Qu'est-ce que tout bon professionnel du marketing et de la communication doit savoir sur le nouveau Règlement Général pour la Protection des Données (RGPD) ? Les informations ne manquent pas sur ce sujet brûlant, mais s'y retrouver dans ce torrent d'informations et de terminologie juridique est une autre paire de manches.
Pas de panique ! Après avoir lu cet article, vous saurez tout ce qui est réellement important pour vous dans le RGPD, comprendrez les principaux termes juridiques et saurez exactement quoi faire pour bien vous préparer.
Allons-y :
De quoi traite le RGPD ?
Le RGPD (Règlement Général pour la Protection des Données) entrera en vigueur dans tous les États membres de l'UE en mai 2018. Ce règlement vise à harmoniser les lois et pratiques sur la protection des données à l'échelle européenne, et mieux protéger la vie privée des citoyens de l'UE.
Ce règlement concerne toutes les organisations qui collectent, stockent et traitent des données à caractère personnel, qu'elles soient une grande entreprise côtée en bourse, une association, une organisation publique ou une PME. Presque toutes les organisations tiennent une fichier de données personnelles (comme les listes de clients ou de membres), ce qui rend l'étendue du règlement très large.
Le RGPD doit être pris au sérieux car les violations de celui-ci peuvent entraîner des sanctions financières allant jusqu'à 20 millions d'euros, ou 4% du revenu de l'organisation sur l'année précédente. Le montant le plus élevé sera celui appliqué pour l'amende.
Le règlement entrera en vigueur le 25 mai 2018. À noter qu'il s'appliquera aussi aux entreprises basées hors de l'UE mais qui stockent ou traitent des données à caractère personnel de citoyens de l'UE.
Les principaux termes du RGPD
Avant de plonger plus en détail dans le contenu du règlement, définissons quelques termes importants (Source CNIL) :
Donnée à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable. Une information peut être un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou tout élément propre à l'identité d'une personne.
Fichier de données à caractère personnel : Un ensemble structuré de données à caractère personnel accessibles selon des critères déterminés.
Responsable du traitement : Une personne physique ou morale, autorité publique, service ou autre organisme qui détermine les finalités et les moyens du traitement des données.
Sous-traitant : Une personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Sujet : Personne figurant dans le fichier et qui peut être identifiée.
Consentement : L'accord par lequel la personne concernée accepte la collecte et le traitement de ses données à caractère personnel.
Le RGPD amène des droits, obligations et responsabilités
Avec la mise en application du RGPD, les droits des personnes dont les données figurent dans des fichiers seront renforcés. Par là même, les obligations et responsabilités des responsables des données grandiront. Le règlement permet aux sujets des données de réclamer des informations sur leurs données personnelles et l'usage que les organisations en font. Ils ont aussi le droit de demander le transfert et l'effacement de leurs données à caractère personnel, ainsi que de s'opposer à leur traitement et utilisation.
Le responsable du traitement doit s'assurer d'être en mesure de délivrer les données exigées au sujet, et de se conformer aux demandes de suppression des données. Le responsable du traitement doit aussi être en mesure de prouver qu'il dispose de motifs légitimes pour collecter et traiter des données à caractère personnel. En traitant des données à caractère personnel, le responsable du traitement doit aussi se conformer aux principes de l'article 5.
Expliquons maintenant les deux éléments clés du nouveau règlement que sont le privacy by design et privacy by default. Privacy by design signifie que toute organisation a pour obligation de tenir compte des questions de sécurité des données dès la conception de systèmes, services et procédés s'ils sont liés de quelque manière que ce soit au traitement de données à caractère personnel. Le privacy by default implique quant à lui que toute organisation traitant des données à caractère personnel garantisse un niveau de sécurité maximal à l'égard de ces données.
Le RGPD vise à apporter plus de transparence et de sécurité au processus de collecte et de traitement de données à caractère personnel. Auparavant, une personne lambda devait faire des pieds et des mains pour faire reconnaître un usage abusif de ses données privées. Maintenant les responsables du traitement des fichiers de données personnelles doivent garantir et pouvoir démontrer qu'ils agissent en conformité avec les régulations de sécurité des données, et qu'ils maintiennent un haut niveau de sécurité pour celles-ci.
Check-list RGPD : Voici comment vous préparer pour les régulations sur la sécurité des données
1. Connaître votre rôle – êtes-vous un responsable du traitement des données ou un sous-traitant ?
Vérifiez quel rôle votre organisation joue dans le traitement des données à caractère personnel : êtes-vous un responsable du traitement des données, un sous-traitant ou même les deux ?
2. Vérifiez votre légitimité à traiter des données personnelles
- Réalisez une représentation des données que collecte votre organisation, comment elles sont traitées, et dans quels systèmes elles sont localisées. N'oubliez pas tout traitement de données que vous avez sous-traité.
- Assurez-vous de traiter les données personnelles en respectant les principes énoncés dans le RGPD, et actualisez vos pratiques si nécessaire. Vérifiez qu'il soit facile d'appliquer ces pratiques dans tous vos systèmes où sont traitées des données (votre outil d'email marketing par exemple).
- Assurez-vous aussi que les personnes figurant dans vos fichiers vous ont donné leur consentement pour collecter leurs données personnelles, où que vous disposez de motifs légitimes pour traiter ces données.
- Si vous n'avez pas le droit, au sens juridique du terme, de traiter les données personnelles que vous stockez dans vos fichiez, réfléchissez à une façon d'obtenir les consentements. Soyez prêts à revoir vos pratiques et éventuellement à renoncer à certaines données si vous n'êtes pas sûr de votre droit à les utiliser. À noter que pour beaucoup de pays de l'UE, les textes de lois venant compléter et amplifier le RGPD ne sont pas encore prêts.
3. Pensez aux droits des sujets des données
- Tenez-vous à disposition des personnes qui vous demanderont de leur envoyer les informations sur leurs données personnelles et leur stockage au format électronique. Ces informations doivent être fournies de manière concise et facilement compréhensible.
- Le sujet des données doit pouvoir transférer ses données personnelles ou les effacer intégralement du fichier.
- Si le fichier de données à caractère personnel est stocké hors de l'UE, assurez-vous que les sujets ont donné leur consentement pour que leurs données soient transférées hors de l'UE.
4. Veillez à la sécurité des données
- Vérifiez que les données personnelles que vous stockez soient en sécurité, et évaluez les risques liés à toutes menaces potentielles. Créez un document recensant les mesures de sécurité des données entreprises par votre organisation, dans lequel vous répondrez au minimum aux questions suivantes : comment les données personnelles sont-elles traitées et pour quels motifs, comment la sécurité des données est assurée, quelles mesures sont prises en cas de piratage et quelle personne est responsable du traitement des données dans l'organisation.
- Voyez avec vos prestataires de systèmes s'ils sont préparés à d'éventuels problèmes de sécurité. Demandez-leur de vous fournir un document écrit que vous pourrez garder pour une utilisation ultérieure.
5. Mettez à jour vos Politiques de Confidentialité et Conditions Générales
- Vérifiez que vous disposez d'une Politique de Confidentialité pour tous vos fichiers de données, et que ces documents sont facilement accessibles.
- Ajoutez les pratiques de votre organisation en termes de sécurité des données dans vos Conditions Générales. Vérifiez la situation de vos contrats avec vos clients, prestataires de services, sous-traitants et fournisseurs de systèmes. N'oubliez pas qu'un sous-traitant ne peut pas traiter de données à caractère personnel sans accord écrit (ou autre document juridique) avec le responsable du traitement des données. Cet accord doit inclure toutes les informations mentionnées dans l'article 28 du RGPD.
- Le contenu des accords sur les utilisations et traitement de données à caractère personnel doit être conforme avec les lois sur la sécurité des données du pays en question. En utilisant des accords distincts pour la sécurité des données vous garantirez que tous les partis prenants sont à la hauteur des obligations et responsabilités qu'amènent le nouveau règlement.
6. Nommez un DPO (Data Protection Officer)
Un Data Protection Officer doit être nommé dans les organisations du secteur public et les entreprises de plus de 250 employés. Cet employé doit aussi être nommé si les opérations d'une entreprise incluent le traitement de données personnelles sensibles, ou des fichiers de données personnelles de grande taille.
7. Formez vos équipes
Offrez une formation pour les personnes de vos équipes qui traitent des données à caractère personnel afin qu'elles soient toutes au courant des changements qu'amène ce nouveau règlement.
En savoir plus à ce sujet
Quel est l'impact du RGPD sur les activités d'email marketing et de marketing automation ? Rencontrez nos experts du marketing digital et nous vous expliquerons comment préparer votre organisation au mieux pour le RGPD.
Cet article a été publié le 28 Novembre 2017.
Le contenu de cet article n'a pas valeur de conseil juridique.