Le RGPD est là ou presque mais vous n’avez toujours pas osé vous attaquer au dossier ? Voici quelques chantiers à prioriser pour vous mettre en conformité dans les plus brefs délais. Suivez le guide…
Pour beaucoup d’entreprises, le RGPD (Règlement Général sur la Protection des Données) ressemble encore à un épais dossier qui traine sur le coin du bureau et dont l’ouverture est repoussée de semaine en semaine… Et pourtant, le temps presse : le 25 mai 2018, le RGPD entrera bel et bien en action.
Avec lui, la gestion des données personnelles passe du régime de la déclaration à celui de la responsabilisation et du contrôle. Et gare à ceux qui, justement, ne prendront pas leurs responsabilités… Les amendes prévues sont lourdes : de 10 à 20 millions d’euros ou 2 à 4% du chiffre d’affaires mondial, selon les manquements. D’où quelques questions légitimes : comment profiter des semaines à venir pour se conformer au RGPD ? Et, surtout, par où commencer ? Petit guide de survie à l’intention des retardataires…
#1 Évaluez les risques
Même en étant pressé par le temps, vous ne pouvez pas échapper à ce travail fastidieux. Objectif : établir une véritable cartographie des risques et un mapping précis entre les traitements opérés et les solutions impliquées. Pour y parvenir,listez les données personnelles que vous exploitez et analysez chaque étape de leur cycle de vie sous l’angle de la sécurité.
Quelle est la nature de ces données ?
À quelles finalités sont-elles associées ?
Où ces informations sont-elles stockées?
Leur accès est-il sécurisé, par exemple via une authentification à double facteur ?
Leur contenu est-il protégé, par exemple via du chiffrement ?
Des sous-traitants accèdent-ils à ces données ? À quelles fins ? Dans quelles conditions ?
Les opérations réalisées sur ces informations sont-elles bien historisées ?
Les procédures relatives à ces informations sont-elles documentées ?
Ces questions sont loin d’être superflues… Le RGPD demande aux organisations d’inscrire la protection des données personnelles dans leur mode de fonctionnement et de conception – d’où la notion de « Privacy by default » ou de « Privacy by design ». Autre impératif, être en mesure de rendre compte (notion « d’Accountability ») des mesures prises et des actions menées au quotidien. Fastidieux – on vous avait prévenu – mais indispensable.
Une donnée à caractère personnel c’est quoi ?
Selon le RGPD, il s’agit de toute information relative à une personne physique identifiable, directement ou indirectement, par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Autrement dit, un cookie est bien une donnée à caractère personnel puisqu’il permet indirectement une identification. Conséquence concrète : avec la RGPD, les cookies ne peuvent être activés qu’en obtenant l’accord explicite de l’utilisateur une fois celui-ci informé de la finalité du service.
#2 Faites le ménage et minimisez les données
Une bonne manière de conformer ses pratiques au RGPD consiste à s’imposer de collecter les données à hauteur des usages. En clair, il s’agit de recueillir uniquement les données indispensables au fonctionnement des services. Pourquoi demander des informations concernant la profession ou le nombre de personnes composant le foyer si, in fine, ces données ne contribuent pas au service rendu ? Dans l’esprit du RGPD, une collecte excessive occasionne une prise de risques (pour ces données) inutile.
N’ayons pas peur des mots, équilibrer la collecte au regard des usages passe par la mise en place d’une gouvernance des données. Une gouvernance qui sera d’autant plus aisée, de la définition des principes à leur application, si les données sont centralisées au sein d’une Customer Data Platform (CDP) et non essaimées dans de multiples bases et applications.
D’où l’importance du travail d’analyse évoqué précédemment. Mais ne vous contentez pas de documenter l’existant : profitez-en pour lancer un grand ménage de printemps dans vos données. Faites vôtre le principe de « minimisation » des données collectées prôné par le RGPD.
#3 Remettez à plat les modalités d’obtention des consentements
Vous avez sans doute commencé à recevoir dans votre boite mail ce type de messages : « Bonjour, êtes-vous toujours intéressé(e) par nos informations ? Si oui, pour ne rien manquer, merci de confirmer votre intérêt. En cliquant ci-dessous, vous continuerez à recevoir chaque semaine, etc. » Ces mails vont se multiplier dans les semaines à venir. Pour une raison simple : le RGPD impose une collecte licite, loyale et transparente.
En clair, chaque donnée doit être obtenue en échange d’un service clairement défini et présenté. Précision importante : pour être considérée comme un consentement, la communication d’informations personnelles ne peut être conditionnée au bon fonctionnement d’un service – dans ce cas le consentement ne serait plus libre mais contraint.
Vous l’aurez compris, le RGPD signe clairement la mort du « soft opt-in » et autres « opt-in passif ». Plus question à l’ouverture d’un compte sur un service de pré-cocher à la place de l’utilisateur un abonnement à une newsletter d’information. À chaque finalité, son consentement ; à chaque consentement, les données strictement requises. Voilà pourquoi de nombreuses opérations de « reconfirmation » – à l’instar du message évoqué ci-dessus – sont en cours pour conformer les consentements au RGPD et nettoyer les bases de contacts en conséquence.
Résultat, un travail de révision des formulaires s’impose. Puisque vous êtes lancé, ne vous arrêtez pas en si bon chemin : veillez aussi à mettre en ligne des formulaires donnant la possibilité aux intéressés de rectifier des informations les concernant, de demander un export de ces données ou encore de s’opposer à un traitement.
#4 Préparez-vous à une nouvelle gestion des cookies
Question légitime : et les cookies ? Sont-ils eux aussi soumis aux exigences du RGPD ? La réponse est « oui » mais les modalités d’application exactes sont encore en gestation au sein d’un autre règlement connu sous le nom « ePrivacy ». Si le RGPD concerne la protection générale des données personnelles, ePrivacy, qui s’appuie sur les notions clés du RGPD, se concentre pour sa part sur les communications électroniques.
Sans attendre que ce nouveau règlement se précise, il semble opportun d’abandonner la formule usuelle « En poursuivant votre navigation vous acceptez l’utilisation de cookies » pour une description bien plus étoffée et pédagogique des finalités de ces cookies. La mise en œuvre de cette nouvelle mécanique présente des défis techniques mais aussi organisationnels qui préoccupent à juste titre les équipes marketing en charge de la performance digitale.
Pour les entreprises qui doivent gérer de nombreux tags sur leurs plateformes web, la solution passe nécessairement par le recours à un TMS (Tag Management System) pensé pour la gestion des données personnelles.
#5 Ajustez votre organisation, sensibilisez les collaborateurs
Si l’évaluation des risques, la remise à plat des données utiles et des modalités d’obtention des consentements sont des étapes importantes vers la conformité au RGPD, elles ne sont pas suffisantes. Dans l’esprit du nouveau règlement, c’est en fait toute l’organisation qui doit veiller à la protection des données personnelles. Une implication qui passe par de nouveaux rôles. Le règlement prévoit ainsi plusieurs cas de figure pour lesquels un DPO (Data Protection Officer) s’impose. Pour faire court, vu les cas décrits, il semble incontournable pour des activités comme l’e-commerce de nommer un DPO.
Les missions du DPO ?
Destiné à remplacer le Correspondant Informatique et Libertés (CIL), le DPO se voit attribuer une mission de conseil, de coordination et de contrôle, puisqu’il lui revient notamment de
Conseiller et informer le responsable du traitement ;
Contrôler le respect du droit ;
Être un référent pour les autorités de contrôle.
Au-delà du DPO, c’est l’ensemble des collaborateurs qui doit désormais être sensibilisé aux risques pris par l’organisation en cas de gestion trop légère des données personnelles. Un effort à soutenir bien au-delà de l’échéance du 25 mai 2018.