in

RGPD : plus que quelques mois pour être en règle

Après six ans de discussions, l’Europe va partager de nouvelles règles communes en matière de protection des données personnelles de ses citoyens. C’est le 25 mai prochain que ce règlement RGPD (règlement général sur la protection des données) entrera en vigueur; un challenge pour les entreprises qui doivent concilier protection de la vie privée des citoyens et innovation !

Les objectifs principaux du Règlement Général sur la Protection des Données sont l’harmonisation des principes de protection de données dans l’Union Européenne et un plus grand contrôle de la manière dont les données personnelles de chaque individu sont utilisées. José Rodriguez, directeur de la protection des données chez Cornerstone on demand, explique que l’influence de l’UE sur les autres continents est grande. « La politique européenne en matière de protection des données est la plus complète, la plus avancée et la plus cadrée au monde. C’est devenu une référence puisque l’on constate que certains de nos clients d’Asie / Pacifique demandent à suivre les mêmes règles que nous, même s’ils ne travaillent pas en relation avec l’UE » confie l’expert.

« Le terme de données personnelles est très large, donc à moins que ces données ne soient intégralement anonymisées, il est très probable qu’elles soient concernées par le RGPD à partir du moment où l’information permet, ou peut permettre, d’identifier un individu; que ce soit directement ou indirectement. L’objectif est de prendre en compte internet ainsi que la technologie cloud, qui ont généré de nouvelles façons d’exploiter les données, tout en favorisant la confiance des personnes dans l’économie numérique » explique Cécile Georges, Chief Privacy Officer d’ADP.

La vie privée s’applique dorénavant par défaut et dès la conception

Pour Alexiane Wyns, avocate au barreau de Bruxelles, il existe deux pôles à ce règlement : les obligations des entreprises et le droit des personnes. « Le RGPD s’inscrit dans une logique de la politique européenne à développer l’économie digitale tout en donnant de plus en plus confiance au consommateur ».

Parmi les droits des citoyens, on retrouve notamment :

  • le droit à l’information
  • le droit à l’oubli
  • le droit à la portabilité des données
  • le droit de rectification
  • l’obligation à la transparence dans les traitements automatisés 

Le Dr Thomas Gerbaud est data scientist et entrepreneur. Les droits cités plus hauts peuvent être détournés. Il est donc en train de développer une solution technique qui permettra de vérifier que la personne qui réclame l’un de ces droits est bien la bonne personne et non une autre personne mal intentionnée.

La vie privée s’applique dorénavant par défaut et dès la conception. La vie privée dès la conception (privacy by design) signifie qu’avant chaque projet d’entreprise, il faut se poser la question des données (sécurisation, accès, traitement, etc). La vie privée par défaut signifie, elle, que par défaut la vie privée doit être protégée. Il faudra par exemple cocher la case « j’accepte de communiquer mes données » et plus seulement donner son accord  implicitement comme cela était souvent le cas précédemment.

Avant le RGPD, les entreprises devaient faire des déclarations à la CNIL. Dorénavant, elles doivent prouver, pour chaque action,  leur conformité dans le domaine des données personnelles et le montrer aux autorités de contrôle européennes de manière documentée.

Selon Thomas Gerbaud, les entreprises auraient tout intérêt à repartir sur des bases saines en repensant complètement les câblages de leurs bases de données. « Même si c’est un investissement à court terme, ce sera beaucoup plus simple et plus pratique sur le long terme pour contrôler les accès selon les services, stocker seulement les données nécessaires, etc ». 

Nicolas Meric, CEO de Dreamquark rappelle les sanctions en cas de non conformité:

« Une entreprise peut se voir infliger, au maximum, une amende de 20 millions d’euros ou de 4 % de son chiffre d’affaires mondial – le montant le plus élevé sera retenu » 

L’occasion de passer d’un système piloté à un système unifié

Pour Nicolas Meric, le RGPD est une bonne occasion de passer d’un système piloté à un système unifié et ainsi devenir plus agile. « Une bonne politique de gestion des données clients ne peut être que bénéfique pour une entreprise. La perception des clients sera également positive – gagner la confiance des consommateurs est l’une des clés pour tout business » indique t-il.

Jérôme Lesaffre, chef de mission et consultant chez DPO Consulting voit également cette nouvelle réglementation comme un avantage concurrentiel, même s’il reconnaît que beaucoup d’entreprises la voit pour l’instant comme une contrainte. « Les données sont le nouveau patrimoine d’une entreprise, il me paraît donc important d’en prendre soin. Mieux les sauvegarder, les protéger et les sécuriser est essentiel car cela impacte tous les services : aussi bien la DSI, le SI, le légal, les RH, le marketing, le DPO ou les achats, etc. C’est un projet transversal avec un système de gouvernance tout au long de la vie de l’entreprise, plan d’actions précis, un comité de direction, un budget, des priorités et des groupes de travail. Ce n’est pas une question à prendre à la légère ».

José Rodriguez pense que les campagnes marketing seront plus qualitatives que quantitatives. En effet, les gens qui recevront les mailings seront ceux qui auront explicitement indiqués être intéressés. Il explique d’ailleurs que certaines entreprises ont carrément décidé d’arrêter les campagnes de mailings. C’est le cas de la société anglaise Wetherspoon qui a décidé d’effacer ses bases de données et a préféré se concentrer sur les réseaux sociaux et autres. Le RGPD permet donc parfois aux entreprises de remettre en question l’efficacité de certaines bases de données et de type de campagnes marketing.

Vous devrez nommer un délégué à la protection des données personnelles pour vous aider avec le RGPD. Cette disposition obligatoire pour les grandes entreprises technologiques et les organismes publics est fortement recommandée pour les autres. Le DPO exercera une mission d’information, de conseil et de contrôle en interne et permettra dans le même temps de faciliter les relations entre l’entreprise et le régulateur, en cas de litige.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.