RGPD : Comment éviter les sanctions ?

RGPD : Comment éviter les sanctions ?

Votre activité professionnelle (privée ou publique) traite régulièrement des données personnelles ? Alors il y a de fortes chances que, comme 78% des PME et TPE interrogés vous ne soyez pas en conformité avec le nouveau Règlement Général sur la Protection des Données (RGPD), qui entrera en vigueur dès le 25 Mai 2018 (selon une étude Oxatis).

Ce que vous risquez

En gestation depuis 2016, son approbation s’est accélérée suite au scandale Facebook « Cambridge Analytica« , société accusée d’avoir influencé l’opinion des électeurs américains en exploitant leurs données personnelles. Impossible de savoir si une telle affaire aurait pu avoir lieu en France, mais la Commission Nationale Informatique et Libertés (CNIL) ne veut pas prendre de risque :

  • Jusqu’à 5 ans de prison et 300 000 euros d’amendes.
  • Mise en demeure de l’entreprise.
  • Sanction financière (jusqu’à 4% du chiffre d’affaire de votre entreprise).
  • Bloquage temporaire ou définitif du traitement des données.
  • Avertissements.
  • Etc.

Les sanctions ne seront pas uniquement du fait de la CNIL, mais de toutes les autorités de protection existantes qui disposent désormais du droit à un recours collectif en cas de transgression. Ces contrôles peuvent avoir lieu dans l’entreprise, sur convocation (dans ce cas le responsables est prévenu huit jours à l’avance) ou à distance.

La CNIL, consciente des contraintes d’une mise en conformité, procèdera au « cas par cas » et l’application des sanctions concernera les fautes les plus graves dans un premier temps.

Maintenant que vous êtes au courant des risques, voyons ce que cette réglementation change pour vous et comment vous y adapter.

Les grands principes

L’on nomme « donnée » tout ce qui peut être collecté, enregistré, stocké, transmis, bloqué ou effacé, et permettant d’identifier une personne physique ou morale. La première étape consiste alors à renforcer l’information et la transparence sur l’usage que votre société fait de cette donnée :

  • Informer clairement l’utilisateur « pourquoi et de quelles façons » ses données vont être utilisées.
  • Donner aux utilisateurs le pouvoir d’accepter ou de refuser le consentement.
  • Permettre aux utilisateurs de récupérer le contrôle de toutes leurs données.

D’une manière plus générale, toutes les entreprises sont désormais dans l’obligation d’engager ou de former un personnel à la protection des données (le DPD pour Délégués à la Protection des Données), garant de la bonne conformité de votre entreprise.

Les changements pour les e-commerçants

Premiers à se retrouver sous les projecteurs de la CNIL, les sites marchands sont amenés à traiter plusieurs milliers de données sensibles chaque année.

Pour éviter la violation de données trop importantes, plusieurs mesures s’imposent :

  • Ne recueillez que le strict minimum : faites le tri dans les informations qui vous sont indispensables, ne demandez pas l’âge de votre client si cela ne vous est pas utile.
  • L’archivage de la donnée est proscrit (sauf cas contraire défini par la loi) : supprimez toutes les données devenues inutiles pour votre activité.
  • Toutes les données collectées doivent être protégées par votre entreprise et répertoriée dans un « Registre des traitements », régulièrement tenu à jour et éprouvé contre tout risque d’intrusion. En cas de violation, vous avez 72 heures pour avertir la CNIL.

En parallèle, les mots de passe devront faire au minimum 12 caractères et comporter :

  • Un chiffre.
  • Un caractère spécial.
  • Une majuscule.

Ces mesures signifient par exemple que vos emailings doivent d’abord faire l’objet d’un consentement de la part de votre client. Il ne sera plus possible de recourir aux cases pré-cochées pour obtenir son approbation, de plus, vous devrez effacer ses données s’il en fait la demande.

Vers la mort du Marketing digital ?

Dépendant de l’analyse de la donnée utilisateurs pour construire un plan marketing cohérent, vos campagnes marketing pourraient souffrir de la RGPD dans un premier temps. Cependant, vous aurez toujours l’autorisation de procéder à un certain profilage des utilisateurs, tant que les données collectées n’échappent pas à la nouvelle réglementation.

Un exemple concret : les cookies. Ceux-ci ont l’obligation  d’être indiqués par un bandeau, permettant à l’utilisateur d’accorder ou de refuser son consentement.

Nous vous accompagnons dans votre transition.

Que ce soit par manque de temps, de connaissance ou de moyens, beaucoup voient dans la RGPD une contrainte de plus. Cependant, nous vous conseillons d’y voir une opportunité pour votre entreprise de s’améliorer et de faire peau neuve, en commençant pas un nettoyage interne de toutes vos données inutiles et encombrantes.

Le site de la CNIL propose ainsi des modèles types à télécharger, et certaines formations existent déjà pour vous accompagner dans cette transition.

Enfin, voyez y un avantage commercial : les données ainsi sécurisées favoriseront la confiance et la fidélisation de votre clientèle, réduisant ainsi les risques de rebonds.

Chez Digitalcube, nos équipes sont déjà formées à la nouvelle réglementation. En cas d’incertitudes, n’hésitez pas à nous contacter via notre formulaire, nous sommes prêts à travailler avec vous !

 

Attention :

Notre article est une libre interprétation de la nouvelle règlementation, dans le but de vous apporter les clefs pour éviter les sanctions d’une faille de conformité. Les informations contenues dans cet article ne se substituent en aucun cas à un avis juridique ou législatif.

Ecrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>