Big Data - RGPD, le compte à rebours pour se mettre en conformité - 26 septembre 2017

RGPD, le compte à rebours pour se mettre en conformité

RGPD Privacy

250 jours, c’est le temps qu’il vous reste pour vous mettre en conformité avec le règlement européen sur la protection des données (RGPD – Règlement Général sur la Protection des Données ou GDPR – General Data Privacy Regulation). Cela concerne toutes les données que vous collectez sur les individus, sur tous les supports. Le digital est en premier lieu un endroit privilégié pour collecter cette donnée sur vos consommateurs ou vos prospects. Petit reminder sur le sujet…

RGPD, un règlement qui s’applique à tous

La subtilité du langage européen est de savoir faire la nuance entre un règlement (qui s’applique à tous les pays de l’EU) et une circulaire (chacun pouvant disposer de la directive en fonction de sa législation). Toutes les entités juridiques (sociétés, associations et institutions) sont concernées par le sujet de la protection des données personnelles. Si vous collectez de quelques manières que ce soient des informations sur des individus, vous êtes dans le cadre de la GDPR. Bienvenue !

Formation Growth Hacking

C’est un sujet général pour tous

RGPD pricavySpontanément, on met le service juridique et la DSI dans la boucle. Et roule, ma poule. FAUX ! Il faut aussi intégrer votre service marketing et communication : premier contributeur à la collecte de la donnée sur vos consommateurs. Mais il faut également impliquer les ressources humaines : la collecte des données concerne aussi l’interne et les sélections des futurs candidats. Et cela va sans dire que votre département financier doit être de la partie. C’est au global au moins 5 entités clés qui sont impliqués dans les nouveaux processus de la RGPD.

Tous les niveaux hiérarchiques sont concernés. Le fait que vos managers connaissent la RGPD ne suffit pas. Il faut redéfinir les protocoles de travail de tous : du stagiaire au directeur général. Le sujet n’est pas un trend topics des comex et autres comités de direction, car à première vue, ce n’est pas très business. Idée fausse, parce que si vous n’êtes pas en conformité en 2018, le risque est important. C’est 4% de votre chiffre d’affaires mondial que vous mettez dans la balance (avec un plafond à 20M€). Le risque peut être majeur pour votre business model.

RGPD, consentement explicite

Dès que vous allez collecter une donnée sur un individu, vous devez avoir un consentement « explicite » et « positif ».

Consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.

Privacy-RGPDTout le sujet est là. Toutes vos collectes à partir de mai 2018 devront tenir compte de cet élément. Les données ne devront pas être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis. De plus, vous devrez veiller à ce que seules les données nécessaires à la finalité en cause, et seulement pour celles-ci, soient collectées.

Le droit à l’oubli devra être permis et signifié. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais de données à caractère personnel la concernant, et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17).

Le droit à la portabilité des données personnelles. En 2 mots, si un consommateur ou un client vous demande de transférer ses données vers une autre entité, vous devez vous plier à ses exigences. Par exemple, si vous voulez transférer votre historique d’achats Amazon vers CDiscount.com, cela sera possible.

Privacy by design

RGPD privacy by designIl s’agit des principes de « protection des données dès la conception – ou privacy by design» et de « sécurité par défaut ». Tous les outils de collecte interne à l’entreprise ou par l’intermédiaire d’un fournisseur devront intégrer dès la conception les éléments de sécurité de la donnée. Vous devrez également vous assurer que vos prestataires soient aussi bien protégés que vous. C’est un peu l’effet domino dans la « supplychain » sur le traitement de la donnée. Ici, c’est avant tout les contrats qu’il va falloir amender pour être sûr de ses fournisseurs. La DSI a un grand rôle dans le contrôle, mais aussi le service juridique dans les amendements sur les contrats. Quant au marketing, il devra être beaucoup plus vigilant sur les outils en mode SAAS, qu’il utilise souvent en version « Shadow IT ».

DPO or not ?

La nomination obligatoire d’un délégué à la protection des données (Data Protection Officer en anglais – DPO). Cela est valable surtout pour les organismes publics ou privés dont « les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées (article 37). Il doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l’autorité de contrôle. Tout le monde ne pourra pas avoir un DPO au sein de son organisation. C’est pour cela qu’il faut revoir les protocoles dès que possible pour être au plus proche du règlement européen.

RGPD, une occasion en or à saisir : Consumer ou client Centric

RGPD consumer centricLa mise en conformité RGPD est certainement un moment important pour votre transformation digitale. La finalité de la RGPD vous offre l’opportunité d’accélérer certaines transformations en mettant vos clients et vos futurs consommateurs au centre de vos problématiques de plus en plus digitales.

SI vous souhaitez approfondir le point, je vous renvoie vers ma carte heuristique qui reprend tous ces éléments, ainsi que ceux abordés par le règlement eprivacy, en cours d’élaboration à l’Europe. Ce dernier posant pas mal d’éléments contradictoires avec les pratiques du marché marketing et publicitaire, les choses devraient être plus claires en octobre 2017. En attendant, vous avez pas mal de points à revoir dans vos data collection.

Enregistrer