Comment se mettre en conformité avec le RGPD ?

Comme expliqué lors de notre conférence du jeudi 8 février 2017, le Règlement Général pour la Protection des Données (RGPD), a été créé dans le but de renforcer et compléter les exigences concernant la protection des données personnelles des citoyens européens. Cela prend en compte le traitement de données, leur collecte, leur gestion ou encore leur stockage. Il est donc essentiel pour les entreprises de savoir comment se mettre en conformité avec ce texte.

Flashback des points abordés lors de notre événement, en collaboration avec Sophie Nayrolles et Amira Abounedjoum, avocates chez Simon Associés et Romain Bessuges-Meusy, Fondateur de Axeptio.

IMG_9034.png

 

La notion de consentement

Le consentement est un élément clé de la conformité des traitements mis en œuvre concernant la protection des données personnelles.

Tout d’abord, il est important de dissocier les données personnelles détenues pour l’exécution d’un contrat, qui sont couvertes par les conditions contractuelles liées avec les clients, et les données utilisées pour du profilage, du marketing, de la prospection, etc. Ce sont ces dernières, qui vont devoir être revues.

La question que toutes les entreprises se posent est : « Que dois-je faire de ma base de données actuelle ?  Que va-t-elle devenir ? »

Pour pouvoir garder sa base de données existante, il faut : dans un premier temps, avoir le consentement du client après l’avoir informé de la finalité de l’utilisation de ses données. Et ensuite, il faut être capable de le prouver grâce à des moyens d’enregistrement horodaté, par exemple.

Cela permet à l’utilisateur de retrouver du pouvoir et le contrôle du traitement de ses données.

Dans cette notion de consentement, le maître-mot est la transparence. Il faut vulgariser son discours afin que toute personne soit en capacité de comprendre le message. Passer par un avocat, pour l’explication de tous les textes liés au consentement et sur l’usage des données personnelles est conseillé. La confiance entre utilisateurs et marques n’a jamais été aussi capital. Faire vivre une expérience utilisateur simple, accessible et compréhensible, va inciter les clients à donner leur consentement.


L’objectif est donc d’envoyer avant le 25 mai 2018 un formulaire de recueil de consentement à tous ces clients. Axeptio, par exemple, propose aux entreprises des formulaires de recueil du consentement  que les entreprises peuvent intégrer à leur site et ainsi remplacer la « case à cocher » et se mettre enfin en conformité avec le RGPD.

 

Quelles vont être les sanctions ?

Avec cette nouvelle réglementation nous passons de sanctions de réparation d’un préjudice à des sanctions dites « punitives ».

De plus, il est primordial de savoir que, pour la première fois les données personnelles vont pouvoir faire l’objet de « class action » ou « d’action de groupe ». Des associations de consommateurs, des syndicats ou encore des individus vont pouvoir attaquer en groupe des entreprises et se constituer partie civile. Toutes entreprise en conflits avec des salariés, prestataires etc, peuvent se faire poursuivre devant un tribunal européen.

 

Comprendre la notion de sous-traitants

Auparavant, les prestataires de service se réfugiaient derrière le cahier des charges de l’entreprise et se déchargeaient de toutes responsabilités.

Aujourd’hui cela va changer. L’entreprise sous-traitante à non seulement un devoir de conseil, elle doit également alerter le commanditaire si une action est mal produite mais surtout, en cas de contrôle elle peut être également redevable d’une amende. Cette dernière est cumulative, ce qui veut dire que les deux parties sont sanctionnées.

 

DPO : quésaco ?

Data Protection Officer (DPO) est le responsable des données personnelles. C’est un nouveau métier qui arrive sur le marché dû à l’application de cette réglementation. C’est un profil capable de comprendre la loi, de la faire appliquer, et d’expliquer aux informaticiens comment appliquer cette dernière. Son rôle est donc d’établir tous les traitements des données pour faire l’inventaire et tenir à jour le registre des traitements et veiller au bon respect du RGPD. Le DPO peut être nommé en interne ou alors le sous-traiter ou le mutualiser.

(Attention : il ne peut pas être le dirigeant de l’entreprise car il y a, dans ce cas, conflit d’intérêt)

 

En quelques mots :

Il n’y a pas de grandes révolutions dans le texte RGPD mais de nouveaux dispositifs et de nouveaux métiers qui se créés. Les entreprises doivent s’accaparer cette réglementation, challenger les obligations visuelles/ergonomique et produire la meilleure expérience possible pour l’utilisateur.

Les avantages à en tirer :

- Les départements marketing vont pouvoir se mettre au clair sur les traitements et avoir connaissance des informations détenues sur les utilisateurs et donc avoir un réelle vision des data.

-  Les développeurs pourront mettre à jour leurs bases de données.

- Les utilisateurs vont retrouver une forme de pouvoir et de contrôle sur leurs données personnelles.

- Pour les entreprises, cela va devenir un véritable avantage concurrentiel que de respecter la vie privée de ses utilisateurs (label sur la protection des données ou encore la création d’une norme RGPD).