La CNIL a formalise les bons réflexes à avoir face au GDPR. Pour mémoire, le « General Data Protection Regulation » (ou RGPD en français) est aujourd’hui la référence en terme de protection des données.
En effet, le règlement formalise les obligations des entreprises qui collectent et traitent les données personnelles. Ces règles s’appliquent, que l’organisation utilise ces données pour elle-même ou pour le compte d’autres sociétés (cas des prestataires et des sous-traitants). Le but est de protéger activement les informations qui concernent les citoyens Européens.
Voici donc quelques bonnes pratiques que l’on peut vous conseiller. Elles viennent de la CNIL bien sûr, mais je me suis permis de compléter cette liste!
Règle #1 : Posez-vous la question de l’utilité des données
C’est la règle de base à respecter! Demandez-vous à quoi vous servent ces données. A demi-mot, il faut essayer de collecter le moins d’information possible. Mais à l’inverse, si vous récupérez une information, assurez-vous d’en faire quelque chose!
Il faut donc vous demander ce que vous allez en faire. Avez- vous le droit de collecter telle ou telle information? Les personnes doivent-elles donner leur accord?
Au passage, je ne saurai que trop vous interroger sur la pertinence de l’information et la data quality. En effet, il serait encore pire de collecter une donnée potentiellement litigieuse et ne rien en faire parce que, au final, elle n’est pas correcte!
Règle #2 : Communiquez sur le GDPR
Pour éviter les surprises, il vaut mieux jouer la transparence! Maintenant que tout le monde est plus ou moins sensibilisé à la GDPR, si vous n’en parlez pas vous risquez d’éveiller la méfiance à votre égard.
Il vaut donc mieux prévenir vos clients, utilisateurs et/ou visiteurs de façon claire et précise.
Il faut notamment bien penser à mettre à jour vos conditions générales ainsi que vos applications ou sites internet. N’oubliez donc pas de remettre à jour vos formulaires de contacts.
Pour être honnête, je ne suis pas du tout convaincu que ce soit vraiment une protection pour les internautes et clients… Après-tout, vous avez sans doute vu sur de très nombreux sites des pop-up pour demander votre accord… Ces fenêtres vous indiquent que vous êtes « surveillé » par des cookies indiscrets. Finalement, si vous êtes comme moi… vous devez accepter sans même vérifier… Suis-je protégé? pas trop, mais au moins je ne peux pas me plaindre de ne pas être informé.
Règle #3 : plus que jamais, écoute et respect
Le GDPR donne à tout à chacun la possibilité de vous interroger pour consulter les données personnelles dont vous disposez.
Il faut donc que vous acceptiez et surtout que vous vous organisiez pour répondre au plus tôt aux sollicitations de vos clients, prospects, utilisateurs ou n’importe quel interlocuteur…
Ces derniers peuvent en effet vous demander ce que vous faites de leurs données, mais surtout vous demander de les modifier ou de les supprimer.
Alors bien sûr… vous pouvez voir ça comme une contrainte. Mais c’est peut-être aussi une façon d’interagir avec votre base et donc d’améliorer votre relation client. Après tout vous pouvez justement vous démarquer et mieux servir aussi sur le terrain du respect des données personnelles!
Règle #4 : mettre sous contrôle ses traitements des données
Le GDPR oblige à s’assurer d’une maîtrise compète de sa chaîne de traitement des données.
Dès lors, il devient indispensable de formaliser, documenter et tracer les processus qui manipulent et exploitent les données. Ainsi on pourra justement répondre aux éventuelles sollicitations des interlocuteurs… mais aussi à celles du législateur.
En effet, les pénalités sont conséquentes! Jusqu’à 2% du Chiffre d’Affaires annuel. Ça fait très très mal!
Règle # 5 : Assurez la Sécurité des données
Ces un élément qui est important dans l’absolu, mais qui le devient encore plus dans le contexte GDPR.
Vos données ont de la valeur, il faut donc les protéger. Mais avec le GDPR, cela devient vital. Non seulement à cause des pénalités (voir plus haut), mais aussi à cause du préjudice d’image que cela peut apporter.
En effet, il est fréquent de voir des entreprises faire la une parce que des données leur ont été dérobées. Easyjet est le dernier en date. Des hackers auraient dérobé à la compagnie aérienne, les données de 9 millions de clients.
C’est donc grave en soi! Mais avec le GDPR il y a en plus un risque de pénalités. Aussi, il faut revoir les procédures et les standards de sécurité. Aussi bien physiques que digitaux. Le but là encore c’est la maîtrise des risques liés à l’exploitation des données personnelles.
Alors le GDPR… c’est impossible?
On le voit, les contraintes du RGPD sont fortes. Mais dans le même temps, il faut aussi adopter des gestes simples et des bonnes pratiques.
Bien sûr, certaines actions peuvent sembler contraignantes et difficiles à mettre en oeuvre. Mais il me semble aussi, surtout qu’en cas de contrôle du législateur, que ce qui comptera c’est de démontrer que le sujet est traité.
Dès lors, il faut pouvoir montrer que l’organisation est consciente de sa responsabilité et qu’elle a engagé des actions. Ce ne sera sans doute pas suffisant, mais ce sera un bon début.
Les sujets qui m’intéressent le plus sont Data, Organisation et Temps Réel !
N’hésitez pas à me faire un retour sur cet article ou à me contacter sur LinkedIn pour partager nos actualités!
Andrea