’autre par, par la CVPV/CNIL en cas de contrôle.

Que doit-il contenir ?

  • Il doit mentionner les noms et coordonnées du responsable du traitement des données personnelles.
  • Il doit indiquer la finalité de chaque traitement. Par exemple : collecte et enregistrement du prénom et de l’email des prospects avec comme finalité la prospection commerciale. Ou encore enregistrement des coordonnées des clients avec comme finalité la génération de factures et l’enregistrement comptable et éventuellement, suivant leur accord, envoi de nouvelles propositions commerciales.
  • Il doit également indiquer ou sont stockées les données, dans une base de données interne à l’entreprise ou transférées chez un sous-traitant (autorépondeur) et si ces données sortent de l’Union européenne ou non.
  • Il doit mentionner la durée prévue de conservation de ces données avant leur effacement.
  • Enfin, si des mesures particulières sont prises pour garantir leur sécurité, cryptage, serveur sécurisé, coffre fort ….

Des mentions supplémentaires à indiquer dans vos mentions légales.
A ce jour vos mentions légales doivent indiquer, entre autres, les coordonnées du responsable du traitement des données, la finalité du traitement, la durée de conservation des données, le destinataire des données et les modalités de retrait, d’accès et de modification des données…

Vous souhaitez recevoir le document original de 1TPE, c’est ici que cela se passe :

mai 14, 2018

Étiquettes : , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.