RGPD

RGPD

Données personnelles et RGPD : êtes-vous prêt ?

Données personnelles et RGPD

Au mois de Mai 2018, le RGPD (Règlement Général sur la Protection des Données) entrera en application dans les pays de l’Union européenne. Un texte préparé de longue date qui change beaucoup de choses pour les entreprises manipulant des données personnelles… autrement dit, virtuellement toutes les entreprises ! À la fois plus protectrice et plus lisible, cette nouvelle réglementation imposera des obligations nouvelles aux entreprises et en particulier à celles dont le big data fait partie du cœur de métier. Des changements qui impactent tant les annonceurs que les agences. Explications.

Les trois grands principes du RGPD

Privacy by design, accountability et responsabilité conjointe entre responsables de traitement et sous-traitants. Trois principes qui peuvent sembler un peu obscurs aux premiers abords, mais qui font pourtant partie des obligations nouvelles transformant la manière de gérer des données.

Privacy by design

Le terme design n’a, ici, rien à voir avec l’art ou l’illustration. Il signifie “dès la conception”. Privacy by design pourrait être traduit par une “protection pensée par défaut et dès la création de tout projet impliquant un traitement de données.” Au-delà du champ lexical, ce qui compte c’est d’adapter le cadre dans lequel les données sont collectées et utilisées. En effet, la protection des données à caractère personnel n’est pas une philosophie ou une simple valeur. C’est un principe érigé en règle. Chaque entreprise doit prouver qu’elle intègre la question de la protection et de la sécurisation des données dès la mise en place du traitement. C’est donc une contrainte qui permet de mieux en réguler le flux. Vous avez une nouvelle application mobile ? Une nouvelle stratégie d’emailing ? Des contenus à partager à votre communauté ? La question de la gestion des données doit entrer en ligne de compte au même titre que le webdesign, l’expérience utilisateur ou vos objectifs commerciaux.

Accountability

Ce principe est celui de la responsabilisation des personnes en charge d’un traitement de données à caractère personnelle. Chaque entreprise doit évaluer sa politique et la gestion des risques afférents afin de préparer les réponses adaptées. Que faire en cas d’attaques informatiques, de vols de données ou de piratage ? Comment vos données transitent dans vos services et qui peut y avoir accès ? Que faites-vous pour les protéger, en respectant la confidentialité, et en vous assurant que les demandes de suppression ou de modification sont bien implémentées ? Ce travail de responsabilisation commune et globale nécessite l’implication de toutes les parties prenantes de l’entreprise qui doivent être coordonnées par un pilote, chargé de mission ou représentant en la personne d’un délégué à la protection des données (souvent appelé « DPO » pour Data Privacy Officer). Impossible de se défausser sur des politiques internes ou des processus anciens. À partir du moment où vous mettez en oeuvre des traitements de données personnelles pour poursuivre un objectif précis (exemple : collecte de données pour une campagne d’emailing), vous êtes responsables et devez être en mesure de rendre compte auprès de la CNIL des mesures misent en oeuvre dans le cadre de la protection et sécurisation des données traitées.

Responsabilité conjointe entre responsables de traitement et sous-traitants

Alors que de nombreuses entreprises s’appuient sur des sous-traitants, des filiales ou des partenaires pour traiter des informations ou travailler avec leurs données, la dilution de la responsabilité empêchait toute prise de conscience et bonnes pratiques responsables. La mise en place du RGPD oblige les entreprises déléguant des tâches à des sous-traitants de s’assurer que ces derniers respectent bien les nouvelles règles. Les sous-traitants doivent ainsi se conformer aux nouvelles exigences du RGPD et prouver qu’ils traitent toutes les données externes de leurs clients de la même manière. Si une entreprise faillit à sa tâche, elle ne pourra pas se défausser sur son partenaire.

Bien former ses collaborateurs au RGPD

Parce qu’il touche tous les secteurs et tous les services de l’entreprise (marketing, communication, commercial, support client, ressources humaines, etc.), le RGPD nécessite une implémentation structurée en entreprise. Tout le monde doit y être sensibilisé : du commercial qui utilise un outil CRM pour prospecter, au marketing manager qui fait de l’inbound marketing, en passant par l’assistant RH qui recherche des nouveaux talents sur LinkedIn.

Cette sensibilisation passe notamment  par des sessions de formations adaptées. Tout le monde n’a pas besoin de connaitre tous les détails sur le RGPD. En revanche, tout le monde doit être conscient des impacts sur des cœurs de métiers spécifiques. La construction et la diffusion de formations, à distance ou en face à face, sont essentielles face à un tel sujet. Des formations qui doivent être régulièrement mises à jour et dont les connaissances doivent être vérifiées régulièrement. Là aussi, il est de la responsabilité de l’entreprise que ses employés connaissent les droits, devoirs et obligations prévus par le RGPD.

Conformité au RGPD : un label de confiance

Pour les entreprises, comme Kwanko, qui gèrent des millions de données et qui jouent le rôle d’intermédiaires et de facilitateurs avec les annonceurs, la conformité au RGPD est un gage de confiance. C’est un chantier qui a été très largement anticipé et qui a permis de transformer une contrainte légale en opportunité organisationnelle, pour optimiser et repenser la manière dont nous gérons des données pertinentes, utiles et à forte valeur ajoutée pour nos clients. Repenser une politique interne en ce sens est indispensable pour s’adapter au secteur du big data qui évolue très vite. Un secteur qui apporte de nouveaux gages de qualité et de confiance pour travailler toujours plus efficacement.

Se préparer au RGPD est un travail de fond qui peut prendre du temps. Or, à l’automne dernier, plusieurs études indiquaient qu’une majorité d’entreprises n’étaient ni prêtes ni conscientes de ces enjeux. D’où l’importance grandissante de sensibiliser à ces changements qui permettront à l’Union européenne de mieux s’adapter aux nouvelles réalités du numérique.

Et vous, êtes-vous prêt ?

en savoir plus