Depuis le 25 mai 2018, les entreprises sont censées respecter le RGPD, (Règlement Général pour la protection des données).

Le Règlement général sur la protection des données (RGPD ou GDPR en anglais) est la première législation harmonisant les lois sur la confidentialité des données européennes et promouvant les droits à la protection des données des résidents. Le but étant de donner aux citoyens européens un contrôle total sur les données collectées, utilisées et stockées les concernant.

Le RGPD a un impact important sur toute organisation détenant ou traitant les données personnelles de citoyens de l’UE, que vous fassiez partie du département IT, juridique, digital ou marketing. Les entreprises non-européennes sont également en danger – toute organisation offrant des biens et services à des citoyens européens ou suivant leur comportement en ligne doit être être conforme depuis le 25 Mai 2018.

RGPD

Un an après, quel bilan ? « Plus des deux-tiers des entreprises n’ont encore rien fait mais elles ne représentent que 15% du volume des datas », explique Etienne Drouard, avocat associé au cabinet K&L Gates . Les grands groupes se sont tous mis en conformité mais une énorme majorité des PME-PMI n’ont toujours pas mis en place des procédures leur permettant de répondre à ces nouvelles obligations légales.

La CNIL, de son côté, a récemment communiqué dans son rapport annuel le bilan de cette année et les perspectives, tant sur le plan de l’accompagnement que du contrôle.

Alors, si vous n’avez pas encore réalisé les actions nécessaires pour être en conformité et que vous ne souhaitez pas vous faire épingler, il n’est pas (encore) trop tard ! Pour atteindre cette conformité au RGPD sur votre site web, n’allez pas creuser dans les 99 articles du RGPD. Commencez par comprendre comment il impacte la gestion de votre site web, et ce que votre département Marketing peut faire de son côté pour en assurer la mise en conformité.

Que signifie le RGPD pour le site web de votre organisation?

Devenir conforme au RGPD peut sembler être un défi colossal, que ce soit pour les entreprises ou les autorités publiques. Cependant, un processus sans accroc est possible avec un effort transversal, le soutien du management, et généralement la participation du conseil d’administration.

RGPD

Dans le cadre de ce processus, il est important que vous et votre organisation connaissiez parfaitement votre présence digitale et le contenu qui y est présent. Toutes les organisations concernées par la législation auront besoin d’avoir un aperçu de toutes les données personnelles présentes sur leurs sites web. En clair, les données personnelles désignent tout ce qui pourrait révéler un aspect de l’identité d’une personne, comme les éléments suivants :

  • Noms
  • Adresses email
  • Photos
  • Adresses physiques
  • Adresses IP
  • Numéros de téléphone

Communiquez clairement au sein de votre organisation et sollicitez l’aide d’outils adaptés. Avec les bons outils et un niveau de connaissance suffisant, votre organisation développer un état d’esprit adapté aux problématiques de confidentialité, vous assurant que toutes les compétences sont en place pour répondre à l’importance de la protection des données.

GDPR

4 conseils pour votre département marketing

Le RGPD resserre les règles et place la barre plus haut concernant le traitement des données, y compris au sein de votre département marketing. De la communication du consentement au « droit à l’oubli », le marketing joue un rôle important dans la mise en conformité au RGPD.

1-Savoir ce que vous possédez

Tout comme les équipes web et IT de votre organisation, un bon début est de savoir ce dont vous et votre équipe êtes responsables. Quels logiciels utilisez-vous ? Où est ce que votre base de données réside ? Quelles applications et solutions tierces contenant des données sur vos prospects, clients, ou employés utilisez-vous ? Posez ces questions à votre équipe, et créez une vue d’ensemble des éléments suivants :

  • Tous vos logiciels, outils, et applications ainsi que le but de leur utilisation
  • L’ensemble des employés ayant accès à des données personnelles de tout type (documents physiques ou données en ligne)

Déterminez quels membres de vos équipes ont « besoin » d’avoir accès à ces outils et données en fonction de leur rôle. Envisagez de limiter l’accès pour toute personne n’ayant pas un « besoin » absolu afin de réduire le risque d’exposer des données.

RGPD

2-Recenser l’ensemble des traitements de données

Votre équipe traite probablement des données personnelles quotidiennement, en particulier sur votre site web. Que ce soit des données concernant des employés, clients ou prospects, ou des données résidant chez vos fournisseurs tiers, documentez toute opération pertinente que vous effectuez en marketing. Ensuite, détaillez la manière dont sont traitées les données en interne et en externe autour de ces quatre catégories :

  • Acheminement – Comment vos données sont-elles transférées au sein de votre entreprise et aux parties externes ?
  • Stockage – Comment et où vos données sont-elles stockées et sauvegardées ? L’aspect géographique est important dans le RGPD puisque tous les pays ne sont pas considérés comme appropriés pour le traitement des données personnelles.
  • Rétention – Combien de temps les données sont-elles gardées et pourquoi ? Si les données ne remplissent pas un objectif précis, elles devraient être supprimées.
  • Suppression – Comment les données sont-elles supprimées ? (Données en ligne et physiques)

Selon le RGPD, votre organisation doit être capable de respecter les droits de la personne concernée en modifiant leurs données personnelles pour plus d’exactitude, en les supprimant complétement (principe du « droit à l’oubli »), ou en les transférant à une autre entité suite à leur demande. En recensant l’ensemble de vos opérations et en sachant où est-ce que vos données résident, vous pouvez aider votre organisation à se préparer en vue du RGPD et répondre rapidement à ces différentes demandes.

Le RGPD affecte les entreprises situées au sein et en dehors de l’UE. Si votre organisation manipule les données de citoyens de l’UE, vous devez traiter et protéger ces données selon les règles du RGPD.

3-Communication du consentement

Par chance, le RGPD reconnait les bénéfices du marketing. Cependant, la loi sur la protection des données élève les standards concernant la communication du consentement. Vos clients et prospects ne peuvent plus décider de ne plus recevoir du contenu de votre part – ils doivent volontairement adhérer à toutes les communications, comme c’est déjà le cas au Canada avec l’Anti-Spam Law. En vertu du RGPD, le consentement devrait être donné de manière libre, spécifique, informée, et explicite. Autrement dit, le consentement des personnes doit être sans équivoque – que vous demandiez leur consentement dès leur arrivée sur votre site web, ou trouviez un autre moyen de demander leur consentement, cela doit être fait.

La manière dont vous comptez les contacter et traiter leurs données doit être présentée quelque part sur votre site web. Pour être conforme au RGPD, vous devez être capable de fournir des preuves démontrant que vos contacts ont donné leur consentement.

4-Créer un plan d’action en cas de violation de données

Selon le Breach Level Index, 10,5 millions d’enregistrements de données ont été compromis durant la première moitié de l’année 2017 seulement – et 74% impliquent des vols des données d’identité de clients ou employés. Si jamais des données personnelles que vous traitées sont exposées, perdues, ou modifiées de manière incorrecte, le RGPD exige de votre organisation qu’elle notifie les autorités sous 72 heures. Le département IT peut s’occuper de l’aspect technique de la violation, mais il est important que le marketing sache comment l’appréhender pour deux raisons :

1. Vous simplifiez la tâche de l’IT en recensant l’ensemble de vos traitements de données

2. Vous avez une image publique à protéger.

Avec le soutien de vos départements IT et juridiques, élaborez un plan d’action définissant la manière dont vous alerterez les autorités et les personnes concernées par la violation des données. N’attendez pas qu’un client, prospect, ou employé soit inévitablement contrarié – soyez proactif et transparent sur le sujet, et commencez à rétablir leur confiance dès le début.

RGPD

 

Pour conclure

Compliqué ? Heureusement, la CNIL a mis en place une checklist en 6 étapes et 3 guides de bonnes pratiques pour se préparer à l’arrivée du nouveau règlement.

Enfin, comme nous vous l’indiquions en fin d’année dernière, si le RGPD implique certaines contraintes, il est aussi une opportunité pour l’UX.

En accompagnant les services juridiques, marketing et informatiques, nous pouvons transformer cette contrainte en force par des choix d’UX qui mettent en avant la confiance que peuvent avoir les visiteurs dans le sérieux, la compréhension et la fiabilité de la collecte et du traitement de données sur les sites et les applications !

RGPD-CNIL