
Faut-il aimer le RGPD ?
Le nouveau Règlement Général pour la Protection des Données entre en vigueur le 25 mai 2018 en France et en Europe. Pour en connaître toutes les implications pour votre entreprise vous pouvez aller sur le site de la CNIL, vous saurez tout en un clin d’œil et en vidéo. Chaque entreprise devient responsable des données personnelles qu’elle collecte et stocke au sein de son système d’information, de leur mode d’exploitation et de leur diffusion, notamment frauduleuse. Au moment même où le PDG de Facebook est sur la sellette devant le congrès américain et que les gouvernements cherchent à établir de nouvelles règles à l’économie digitale, quel est l’impact de ce règlement pour l’entreprise ? A-t-il des vertus cachées ? Faut-il aimer le RGPD ?
1. Comment mettre en place une politique de gestion des données personnelles ?
La tâche sera plus simple si vous débutez par la cartographie des différents espaces de collecte, de stockage et d’analyse des données personnelles que vous réalisez. Cela peut concerner la collecte de données sur de nouveaux prospects à partir de votre site web, le stockage et l’exploitation de ces données sur un CRM (en mode Cloud ou réseau local), les campagnes de mails que vous envoyez régulièrement, l’analyse des comportements de vos clients etc ….
C’est une nouvelle dimension à intégrer. Nous sommes entrés dans l’ère de la gestion industrielle des données massives (Big Data). De nouveaux processus de machine learning nous font entrer dans un nouveau monde, celui de l’analyse prédictive. Les publicités sont mieux ciblées, les clients reçoivent des offres de produits au moment où ils en ont besoin. La visite du commerce traditionnel s’enrichit maintenant d’une visite en ligne sur le site Ecommerce de la marque où les clients peuvent rester en contact à toute heure avec ses produits et ses services tout en lui offrant un profil comportemental. Toutes ces collectes et utilisation de données doivent maintenant obtenir un accord clair des utilisateurs (déjà réalisé par la fameuse alerte sur les Cookies des sites web) et leur permettre d’y avoir accès pour les contrôler et modifier.
Lire cet article de la CNIL résumant cette mise en place :
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
2. En quoi la gestion des données est-elle une opportunité pour les entreprises ?
Les données personnelles ainsi accumulées représentent à la fois une richesse et aussi maintenant une obligation supplémentaire consistant à garantir qu’elles ne seront ni altérées ni piratées. Cette mine d’informations est une opportunité pour les entreprises innovantes. Elles entrent dans une relation de confiance avec les personnes qui ont nécessairement donné leur accord pour l’utilisation de leurs données personnelles. Elles peuvent qualifier les besoins de leurs clients et même quelquefois redéfinir une orientation stratégique dans un monde digital où l’organisation agile fait la loi.
En exploitant les informations personnelles dont elles disposent, comme la géolocalisation par exemple, il est possible de proposer de nouveaux services ou de mettre en place une nouvelle offre de produits. L’analyse marketing devient toujours plus précise alors que les modèles économiques sont de plus en plus dans le flou des mutations. Bref, innover deviendrait presque une obligation pour assurer sa survie économique, tout simplement.
Lire cet article de l’usine nouvelle : https://www.usinenouvelle.com/editorial/le-rgpd-une-opportunite-plutot-qu-une-menace-pour-les-entreprises-europeennes.N666014
3. Que faire en cas de perte ou d’altération des données personnelles ?
Mieux vaut se préparer à un scénario de crise, car toute entreprise est confrontée à des formes plus ou moins graves de piratage. C’est inévitable et il vaut mieux s’en rendre compte rapidement pour pouvoir réagir et limiter les dégâts. Uber s’est fait subtiliser le profil de 57 millions d’abonnées en 2016.
Les nouvelles obligations réglementaires sont les suivantes : il faut signaler toute infraction dans les 72 heures à partir du moment où elle a été identifiée, auprès de la CNIL. En cas de manquement, les peines encourues sont proportionnelles aux dommages subis par les propriétaires des données personnelles. Certaines informations ont en effet un caractère plus confidentiel et sont dont plus sensibles que d’autres. Le montant maximal des pénalités s’élève à 10-20 millions d’euros selon la taille de l’entreprise, ou à 2-4 % du chiffre d’affaires mondial de l’entreprise. La sanction retenue est la plus lourde des deux.
Pour des précisions sur les formalités de cette déclaration à adresse à la CNIL : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles.
4. Quel est le rôle du DPO - Data protection officer ?
Toute entreprise doit désigner une personne responsable de la politique de gestion des données. C’est l’interlocuteur des différents services qui a une relation privilégiée avec les décideurs, auxquels il est tenu de rendre des comptes, et les sous-traitants dont la responsabilité est aussi engagée. Il a une connaissance de la nouvelle législation et peut être l’interlocuteur de la CNIL en cas de faille dans le système de sécurité.
Au quotidien, il doit veiller à ce que les droits d’accès aux différents logiciels et serveurs soient correctement attribués. En effet, les données personnelles sensibles ne doivent pas être accessibles à tout le monde. Des niveaux d’attribution de droits d’accès sont à orchestrer. Tout doit être répertorié dans un registre.
Il est notamment au fait des actualités de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Pour le rôle et l’embauche éventuelle d’un DPO voir https://www.lesechos.fr/idees-debats/cercle/cercle-181302-rgpd-avez-vous-toujours-besoin-dun-dpo-data-protection-officer-2167125.php