Êtes-vous RGPD ready ?

RGPD. Si vous lisez cet article… Il est (peut-être) déjà trop tard !
À moins d’avoir passé ces derniers mois dans une galaxie très très lointaine, la probabilité que vous soyez passé à côté DU sujet qui agite (et angoisse) à peu près toutes les entreprises des secteurs marketing, publicitaires ou e-commerce, est à priori faible. 60 jours avant l’entrée en vigueur de ce nouveau règlement sur la protection des données, la question qui persiste est : avez-vous bien saisi ce qu’était le RGPD et ses conséquences… En d’autres termes, êtes-vous prêt ?

 

D’après une étude menée par Iligo en février 2018, seul 8% des français interrogés savaient ce qu’était le RGPD. Dans un livre blanc (disponible ici), le cabinet Deloitte, nous apprend dans le même temps que seules 15% des entreprises estiment pouvoir être en compliance (conformité) au moment de l’entrée en vigueur du règlement et que 23% d’entre elles n’ont toujours pas enclenché le processus. Autant dire que, si vous êtes un peu largué et en retard sur le sujet, vous n’êtes pas seul.

 

La data nerf de la guerre.

Pourtant, l’entrée en vigueur du RGPD est un chantier de taille. Un chantier capital au vu du périmètre d’application du règlement et surtout, au regard de l’importance prise ces dernières années par la collecte, le traitement et l’utilisation de données utilisateurs dans les stratégies marketing-business des entreprises. Que cela soit dans une logique d’acquisition de leads ou pour répondre à une nécessité de personnalisation des messages, des actions, des offres, la course à la data est partout. Un constat d’autant plus vrai que l’avènement de l’écosystème startup (avec son besoin de croissance rapide), couplé au développement de nouvelles technologies et outils, ont poussé la pratique encore plus loin en généralisant des approches, telles que le “growth hacking” et des techniques de scraping de bases de données en tout genre. Reste que cette course effrénée s’est parfois (souvent ?) faite au détriment de l’utilisateur-consommateur qu’elle était censée servir. En ce sens Le RGPD vient sonner la fin de la récréation.

RGPD pour les nuls.

Dans le doute, rappelons que derrière ces 4 lettres se cache le Règlement Général sur la Protection des Données. Prolongement de la loi de 2004 sur la confiance dans l’économie numérique, le RGPD touche les entreprises de toute taille : PME, TPE, ETI, Startups, grands groupes, entreprises publiques, collectivités locales et professionnels indépendants. À partir du 25 mai prochain, en plus du consentement sur le traitement des données personnelles et comportementales (nom, prénom, adresse, téléphone, mail, IP, opt-in, cookies, etc.), le RGPD imposera une batterie de nouvelles obligations applicables à l’entreprise responsable du traitement des données ainsi qu’à ses sous-traitants :

  • Transparence.

    Il est désormais obligatoire de rendre transparent le fondement de la collecte des données. Comprendre, le consommateur doit être clairement informé au moment de la collecte de ses données, de la finalité d’utilisation de celles-ci et du périmètre d’exploitation juridique associé (ex. Si les données sont exportées vers d’autres pays, d’autres structures).

  • Consentement.

    L’opt-in devient la norme pour la collecte de toute data. La notion de consentement des consommateurs est ainsi renforcée et doit dorénavant être prouvable, traçable et rétractable. À tout moment.

  • Temps.

    L’exploitation des données collectées devient limitée dans le temps, selon un délai établi en amont et clairement énoncé aux consommateurs. Une fois ce délai dépassé, les données doivent être supprimées.

  • Information & droits.

    Portabilité et effacement des données personnelles sont des droits du consommateur auxquels la marque doit se préparer. Toute entreprise devra pouvoir communiquer sur demande – récupération ou transfert- et sous un format lisible, structuré et exploitable, ses données au consommateur.

  • DPO.

    Obligation de nommer “expert RGPD” ou DPO (Data Protection Officer) pour les organismes et autorités publiques ou les organisations traitant des données à grande échelle et sensibles.

  • Responsabilité partagée.

    La responsabilité des traitants, des sous-traitants doit être renforcée, partagée et précisée. La sécurité des données personnelles doit se faire dès la conception du produit/service (Privacy by design).

 

Un règlement qui rappelons-le, et cela a son importance, s’applique à toutes les entreprises de l’Union Européenne ET aux entités collectant des datas de citoyens européens.

 

“Vous envisagez d’acquérir un maximum de datas avant le 25 mai ? Oubliez. L’application du RGPD est rétroactive.”

 

6 actions pour déterminer si vous êtes prêt.

La théorie étant actée, reste à déterminer où vous en êtes de votre processus de conformité RGPD. À toutes fins utiles voici les 6 actions recommandées, pour vous aider à devenir RGPD compliant :

1. Nommer un pilote.

Avez-vous désigné un pilote, un référent voir un DPO (fonction de la taille de votre entreprise) ? Cette personne, interne ou recrutée à cet effet, pourra être le futur garant de votre politique de données et l’architecte de votre processus de conformité au règlement.  

2. Analyser l’existant.

Connaissez-vous l’état de vos données? Il vous faut rapidement cartographier de manière pointue vos traitements de données personnelles. Posez-vous les questions suivantes – comment se fait la collecte, quels types de données sont traitées, pourquoi, où sont-elles collectées, combien de temps sont-elles conservées et qui traitent ces données ?

3. Définir un plan d’actions.

Si vous avez coché les cases 1 et 2 avec succès, il est temps de prioriser les actions à mettre en place. Commencez par l’essentiel, le plus prioritaire, c’est à dire la gestion et la régularisation des points qui présentent le plus de risque au regard des nouvelles obligations du RGPD.

4. Traiter les risques.

Si vous avez identifié des traitements de data à risque, susceptibles d’engendrer des risques élevés pour les droits et libertés des consommateurs, procédez au cas par cas pour en définir l’impact sur la protection des données (PIA).

5. Sensibiliser l’interne.

Le RGPD et le traitement des données en général, touche plusieurs strates, entités de votre entreprise. Informez, éduquez, mettez en place des process avec les personnes concernées, afin de garantir la durabilité et la protection des données à tout moment et indépendamment des aléas de votre activité.

6. Organiser la traçabilité.

Le RGPD implique une traçabilité et un suivi dans le temps. Finalisez votre mise en conformité par la création d’une documentation complète et évolutive dans le temps.

 

RGPD : contrainte ou opportunité ?

La mise en conformité avec le RGPD est à première vue un chantier contraignant, potentiellement coûteux. Notons au passage qu’une non mise en conformité peut entraîner de lourdes sanctions, de 2% à 4% du CA mondial, plafonnées à 10 et 20 millions d’euros, en fonction de la nature du manquement. Toutefois, bien que son entrée en vigueur soit prévue le 25 mai, une période de tolérance sera observée jusqu’à la fin 2018 pour vous permettre de vous aligner.

 

Au delà de sa dimension contraignante, des aspects organisationnels qui en découlent, le RGPD peut également être vu comme une très belle opportunité pour votre marque. L’occasion pour les directions marketing de remettre la transparence et la confiance au coeur de la relation client. En conclusion une bonne chose pour votre valeur de marque et pour son audience.

 

Quelques liens utiles : 

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

https://passe-droits.fr/gdpr-1-2bc238cb927c

https://www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification

http://www.e-marketing.fr/Thematique/data-1091/Breves/Les-commandements-RGPD-326303.htm#z5AiIvKVbBYhmYfo.97