Le 25 mai, le règlement général sur la protection des données (ou RGPD) entrera en vigueur. De quoi s'agit-il ?
C'est le nouveau règlement du parlement européen et du Conseil de l'Union Européenne qui concerne toute entreprise qui utilise et recueille des données personnelles de clients mais aussi de salariés et de tout autre particulier. Globalement, le but de ce règlement est de sécuriser les données possédées par les entreprises, en donnant la possibilité à toute personne concernée de demander l'accès gratuit à ses données ainsi que leur suppression, et ce dans tous les pays européens. Il sera également possible de demander quel usage l'entreprise fait des données collectées.
Comment gérer cette transition ?
Il existe plusieurs solutions pour vous permettre d’œuvrer à la conformité de votre entreprise vis-à-vis de la RGPD. Vous pouvez déjà avoir recours à l'expertise d'un Délégué à la Protection des Données (ou DPD) qui veillera à cela. Il s'agit d'une obligation légale pour les organismes publics ou les entreprises réalisant dans le cadre de ses activités de base un suivi régulier et systématique à grande échelle des personnes ou bien un traitement à grande échelle des données dites « sensibles » (données raciales, ethniques, concernant des opinions politiques ou religieuses...) ou relatives à des condamnations pénales et à des infractions. Cependant, vous pouvez faire appel à un DPD, même si l'obligation ne vous concerne pas. Vous pouvez également créer un comité de pilotage, formé des membres du comité de Direction ou du Comité exécutif, qui supervisera dans chaque service les actions mises en place pour se conformer à ces nouvelles règles. Dans tous les cas, le service juridique de l'entreprise jouera un rôle important dans cette transition.
Adapter son système de base de données
La totalité les données personnelles d’un individu devra être facilement téléchargeable et transmissible, et les données devront être récupérables sous un format informatique exploitable.
Le logiciel de gestion de la relation client (ou CRM) doit donc permettre l'accès simultané à l'ensemble des données d'un client dans le cas où celui-ci demande la suppression ou la portabilité de celles-ci. Il faut donc vérifier que l'ensemble des données sera recueilli en respectant les indications du RGPD, c'est-à-dire sous réserve de l'accord de la personne concernée, et accessibles de manière décloisonnée et centralisée. Il est donc nécessaire de savoir où sont stockées les informations dans une entreprise et de quel type d'informations il s'agit : informations personnelles ou sensibles.
Quel impact sur la démarche commerciale de votre entreprise ?
Il conviendra de s'assurer du consentement explicite du prospect avant tout démarchage : En effet, d'après les nouvelles exigences du RGPD, il n'est possible de démarcher un client que si celui-ci a préalablement donné son accord, et ce uniquement pour le canal concerné : les lignes directes et les courriels étant considérés comme des données personnelles, un prospect ayant donné son accord pour être démarché par téléphone n'aura pas pour autant accepté de recevoir des SMS publicitaires, or l'obtention de cet accord sera désormais obligatoire.
Clarifier l'accès aux données
Afin de rendre accessible et identifiable la démarche à suivre pour exercer ses droits d'accès, de rectification, d'opposition, de droit à la portabilité et de retrait du consentement, il est conseillé de nommer le responsable du traitement des données sur un site web. La création d'une messagerie destinée à cette fonction ainsi qu’une procédure de réponse au droit d’accès vous permettra de faciliter le traitement des réclamations et les demandes des personnes concernées. Communiquez clairement quelles sont les modalités et les acteurs de ces procédures.
Profilage et cookies : attention à être en règle
Les cookies et traceurs d'un site web devront être signalés lors de la visite de la première page du site par un bandeau d'information obligatoire, tant que le visiteur n'aura pas cliqué sur un élément du site ou tant qu'il ne sera pas allé sur une seconde page du site, car son consentement ne devra pas être ambigu, mais explicite. Tant que ce consentement n'est pas obtenu, les traceurs ne seront pas utilisables (on ne pourra pas les stocker ou les lire). Il faudra également informer les internautes de la finalité des cookies, sauf si ceux-ci sont nécessaires à la fourniture d’un service expressément demandé par ceux-ci.
Droit à l'oubli et à l’effacement de l'intégralité des données
Une entreprise concernée par les exigences de la RGPD doit permettre aux particuliers concernés de procéder à une demande de suppression si ceux-ci ont la nationalité de l'un des États-membres de l'Union Européenne. Ce droit à l’oubli s’applique pour les emailing, les traitements automatisés, la prospection et tous autres moyens de contacts. Attention à bien mettre les données à jours en gardant les coordonnées du contact afin de s'assurer qu'il ne sera pas prospecté ultérieurement.