Cela fait des mois que vous entendez parler du Règlement Général pour la Protection des Données personnelles ( le RGPD ou GDPR en VO). Celui-ci a pour but de réguler les processus de collecte et exploitation de données, comme nous le détaillons dans cet article . Si vous hiberniez depuis décembre 2017, ou aviez “des tâches plus importantes à terminer”. Sachez que ce règlement entre officiellement en vigueur aujourd’hui, vendredi 25 mai 2018. Nous avons pensé à vous et rédigé cette petite liste (checklist en VO encore) qui vous permettra d’estimer si vous êtes en conformité, loin de l’être, ou carrément à la traîne.
L’état des lieux des données en votre possession
Le règlement a pour objectif de responsabiliser les entreprises et organismes qui traitent les données des citoyens européens (que ces organismes soient en Europe, USA, Afrique, Asie ou Océanie). Elles devront être transparentes sur le type de données collectées, ce qu’elles comptent en faire, et comment celles-ci ont été acquises. Adieu donc les achats de bases de données douteuses, sauf si vous souhaitez vous délester de 4% de votre chiffre d'affaires ou de 20 millions d'euros (comme nous le détaillons dans notre article dédié aux sanctions potentielles en cas de non respect du règlement).
1. Quelles données personnelles des internautes exploitez-vous ?
Avant de démarrer un quelconque chantier, vous devez cartographier les données personnelles des internautes que vous stockez, traitez, utilisez. Celles-ci sont aujourd’hui disséminées dans votre système d’informations.
- dans les bases de données que vous gérez (CRM, ERP, progiciels internes)
- dans les flux que vous échangez avec vos prestataires
- dans des fichiers .csv exportés par votre ancien prestataire….
Lorsque nous parlons de données personnelles, nous ne parlons évidemment pas seulement de données bancaires ou d’historiques de transaction. Celles-ci sont toutes les données que l’on peut rattacher à une personne :
- nom, prénom, email
- son profil Instagram
- l’adresse de son blog
- les pages de votre site qu’il a consultées….
Les données personnelles sont partout !
2. Différenciez ces données selon la méthode d’acquisition
Après avoir listé toutes les données que vous exploitez, vous devez les classer dans deux catégories :
- celles acquises suite à un consentement explicite (données déclaratives renseignées par l’internaute)
- celles que l’on pourrait catégoriser d’implicites ou comportementales, utiles pour votre marketing mais non renseignées par l’internaute (pages vues, produits achetés, cookies ...) Ces données peuvent avoir un intérêt légitime pour votre business, peuvent vous permettre de communiquer avec votre audience de manière intelligente et ciblée.
3. Catégorisez les données en fonction de leurs propriétés identifiables
- Les données telles que le NOM de famille, l’adresse postale sont des données DIRECTEMENT IDENTIFIABLES
- L’URL de votre blog, ou votre pseudo Instagram sont des données INDIRECTEMENT identifiables
- le Hashtag “#” que vous utilisez dans vos posts ne sont PAS IDENTIFIABLES (on ne peut pas remonter jusqu’à vous directement, ou indirectement).
4. Estimez enfin l’importance de chaque donnée (risque en cas de piratage).
Les données que vous exploitez (et donc les sécurités que vous devez mettre en place pour les protéger) n’ont pas la même importance, et vous pouvez les classer selon plusieurs niveaux :
- Risque important / donnée importante : adresse postale, coordonnées bancaires, email….
- Risque modéré / donnée d’importance moyenne : pseudo Twitter, Instagram …
- Risque faible ou nul / donnée peu importante : # de vos posts Instagram
Si votre activité requiert le traitement de données susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une DPIA (Data Protection Impact Assessment en anglais), ou analyse d’impact relative à la protection des données devra être réalisée. Vous pouvez, si c’est votre cas en apprendre davantage grâce à cet article de la CNIL.
5. Si les données sont importantes ou sensibles, il faut augmenter le niveau de sécurité de vos systèmes
Des données déclaratives importantes comme le nom, l’adresse, les coordonnées bancaires… doivent bénéficier d’une sécurité plus importante que les autres types de données. Il peut par exemple être intéressant d’à minima faire confiance à des solutions sécurisées, qui ne permettent pas de dumper (exporter massivement) les données.
Selon l’article 9 du règlement, si vous exploitez des données sensibles comme celles-ci :
- Origine raciale ou ethnique ;
- Opinions politiques ;
- Les croyances religieuses ou philosophiques ;
- L’adhésion à un syndicat ;
- Données génétiques, et
- Données biométriques (lorsqu’elles sont traitées dans le but d’identifier une personne);
Vous devrez mettre en place des procédures encore plus drastiques : pseudonymisation et/ou cryptage, effacement automatique après 30 ou 90 jours …
6. Déterminez la nature du consentement
Les données que vous avez recueillies l’ont-elles été via un consentement révocable ?
- présentiez-vous clairement à vos internautes ce que vous comptiez faire de leur données (dans vos formulaires, ou vos mentions légales) ?
- leur indiquiez-vous qu’ils pouvaient à tout moment se désinscrire ou demander à ce que vous supprimiez leurs données ?
Si ce n'est pas le cas, il faudra songer à le mettre en place.
7. Dressez une liste des organismes, prestataires qui traitent vos données
Faire l’inventaire des différentes données que vous traitez, et les méthodes avec lesquelles vous les sécurisez est bien entendu important. Il est également nécessaire de lister les organismes tiers qui manipulent vos données, ainsi que les données auxquelles ils ont accès.
Vous aurez beau mettre la meilleure des sécurités chez vous, si vos prestataires ne le font pas, vos efforts seront inutiles.
8. Faites l’inventaire de vos ressources technologiques
Au delà de vos prestataires, et des solutions que vous pourriez déjà utiliser en SaaS (Software As A Service, ou Cloud), vous êtes peut-être une grosse entreprise et possédez des serveurs dans vos locaux, ou au sein d’une Datawarehouse (ferme de serveurs).
Dans ce cas-là, vous devez également (et encore une fois) lister vos serveurs, les technologies qu’ils utilisent, les données qu’ils hébergent, le niveau de protection installé et l’éventuel paramétrage d’une duplication de données. Vous devrez également prendre en compte le risque de piratage (attaque DDOS, accès non autorisés, copie de données…).
Maintenant que vous avez cartographié tout votre écosystème, passons aux actions à mettre en place.
Ce que vous devrez mettre en place
Après avoir rassemblé les équipes techniques, juridiques et marketing pour réaliser votre audit de données, vous devrez adapter vos procédés de captation de prospects, d’inscription aux newsletters, mais surtout communiquer sur ce que vous comptez réellement faire des données de vos chers concitoyens, et internautes.
1. Repensez vos méthodes de collecte de données
Ne collectez que les données dont vous avez réellement besoin (si vous avez besoin d’informations standards du profil Facebook de vos usagers pour personnaliser une application mobile, faites en sorte de ne pas stocker ses publications).
- Lorsque vous proposez la création d’un compte client en utilisant un compte Facebook, Google, Microsoft, précisez bien les données auxquelles votre site aura accès, et comment vous les exploiterez lorsque l’internaute renseignera son identifiant et son mot de passe.
- Faites en sorte que TOUS vos formulaires soient à minima, en opt-in (aucune case précochée, et indiquent bien clairement que l’internaute “accepte” ce pourquoi il coche la case). Non obligatoire, mais conseillé, vous pouvez aussi proposer un double opt-in (une fois le formulaire renseigné, l’internaute reçoit un email avec un lien cliquable pour confirmer son intention d’inscription). Les plus grandes solutions de CRM vous proposent sinon des champs spécifiques RGPD (une case pour chaque type de communication que vous proposez afin de laisser le choix à l'internaute, une case à cocher demandant l'autorisation de stocker des données personnelles pour une utilisation marketing ou commerciale interne).
- Les processus pour révoquer le consentement d’utilisation des données personnelles de vos internautes doit être aussi facile à appréhender que celui pour s’inscrire. En gros, il est très facile pour l’internaute de renseigner un formulaire et de vous donner accès à ses données ; il faut que cela soit aussi simple pour lui de se désinscrire de votre site et demander la suppression de ses données personnelles (dans le délai stipulé sur vos mentions légales).
- Les utilisateurs doivent pouvoir facilement corriger leurs données si erronées, et pouvoir les supprimer sans peine.
- Enfin, vous devez également mettre en place (à moins que votre CRM le permette déjà), un procédé pour pouvoir exporter toutes les données d’un utilisateur si celui-ci venait à en faire la demande (export .csv par exemple).
2. Révisez ensuite vos dispositifs de collecte
Une fois que vous avez revu dans les grandes lignes la stratégie de collecte selon laquelle vous allez désormais opérer (comme le bon élève que vous êtes), mettez-les en place. Adaptez :
- formulaires et flux de prospects (popups qui proposent de s’abonner à une newsletter par exemple)
- page de gestion des (dés)abonnements
- emails marketing (désabonnement dans le footer)
- barre de notification de l'utilisation de cookies.
Afin que ceux-ci affichent clairement ce à quoi les données collectées sont destinées, et surtout proposer un consentement clair, concis, et contextualisé (un formulaire de RDV n’est pas un formulaire d’inscription Newsletter, ou un téléchargement de guide). Le consentement doit donc être adapté pour être intelligible.
3. Mettez à jour vos mentions légales, documentations et procédures
Retravaillez vos procédures (vous pouvez également vous rapprocher de la CNIL en cas de questions), puis publiez-les.
Pour une utilisation interne
Après avoir inventorié, listé, classé toutes vos données, il est nécessaire de formaliser pour vos collaborateurs une politique interne de protection des données qui précise :
- les classifications de données,
- les niveaux de protection,
- les procédures d’audit (réalisées, et à réaliser).
- la granularité des droits d’accès
- les politiques de conservation des données
- les procédures de développement d’applications et logiciels qui utiliseraient les données.
- la politique de confidentialité
- et pour finir, les procédures à suivre en cas de piratage
A destination de vos utilisateurs
Il faut également fournir à vos internautes, l’accès à votre politique de confidentialité RGPD :
- quelles données sont collectées,
- comment elles sont exploitées, et
- quels sont leurs droits vis à vis de votre entreprise : modification, suppression…
- comment vous protégez leurs données.
- un moyen de vous contacter rapidement (un email, un formulaire), pour pouvoir modifier, supprimer vos données personnelles.
Cette politique de confidentialité est en quelque sorte une version actualisée, plus complète, plus précise de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Nos derniers conseils
- Centralisez toutes vos procédures et documentations (vos collaborateurs ou utilisateurs doivent pouvoir y accéder sans naviguer et sans s’énerver (votre service client vous remerciera).
- Révoquez les consentements que vous n’avez jamais obtenu et supprimez les données dont vous ne pouvez trouver la source (qui s’est inscrit, via quel moyen, quel jour et à quelle heure).
- Envoyez un email à votre base de données inscrite pour les prévenir de ce changement dans la gestion des données, et leur présentant votre nouvelle politique de confidentialité (vous pouvez même leur proposer de confirmer leur inscription en cliquant sur un lien).
- Faites un tour sur votre base de données et supprimez toutes celles dont vous n’avez pas besoin (ou dépassées).
- Mettez en place un “planning d’audit RGPD” : listez tous les audits que vous réaliserez dans le futur, ainsi que la fréquence de ceux-ci (afin de vous assurer que vous êtes toujours en conformité),
Bien que non exhaustive (nous rappelons que vous pouvez trouver tous les détails de ce règlement sur le site de la CNIL), cette liste devrait vous permettre d’estimer le chemin restant à parcourir pour être irréprochable devant la loi, mais également, devant vos utilisateurs.
Si vous souhaitez recevoir d’autres conseils de ce type, n’hésitez pas à vous abonner à notre newsletter.