Dès le 25 Mai 2018 au sein de l’Union européenne, toutes les entreprises sur le web vont être impactées par le règlement général sur la protection des données revu et voté en 2016.  
Toutefois, à quelques semaines de la date butoir seulement 10% des entreprises seraient prêtes. Comment vous mettre à jour si cela n’est pas déjà fait ?

Le RGPD, kesako ?

Le règlement général sur la protection des données (GDPR en anglais) est le nouveau cadre européen voté, remplaçant une directive de 1995. Il concerne le traitement et la circulation des données personnelles (adresse IP, coordonnées personnelles, mail…). Ces éléments même sur lesquelles les entreprises s’appuient pour proposer des services et produits. En bref, il protège les données de tous les citoyens européens.  Même les entreprises internationales basées hors de l’Union Européenne et étant présentes en Europe sont touchées. En effet, celles-ci doivent s’adapter face à leur clientèle européenne. Cela marque t-il la fin du Big Data ? En tout cas cela met un terme à la vente de données à l’insu des utilisateurs tout comme le piratage de données.

Ainsi, il n’y aura maintenant plus qu’un seul cadre valable dans les Etats membres soit 28 pays.

Le fonctionnement du RGPD

Dès le 25 Mai, les entreprises n’auront plus le droit de collecter les données des internautes sans un consentement au préalablement écrit, clair et explicite, dans certain cas validés par la CNIL. Cet organisme vous aide à vous préparer grâce à un accompagnement complet de la CNIL en six étapes.
Pour les personnes de moins de 15 ans, ces derniers doivent être sûrs qu’ils ont reçus en amont l’accord de leurs parents avant de s’inscrire sur un réseau social ou de créer un compte sur un site.

De plus ce droit couvre aussi la portabilité des données. Un internaute pourra passer d’un site à un autre sans perdre ses données et donc de les emporter avec lui.
L’internaute sera aussi informé si ces données ont été piratées.

Ainsi, si vous comptez créer un site internet ce sont des éléments à prendre en compte en amont pour ne pas être sanctionné.

Des internautes confiants VS des entreprises hésitantes

Du côté internautes, il y a de quoi être ravis d’être protégé puisque certaines de leurs données sont bien sûr privées et sensibles (opinion publique, orientation sexuelle, situation médicale… ). De plus, le droit à l’oubli souvent imaginé est maintenant possible puisque le RGPD permet un droit à l’oubli par le retrait ou l’effacement de données personnelles s’il y a atteinte à la vie privée.
Les internautes vont enfin être défendus par des associations pour faire cesser toute pratique illicite si le RGPD n’est pas respecté.

Du côté professionnel, les entreprises craignent que ce document freine l’innovation ou du moins les opportunités technologiques. Facebook par exemple ne se voit pas dans l’obligation de l’étendre hors U-E alors qu’Apple si. Ce sont toutefois les nombreux sites e-commerce les plus touchés par cette norme puisqu’ils collectent également de nombreuses données privées basiques mais au cœur de la législation : identité, adresses, téléphone, mail…
De plus, les conséquences en cas de non-conformité au RGDP sont grandes. Les amendes administratives sont élevées, elles correspondent à 2 à 4% du chiffre d’affaires.
D’un autre côté, l’image de marque ou sa réputation peut en prendre un coup à cause de consommateurs de plus en plus méfiants face aux entreprises fermées. Au contraire, les entreprises transparentes inspirent confiance à ces derniers qui donneront plus facilement leurs données personnelles.

Norme RGPD

Quelles sont les obligations des entreprises dans tout ça ?

Pour vous mettre en conformité vis à vis de la RGPD, JP Loup vous propose cette checklist :

  1. Réalisation d’un audit des données détenues c’est à dire cartographier la façon dont vous traitez les données personnelles de vos clients. 
  2. Création d’un registre des activités de traitement : en cela, les entreprises doivent élaborer et tenir un registre sur les activités de traitement subies. Ce document écrit, doit recenser vos traitements de données personnelles.
  3. Exécution d’une étude d’impact (PIA), cette étude d’impact sur la vie privée est obligatoire si le traitement engendre un risque élevé pour les libertés et droits de la personne. Pour ensuite établir un plan d’actions.
  4. Installation d’un référentiel de sécurité : répertorier toutes les mesures de sécurité prises.
  5. Sécurisation des relations contractuelles avec ses partenaires : définir et contrôler la stratégie mise en place sur les données personnelles.
  6. Désignation d’un DPO (Délégué à la protection des données) : conseiller, contrôler, informer.

En conséquence, les entreprises doivent réaliser plusieurs actions en déterminant au mieux les besoins en recrutement et en équipement pour s’adapter à la réglementation. Ces actions doivent être hiérarchiser en fonction de leur priorité. Il faut aussi mettre en lumière les outils de gestion de données actuel pour se projeter dans l’avenir  : quelles sont les pratiques en matière d’utilisation, de stockage et de récolte des données actuellement ?
Mais pour réussir toutes ces actions, le client doit en être informé. On ne vous répétera jamais assez, mais un client fidèle est un client informé.  Alors rédigez un e-mail à vos clients sur le RGPD et expliquez leur votre nouvelle politique sur la protection de leur vie privée.

Si vous avez des remarques ou des questions sur la mise en conformité de votre, Keole a tout prévu et est là pour vous. N’hésitez pas à nous contacter pour en discuter !

Un article rédigé pour vous par JP Loup

He’s sexy and he knows it, you can touch his mustach. "Issu de l'imaginaire de l'équipe, Jean-Pierre Loup c'est une mascotte, une égérie, un mythe. Il vous propose dans ce blog de découvrir les coulisses du web à travers la plume virtuelle des gens qui sont passés par l'agence Keole : stagiaires, anciens employés, amis, famille..." Spécialités : sauver le monde | taper l'incruste | raconter de belles histoires. Il aime : se compliquer la vie, car optimisé c'est triché | les arrêts maladie | la deeptechnopunktrancealternative. Il aime pas : réfléchir à outrance | les au revoir | signer ses mails avec un "Cordialement".