RGPD : comment se mettre en conformité ?
Une personne sur deux utilise le web et les réseaux sociaux, et vous êtes 90% à être préoccupés par l’utilisation de vos données personnelles. Avec le nouveau Règlement Général sur la Protection des Données (RGPD), l’utilisation des données à caractère personnel va être totalement modifiée. Les grandes entreprises telles que les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) sont directement concernées. Si vous possédez un site Internet ou envoyez des campagnes e-mailing : vous êtes aussi concerné ! Agissez dès maintenant pour connaître les implications de cette nouvelle loi et les outils à mettre en place pour être en règle !
Les exigences de la CNIL
La CNIL prévoit 6 étapes pour que les entreprises puissent se mettre en conformité avec le RGPD :
- désignation d’un pilote (DPO),
- cartographie du traitement des données personnelles,
- priorisation des actions à mettre en place,
- gestion des risques,
- organisation des processus internes,
- documentation de la conformité avec le RGPD.
Pas très concret n’est-ce pas ? Vous vous dites que vous allez passer plus de temps à faire de l’administratif qu’à développer votre activité commerciale ? Essayons justement d’optimiser cela !
Les ressources documentaires mises à disposition par la CNIL et Bpifrance
La CNIL met à disposition un certain nombre de ressources qui vont vous permettre d’effectuer en douceur votre mise en conformité (idéalement avant le 25 mai 2018) avec le RGPD. Le premier document est une reprise détaillée des 6 étapes mentionnées ci-dessus : Règlement européen sur la protection des données personnelles : se préparer en 6 étapes (pdf à télécharger).
La CNIL et Bpifrance ont aussi construit un guide et plusieurs fiches pratiques pour une meilleure compréhension de ce qu’implique le RGPD. Nous vous invitons d’ailleurs à consulter ces fiches pratiques, que vous trouverez ci-dessous disponibles au téléchargement :
- guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises (pdf à télécharger),
- fiche pratique 01 : sachez que faire quand votre entreprise communique et/ou vend en ligne (pdf à télécharger),
- fiche pratique 02 : améliorez et maîtrisez votre relation client (pdf à télécharger),
- fiche pratique 03 : protégez les données de vos collaborateurs (pdf à télécharger).
Commençons simple, avec la définition d’une donnée à caractère personnel.
Qu’est-ce qu’une donnée à caractère personnel ?
Les données à caractère personnel regroupent l’ensemble des données qu’une entreprise recueille sur ses clients (nom, adresse, localisation, identifiant en ligne, adresses IP) que ce soit au moyen du fichier clients, de la carte de fidélité, du formulaire de contact ou le suivi d’audience (tracking par Google Analytics par exemple).
La protection des données est encadrée par la loi, depuis la Directive 95/46/CE du 24 octobre 1995 . Suite à l’augmentation de l’utilisation du numérique, l’Union Européenne souhaite une homogénéité du traitement des données personnelles et une harmonisation du traitement juridique des 28 pays membres.
Quel est l’objectif du RGPD ?
Le RGPD a pour objectif de renforcer la protection des données personnelles et offrir plus de sécurité aux utilisateurs. Il prévoit que les utilisateurs auront plus de droits sur leurs données personnelles stockées chez des tiers :
- droit de rectification : l’internaute peut demander, dans un délai d’un mois maximum, une modification de ses données personnelles,
- droit à l’effacement,
- droit d’opposition : chaque personne peut décider de changer d’avis sur l’utilisation de ses données,
- droit à la limitation du traitement : en cas de contestation de certaines données,
- droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé,
- droit à être notifié de toute rectification, effacement ou limitation du traitement des données : vous devez leur expliquer le processus par lequel les utilisateurs peuvent supprimer complètement leurs données de vos enregistrements,
- droit d’accéder aux données : chaque personne a le droit de recevoir l’intégralité des données la concernant dont dispose l’entreprise.
Une sanction lourde en cas de non-conformité
Le Règlement Général sur la Protection des Données vient modifier et compléter le texte adopté le 14 avril 2016. Le RGPD concernera tous les résidents de l’Union européenne le 25 mai 2018. Si vous ne vous y conformez pas, vous risquez une amende à hauteur de 4% de vote chiffre d’affaires annuel global ou 20 millions d’euros, la CNIL précisant que la somme la plus élevée sera retenue.
Est-ce que je suis concerné par le RGPD si je suis auto-entrepreneur, micro-entrepreneur ou PME ?
- vous avez un site Internet vitrine ou une boutique en ligne ?
- un formulaire de contact est installé sur votre site Internet ?
- vous possédez un système de tracking (analyse d’audience à l’aide de Google Analytics par exemple) ?
- vous avez mise en place une captation d’e-mails sur votre site ?
- vous tenez à jour un fichier clients ?
- vous traitez des données pour le compte d’une autre entreprise ?
Si vous avez répondu oui à au moins une des questions ci-dessus, vous manipulez des données personnelles. Vous êtes donc concerné par le RGPD et devrez-vous y conformer.
- le type de données (nom, adresse postale, numéro de téléphone, etc.),
- la finalité de la collecte de ces données (newsletters, e-mailing, etc.),
- la durée pendant laquelle seront conservées les données de vos clients,
- la procédure permettant à vos clients/propsects/contacts d’exercer leurs droits de suppression/modification/opposition,
- les mesures que vous mettrez en place en cas si vos interlocuteurs exercent leurs droits.
Attention, cela ne signifie pas que vous allez devoir tout effacer le 25 mai : il faut simplement faire preuve de transparence sur ce que vous conservez comme données personnelles, dans quel but et pendant combien de temps.
Pensez données internes et externes
Pensez aussi à vos données internes, si vous avez des collaborateurs par exemple. Le RGPD s’applique aussi aux données que vous possédez sur votre personnel salarié (les CV par exemple). Avec un peu de méthode, tout va bien se passer !
De la même manière, si vous travaillez avec des sous-traitants qui ne sont pas conformes au RGPD, vous vous mettez également en position de non-conformité au RGPD.
La démarche à suivre pas à pas pour se mettre en conformité avec le RGPD
1. Désigner un délégué à la protection des données (DPO : Data Protection Officer)
Il s’agit de désigner quelqu’un dans votre entreprise qui sera chargé d’accompagner l’entreprise dans sa transition vers le respect du Règlement Général sur la Protection des Données. Inutile de vous le cacher plus longtemps, si vous gérez seul votre entreprise ou micro-entreprise, le DPO, c’est vous ! Si votre entreprise compte plusieurs salariés, le DPO est, entre autres, chargé de sensibiliser le personnel à la confidentialité et la protection des données.
Il est d’ailleurs possible (et recommandé) de déclarer le délégué à la protection des données en ligne auprès de la CNIL.
Le DPO ne porte pas sur lui la responsabilité entière de la conformité avec le RGPD : l’entreprise demeure responsable au final.
2. Effectuez l’inventaire des données personnelles recueillies
Il s’agit de la « cartographie du traitement des données » dont parle la CNIL. Comme une vision d’ensemble des données que vous utilisez sera nécessaire, commencez par analyser toutes vos données. La CNIL préconise de créer un document qui recense toutes les données recueillies et qui vous permettra d’identifier si ces données sont pertinentes ou non. A travers ce registre, vous saurez alors rapidement les actions à mener et les procédures à mettre en place.
Par exemple : rappelez-vous de lister aussi vos sous-traitants et, éventuellement, incitez ceux qui ne sont pas conformes au RGPD à s’y mettre, car ils constituent un danger potentiel pour votre propre conformité. Mentionnez également si vos données sortent de l’Union Européenne, précisez chez qui (système de captation d’emails par exemple) et surtout s’ils sont eux-mêmes conformes avec le RGPD.
3. Listez les actions nécessaires
Informez vos clients de leurs droits sur leurs données personnelles. Par exemple, si vous possédez un site Internet, nous recommandons de :
- créer une page contenant un formulaire dédié à la rectification, la modification ou l’effacement des données,
- obliger l’internaute à accepter votre politique de confidentialité avant l’envoi de messages via vos formulaires de contact,
- mettre à jour de vos mentions légales,
- paramétrer votre outil de tracking (suivi d’audience),
- faire accepter votre politique de confidentialité par l’internaute s’il souhaite laisser un commentaire sur votre site,
- mettre à jour votre bandeau à cookies.
Les cookies constituent une donnée personnelle. Il faut donc obtenir le consentement de l’internaute. Les messages tels que « en utilisant ce site, vous acceptez notre politique de cookies » ne seront plus autorisés. La première page visitée par l’internaute ne sera pas comptabilisée. Tant que votre client n’aura pas poursuivi sa navigation, le bandeau doit rester visible et il doit pouvoir facilement renoncer à son consentement.
Cookies tolérés
- cookies nécessaires au bon fonctionnement du site (conservation en mémoire du panier sur un site marchand par exemple),
- cookies Analytics (en précisant dans la politique de confidentialité la durée de conservation des statistiques de visite sur votre site Internet).
Cookies interdits
- cookies publicitaires.
La solution : proposer une double navigation avec ou sans cookie !
4. Le double opt-in pour tous
Tous vos systèmes de captation d’emails (inscription aux newsletters, événements et autres webinars) doivent désormais utiliser le « double opt-in » : l’internaute devra effectuer une double validation à chaque inscription. Finies les cases pré-cochées sur les formulaires de contact ! L’internaute doit exprimer clairement et explicitement qu’il est d’accord avec votre politique de confidentialité.
5. La sécurité des données au premier plan
Avec le RGPD, la CNIL impose également de définir une politique de sécurité des données personnelles recueillies. En clair, conservez-vous vos données d’entreprise sur un tableur Excel disponible pour tout le monde, ou ces données sont-elles conservées en lieu sûr (serveur sécurisé, protection par login/mot de passe, cryptage et chiffrement des fichiers) ?
Vous devez garantir la sécurité de toutes les données collectées, traitées et stockées. Vous disposez de 72H pour notifier la CNIL en cas de faille de sécurité et de risque d’atteinte à la protection de la vie privée.
Concrètement, vous devez indiquer sur un document (ou sur le registre mentionné précédemment) comment ces données sont stockées, qui peut y avoir accès, si vous jouissez d’une protection efficace (login et mot de passe, antivirus, serveur sécurisé, etc.). Normalement, cela devrait déjà être le cas.
6. Ça y est, votre site Internet est conforme au RGPD !
Et c’est presque fini ! Il ne vous restera plus qu’à évaluer votre conformité.
Evaluez votre conformité au RGPD en répondant à quelques questions
- est-ce que vous respectez bien les principes de protection ?
- est-ce que le traitement des données est bien organisé ?
- disposez-vous des labels et certifications nécessaires ?
- ai-je en ma possession une documentation avec l’ensemble des documents prouvant ma conformité ?
La checklist des bonnes pratiques
- collectez seulement les données qui vous sont nécessaires,
- soyez transparent,
- envoyez des campagnes d’emailing seulement aux personnes majeures,
- précisez à vos interlocuteurs les durées de conservation des données recueillies et le lieu de stockage,
- gardez à l’esprit le droit de vos contacts sur leurs données personnelles,
- sécurisez vos données,
- le désabonnement doit être aussi simple et rapide que le consentement,
- les termes et conditions doivent être clairs et explicites,
- demeurez joignable sur tous vos supports de communication.
Quels sont les avantages du RGPD ?
Nous avons pas mal parlé de toutes les obligations liées à la mise en place du RGPD, mais pas encore des avantages. Je vous assure qu’il y en a ! Le Règlement Général sur la Protection des Données vise à :
- renforcer la confiance de vos clients par la sécurité des données personnelles. Le respect des données clients et la transparence de leurs utilisations se trouvent désormais au coeur d’une nouvelle stratégie de communication,
- vous rendre plus efficace commercialement. Remettre à jour vos fichiers vous permettra d’améliorer votre efficacité et d’optimiser vos actions de prospection et vos investissements,
- accroître la sécurité des données de votre entreprise,
- rassurer vos clients en ajoutant certaines mentions dans vos pieds de page pour préciser l’usage des données personnelles. Par exemple : les données soumises par ce formulaire seront utilisées exclusivement par Perspectives Marketing,
- le dernier point positif : normalement, vous n’aurez à effectuer ce travail qu’une fois. Après, c’est juste de la mise à jour.
Vous n’avez pas le temps de vous mettre en conformité avec le RGPD ?
Il est plus important que jamais d’avoir une politique de confidentialité en place. L’agence de communication Perspectives Marketing vous accompagne sur la mise en conformité avec le RGPD :
- au niveau de votre site Internet : mentions légales, paramétrage de Google Analytics, création d’une page dédiée au traitement des données, mise à jour des formulaires de contacts, validation par double opt-in pour la captation d’e-mails, réglages au niveau des commentaires ainsi que la politique de sécurité mise en place sur le site,
- au niveau de vos campagnes d’e-mailing et SMS : validation de la conformité de vos fichiers clients.
Un dernier conseil pour la route : d’abord un inventaire de la situation de votre conformité, la rédaction d’un registre puis les changements à mettre en place. Alors ne perdez pas de temps pour vous conformer au RGPD !
