Le RGPD est le sujet « chaud » du moment.
RGPD de quoi s’agit-il?
Il s’agit d’une volonté de protéger les utilisateurs par rapport à l’utilisation de leurs données. Pour forcer le respect de ces nouvelles règles établies par l’union européenne, l’Europe prévoit de lourdes amendes (de 2% à 4% du chiffre d’affaire et jusqu’à 20 million d’Euros) en cas de non respect. La date butoir de mise en conformité a été fixée au 25 mai 2018 mais beaucoup d’entreprises ne réalisent pas encore l’impact de cette mesures, et nombreuses seront celles qui ne seront pas prêtes au 25 mai.
Sommes nous concernés en Suisse?
Du moment où votre entreprise traite des données provenant de résidants de l’union européenne, vous êtes concernés. Pour en savoir plus:
- Consultez l’article sur le site de la confédération helvétique
- Consulter le règlement européen sur le site de la CNIL
Vous traitez des données ou commercez avec l’Europe
Dans ce cas votre entreprise est clairement concernée par la date du 25 mai 2018. Et si vous ne vous êtes pas mis en conformité à ce jour, il y a vraiment urgence. A noter que l’on entend par traitement pas uniquement la collecte des données mais également leur utilisation à des fins d’analyse comportementale.
Vous n’avez pas une activité tournée vers l’union européenne
Vous pourriez vous dire non concernés dans un premier temps mais comme la Suisse a tendance à adopter les règlements européens à moyenne échéance, nous vous recommandons fortement de vous mettre aux normes de ces nouvelles pratiques car vous devrez le faire à terme. Et vu que la Suisse a stratégiquement intérêt à devenir le coffre fort numérique du monde, il y a fort à parier qu’elle rejoingne le clan européen sous peu.
Les données de frontaliers
De nombreuses entreprises ont parmi leurs clients des frontaliers (assureurs, banques, commerces…). Parfois cette appartenance est claire, comme quand on souscrit à une assurance ou à une abonnement. En revanche c’est beaucoup moins clair quand on envoi des mailings. Si on le possède comme seul identifiant qu’un nom/prénom et un email, il n’est pas évident de savoir que la provenance de la personne est l’union européenne.
C’est la raison pour laquelle, même si vous pensez ne pas être concerné parce que votre activité commerciale n’est pas tournée vers l’europe, il est important que vous fassiez l’inspection des données que vous collectez afin de vous mettre en conformité le plus rapidement possible.
Quelles données et quelles pratiques sont dans le viseur?
Toute entreprise ou individu qui collecte des données ou traite des données à caractère personnel est concerné.
Par exemple si vous avez une mailing liste pour envoyer des newsletters à vos clients, un site de e-commerce avec des comptes utilisateurs, un site ou une application avec des profils comprenant des infos personnelles (un wordpress avec des personnes qui commentent sur votre site, une collecte de données sur la navigation des utilisateurs sur votre site) etc… vous êtes concerné.
Dès lors que vous avez un compte pour vos utilisateurs, avec identifiant et plus (nom, localisation, préférences…), vous êtes concerné. Idem pour les outils comme google analytics (ce dernier à d’ailleurs fait les mises à jour nécessaire et vous devez agir pour vous mettre en conformité).
Du moment où on peut identifier de manière directe ou indirecte une personne grâce aux données que récoltez et/ou traitez, vous êtes concerné.
Que faire?
Nommer un responsable et rédiger un règlement
Une gouvernance doit être établie. Vous devez rédiger un règlement qui respecte le RGPD et qui soit communiqué de manière clair en interne. Une personne doit être nommée responsable de cette gouvernance et s’assurer que tous les process de l’entreprise respectent bien ce RGPD.
Répertorier & documenter
Tous les traitements faits avec les données personnelles doivent être identifiés et répertoriés dans l’entreprise. C’est le responsable qui doit les centraliser. Il doit être en mesure de les fournir en cas de demande. Toute collecte de données devra passer par lui dans le futur afin qu’il s’assure du respect des règles et les ajoute au répertoire.
Aligner
Pour les process qui ne seraient pas en conformité avec le respect du RGPD, une mise en conformité doit être faite. Une évaluation des risques encourus doit être menée pour ceux qui ne peuvent pas encore être mis en conformité (cela ne dédouane pas des risques).
Communiquer
Une politique de confidentialité doit être mise en place sur chaque site et/ou application expliquant les données que vous collectez, pour quelle fin mais également comment les utilisateurs peuvent y accéder.
Obtenir le consentement
L’acceptation opt in (c’est à dire une acceptation préalable explicite) est obligatoire. Le opt’out ou opt’in passif n’est plus acceptable. Vous devrez être capable d’apporter la preuve du consentement de ces personnes et devez donc stocker leurs réponses (les principaux outils de mailings vous offrent ce service dans leurs dernières mises à jour).
Minimiser les données collectées
Vous devez limiter la collecte de données à ce qui est strictement pertinent pour votre utilisation. Par exemple pour contacter une personne par téléphone vous avez besoin de son téléphone mais ni son âge ni son adresse ne sont pertinents.
Droit de retrait et de consultation
Vous devez donner à toute personne la possibilité de se désabonner et d’effacer toutes ses informations personnelles. Elle doit être aussi en mesure de voir toutes les informations que vous collectez sur elle.
On risque quoi si on est pas conforme?
Si vous n’êtes pas en conformité d’ici la date fatidique, le couperet ne s’abattra pas sur vous directement. La priorité des administrations n’est pas de vous « sanctionner » mais de vous obliger à vous conformer. Les plaintes devront être examinées et vous disposerez d’un temps de mise en conformité et recevrez un avertissement. Lire le très bon article de Gabriel Avigdor sur le sujet > article qui explique très bien à quoi s’attendre.
De l’aide pour se mettre en conformité?
Nous pouvons vous aider à vous mettre en conformité si vous avez besoin de développements dans vos sites et/ou applications pour tenir compte de ces nouvelles obligations. Sachez que les principaux logiciels opensource (wordpress, prestashop…) sortent également des plugins qui vous permettent de modifier votre collecte d’information.
La soudaineté de ces mesures, qui donne suite aux divers scandales des GAFA sur la revente de données personnelles a surpris les entreprises. Beaucoup ne sont pas prêtes et peinent à réaliser l’urgence de la mise en conformité. Ce qui est intéressant aussi c’est de constater qu’en même temps que l’Europe resserre les règles, les états unis votent une loi permettant à leur administration d’accéder à n’importe quelle information – Cloud’act – possédées par les entreprises exerçant sur son territoire, rendant encore plus visible la vulnérabilité des données hébergées aux US, dans les cloud (adobe, dropbox, microsoft, apple…) et autres services en ligne made in USA.
De quoi sérieusement méditer sur le rôle de la Suisse et son intérêt à devenir un coffre fort de données mondial (safeplace). Ou comment passer du secret bancaire à la protection des données 😉
Nous mettons nos listes de mailing en conformité avec ces nouvelles règles. Si vous souhaitez vous inscrire pour recevoir nos newsletters, vous pouvez vous inscrire ici.