Le 25 mai 2018, la réglementation européenne RGPD entrera en vigueur pour contrôler la récupération des données client. Elle s'applique à toutes les entreprises exerçant dans les États membres. Celle-ci renforce donc la loi informatique et Libertés pour toutes les entreprises exerçant sur le territoire français.
Elle protège le consommateur, ce dont on ne peut que se réjouir. Cependant, elle impose aux sociétés commerciales des dispositions internes complexes et coûteuses. En cas de non respect de dispositions prévues par la RGPD (ou GRDP en anglais), les contrevenants se verront infliger une amende. Cette amende sera équivalente à 4% de leur chiffre d'affaire. Autant mettre en place dès à présent les processus nécessaires.
Tout d'abord, l'état des lieux
Comme tout projet, et celui-ci n'est pas des moindre, il convient de déterminer l'ensemble des actions à effectuer, de les prioriser et de les budgétiser. Cette mise en conformité de la récolte et de la gestion des Données à Caractères personnelles (DCP) doit intégrer l'ensemble de l'entreprise pour être une réussite.
Plus qu'une loi, il s'agit-là d'une philosophie et les entreprises ont tout à gagner à prendre le train en marche plutôt qu'à freiner cette évolution pourtant obligatoire. Les consommateurs sont en effet très soucieux des données récoltées à leur insu. On entend tous les jours ça et là pester contre Google et son appétit vorace d'informations utilisées commercialement. Il n'en reste pas moins qu'il reste le premier moteur de recherche au monde. Ne l'avez-vous pas en page d'accueil dès que votre navigateur se lance ? Lequel est à 45% d'entre nous Chrome ?
Mais qu'est-ce que la RGDP précisément ?
D'une manière générale, cette loi vise à responsabiliser les entreprises dans la collecte des données et à offrir une parfaite transparence à leurs clients ou prospects.
La teneur des informations collectées et centralisées au sein des CRM (notre article sur les fonctionnalités et les avantages d'un CRM) ne pourra plus être opaque. Tout un chacun pourra connaître et exporter ses données chez un autre prestataire, c'est le volet de la portabilité.
Le consentement devra être clairement établi et vérifiable par toute autorité ou particulier ou entreprise qui en fera la demande.
A ce titre, les entreprises devront réaliser un audit de leur collecte d'informations, effectuer certains choix techniques, planifier la mise en conformité et documenter cette même collecte au jour le jour.
Les grands principes de la RGPD à retenir
En cas de fuite de ces informations personnelles, l'entreprise concernée doit en informer ses utilisateurs dans les 72h.
On se souvient du scandale retentissant subi par Facebook. Il s'agissait de la fuite de données chez la firme Cambridge Analytica. Cette fuite a touché près de 70 millions d'internautes américains et 2,7 millions d'abonnés européens. Mark Zuckerberg a dû présenter des excuses devant le Congrès américain.
Un DPO (Data Protection Officer) devra être nommé, lequel devra documenter les processus de récolte et être en mesure d'en fournir tous les détails : où, quand, comment et pour quel usage. Puis, le DPO devra centraliser les pratiques et veiller à la mise en conformité de celles-ci dans le temps.
Les données collectées devront être minimales. Seules les données utiles au service pourront être stockées. Cela limite le profilage des consommateurs sans consentement.
Tout abonné à un service pourra demander l'accès à ses données personnelles. Cette mesure nécessite une organisation des données bien maîtrisée. De plus, des systèmes informatiques efficaces doivent être mis en place pour permettre une récupération rapide. Ainsi, l'activité de l'entreprise ne sera pas impactée.
Chacun des prospects ou client pourra faire la demande expresse de l'effacement des données le concernant, c'est ce qu'on appelle le droit à l'oubli.
La directive RGPD est une occasion pour les entreprises de montrer leur bienveillance envers les consommateurs. Elle est souvent perçue comme une contrainte mais peut être une opportunité.
Les nouveaux scandales à venir
En effet, la sensibilisation du public étant telle que les sociétés vertueuses pourront communiquer sur leurs bonnes pratiques, respectueuses de l'individu et de ses droits.
Bien que cette loi ne cible que les entreprises qui n'auraient pas entamé le chantier de la RGPD à partir du 25 mai 2018, nous entendrons certainement très bientôt surgir de nouveaux scandales. Ces scandales impliqueront de grands groupes qui n'auraient pas commencé leur mise en conformité.
Vous êtes dirigeant d'entreprise ou responsable de base de données clients et ne savez pas comment vous mettre en conformité avec la RGPD avant le 25 mai prochain ? Contactez-moi pour en savoir plus : un simple conseil ne coût rien !