Qu’est-ce que le GDPR (RGPD en français) et que représente-t-il ?
Le nouveau règlement de l’UE a touché les entreprises du monde entier. Dans cet article, nous expliquons le quoi, le comment et le pourquoi de la nouvelle loi européenne sur la protection de la vie privée.
Quelles sont les implications de RGPD pour les entreprises ?
Comment votre entreprise, qu’elle soit basée dans l’UE ou non, se conformera-t-elle à la longue liste des » articles » de RGPD?
RGPD affectera votre façon de communiquer, mais comment ? La façon dont vous traitez les données personnelles a maintenant changé, et cela s’applique aussi bien aux données des prospects qu’à celles des clients.
L’Internet a radicalement changé notre façon de communiquer et de traiter les tâches quotidiennes.
Nous envoyons des e-mails, nous partageons des documents, nous payons des factures et nous achetons des marchandises en entrant nos données personnelles, tout cela en ligne et sans réfléchir.
Vous êtes-vous déjà demandé combien de données personnelles vous avez partagées en ligne ? Ou qu’advient-il de ces informations ? Il s’agit d’informations bancaires, de contacts, d’adresses, de messages sur les médias sociaux, et même votre adresse IP et les sites que vous avez visités sont tous stockés numériquement.
Les entreprises vous disent qu’elles recueillent ce type de renseignements afin de mieux vous servir, de vous offrir des communications plus ciblées et plus pertinentes, tout cela pour vous offrir une meilleure expérience client.
Mais, est-ce vraiment pour cela qu’elles utilisent ces données ?
C’est la question qui a été posée et à laquelle l’UE a répondu, et pourquoi en mai 2018 une nouvelle réglementation européenne sur la protection de la vie privée appelée RGPD a été mise en application et a changé de façon permanente la façon dont vous, en tant qu’entreprise, recueillez, stockez et utilisez les données des clients.
Dans une étude portant sur plus de 800 professionnels de l’informatique et du commerce responsables de la confidentialité des données dans les entreprises ayant des clients européens, Dell et Dimension Research ont constaté que 80 % des entreprises ne connaissent que peu ou pas de détails sur RGPD.
Récemment, TrustArc a constaté que seulement 20 % des entreprises estiment être désormais conformes à RGPD.
Le pire ?
Plus d’une entreprise sur quatre (27%) n’a pas encore commencé à travailler pour rendre son organisation conforme à la norme RGPD – plus de 12 mois après la date limite du 25 mai !
Votre entreprise est-elle conforme au Règlement général sur la protection des données de l’UE (RGPD) ?
Il est facile de comprendre qu’un petit magasin de briques et de mortier puisse avoir des difficultés à se préparer à la RGPD, mais une recherche du Ponemon Institute a montré que 60% des entreprises technologiques n’étaient pas prêtes non plus.
Donc, ce ne sont pas seulement les petites entreprises » non technologiques » qui sont en retard avec le RGPD !
Ainsi, que vous soyez dans le domaine de la technologie, des voyages, du commerce de détail ou que vous soyez un entrepreneur, nous vous expliquons ce qu’est RGPD, comment cela va affecter votre entreprise et nous incluons des conseils pratiques sur la façon dont vous pouvez vous préparer à la conformité à RGPD.
Qu’est-ce que RGPD ?
Le 25 mai 2018, le nouveau règlement européen sur la protection de la vie privée est entré en vigueur.
RGPD est l’abréviation de General Data Protection Regulation.
Ce règlement a été transposé dans toutes les lois locales sur la protection des données dans l’ensemble de l’UE et de l’EEE. Il s’appliquera à toutes les entreprises qui vendent et stockent des informations personnelles sur les citoyens en Europe, y compris les entreprises sur d’autres continents.
Ce que RGPD signifie, c’est que les citoyens de l’UE et de l’EEE ont désormais un plus grand contrôle sur leurs données personnelles et l’assurance que leurs informations sont protégées en toute sécurité dans toute l’Europe.
Selon la directive RGPD, les données personnelles sont toute information relative à une personne telle qu’un nom, une photo, une adresse électronique, des détails bancaires, des mises à jour sur les sites de réseaux sociaux, des détails de localisation, des informations médicales ou une adresse IP d’ordinateur.
Il n’y a pas de distinction entre les données personnelles concernant les individus dans leurs rôles privés, publics ou professionnels – la personne est la personne. Dans un contexte B2B également, tout est question d’interaction et de partage d’informations entre les individus. Les clients sur le marché B2B sont évidemment des entreprises, mais les relations qui traitent des sujets commerciaux sont des personnes – ou des individus.
Les 8 droits fondamentaux de RGPD
Selon le PIBR, les individus ont :
- Le droit d’accès – cela signifie que les individus ont le droit de demander l’accès à leurs données personnelles et de demander comment leurs données sont utilisées par l’entreprise après qu’elles aient été recueillies. L’entreprise doit fournir une copie des données personnelles, gratuitement et sous forme électronique si elle le demande.
- Le droit d’être oublié – si les consommateurs ne sont plus des clients ou s’ils retirent leur consentement à une entreprise pour utiliser leurs données personnelles, ils ont le droit de faire supprimer leurs données.
- Le droit à la portabilité des données – Les personnes ont le droit de transférer leurs données d’un fournisseur de services à un autre. Et cela doit se faire dans un format communément utilisé et lisible par une machine.
- Le droit d’être informé – cela couvre toute collecte de données par les entreprises, et les individus doivent être informés avant que les données ne soient recueillies. Les consommateurs doivent accepter que leurs données soient recueillies et le consentement doit être donné librement et non de manière implicite.
- Le droit de faire corriger les informations – ce droit permet aux personnes de faire mettre à jour leurs données si elles sont périmées, incomplètes ou incorrectes.
- Le droit de limiter le traitement – Les personnes peuvent demander que leurs données ne soient pas utilisées pour le traitement. Leur dossier peut rester en place, mais ne pas être utilisé.
- Le droit d’opposition – cela inclut le droit des personnes de mettre fin au traitement de leurs données à des fins de marketing direct. Il n’existe aucune exception à cette règle, et tout traitement doit être arrêté dès réception de la demande. En outre, ce droit doit être clairement indiqué aux personnes dès le début de toute communication.
- Le droit d’être informé – En cas de violation de données compromettant les données personnelles d’une personne, celle-ci a le droit d’être informée dans les 72 heures suivant la première prise de connaissance de la violation.
Le RGPD est le moyen utilisé par l’UE pour donner aux individus, aux prospects, aux clients, aux contractants et aux employés plus de pouvoir sur leurs données et moins de pouvoir aux organisations qui collectent et utilisent ces données à des fins lucratives.
Les implications commerciales de la RGPD
Ce nouveau règlement sur la protection des données met le consommateur aux commandes, et la tâche de se conformer à ce règlement incombe aux entreprises et aux organisations. Sinon, vous ne vous conformez pas.
Qu’est-ce qui relève de la conformité à la RGPD ?
Eh bien, la RGPD s’applique à toutes les entreprises et organisations établies dans l’UE, que le traitement des données ait lieu dans l’UE ou non. Même les organisations établies en dehors de l’UE seront soumises à RGPD. Si votre entreprise offre des biens et/ou des services aux citoyens de l’UE, alors elle est soumise à la RGPD.
Toutes les organisations et entreprises qui travaillent avec des données personnelles devraient nommer un responsable de la protection des données ou un contrôleur des données qui est chargé de la conformité à la RGPD.
Les entreprises et organisations qui ne se conforment pas à la RGPD s’exposent à de lourdes amendes pouvant atteindre 4 % du revenu annuel global ou 20 millions d’euros, selon le montant le plus élevé.
L’UE prend-elle RGPD au sérieux ?
Extrêmement sérieusement.
Par exemple, British Airways et Marriott International font face à des amendes impressionnantes qui s’élèvent à des centaines de millions d’euros pour ne pas s’y conformer.
British Airways risque des amendes allant jusqu’à 200 millions d’euros pour une violation de données qui s’est produite en septembre 2018. Marriott International devrait se voir infliger une amende d’environ 99 millions d’euros pour une violation de données entre 2014 et 2018
Maintenant, beaucoup de gens pourraient penser que le PIBR n’est qu’une question de TI, mais c’est ce qui est le plus éloigné de la vérité. Il a des implications générales pour toute l’entreprise, y compris la façon dont les entreprises gèrent les activités de marketing et de vente.
L’impact de la RGPD sur l’engagement des clients
Les conditions d’obtention du consentement sont plus strictes en vertu des exigences de la RGPD, car la personne doit avoir le droit de retirer son consentement en tout temps et il y a présomption que le consentement ne sera pas valide à moins que des consentements distincts soient obtenus pour différentes activités de traitement.
Cela signifie qu’il faut être en mesure de prouver que la personne a accepté une certaine action, par exemple pour recevoir un bulletin d’information. Il n’est pas permis de présumer ou d’ajouter un avis de non-responsabilité, et il ne suffit pas de prévoir une option de retrait.
RGPD a changé beaucoup de choses pour les entreprises, comme par exemple la manière dont vos équipes de vente prospectent ou la manière dont les activités de marketing sont gérées. Les entreprises ont dû revoir leurs processus d’affaires, leurs demandes et leurs formulaires pour se conformer aux règles de double opt-in et aux meilleures pratiques de marketing par courriel. Pour s’inscrire à une communication, les prospects devront remplir un formulaire ou cocher une case et confirmer ensuite que c’est bien ce qu’ils ont fait dans un autre email.
Les organisations doivent prouver que le consentement a été donné dans le cas où une personne s’oppose à la réception de la communication. Cela signifie que toute donnée détenue doit avoir une piste de vérification horodatée et des informations de rapport qui détaillent ce que le contact a choisi et comment.
Si vous achetez des listes de marketing, vous êtes toujours responsable d’obtenir les renseignements de consentement appropriés, même si un fournisseur ou un partenaire externe était responsable de la collecte des données.
Dans le monde du B2B, les vendeurs rencontrent des clients potentiels lors d’un salon professionnel, ils échangent des cartes de visite et lorsqu’ils reviennent au bureau, ils ajoutent les contacts à la liste de diffusion de l’entreprise. En 2018, cela n’est plus possible.
Les entreprises devront chercher de nouvelles façons de recueillir des renseignements sur les clients.
Préparatifs en vue de la conformité à la RGPD
Un élément clé de la législation RGPD est la protection des renseignements personnels dès la conception.
Le Privacy by design exige que tous les départements d’une entreprise examinent attentivement leurs données et la manière dont ils les traitent. Il y a beaucoup de choses qu’une entreprise doit faire pour être conforme à RGPD. Si vous n’avez pas encore franchi la prochaine étape vers la conformité, voici quelques moyens de vous aider à démarrer.
- Cartographier les données de votre entreprise
Cartographiez l’origine de toutes les données personnelles de votre entreprise et documentez ce que vous faites avec ces données. Identifiez où résident les données, qui peut y accéder et s’il existe des risques pour les données. Ceci n’est pas seulement important pour RGPD, mais permet d’améliorer la gestion de la relation client. - Déterminez quelles données vous devez conserver
Ne conservez pas plus d’informations que nécessaire et supprimez toutes les données que vous n’utilisez pas. Si votre entreprise a recueilli beaucoup de données sans en tirer un réel avantage, c’est le moment de déterminer quelles données sont importantes pour votre entreprise. RGPD encourage un traitement plus discipliné des données personnelles. - Mettre en place des mesures de sécurité. Développez et mettez en place des protections dans toute votre infrastructure pour aider à contenir toute violation de données. Cela signifie qu’il faut mettre en place des mesures de sécurité pour se prémunir contre les violations de données et prendre rapidement des mesures pour informer les personnes et les autorités en cas de violation.
- Examinez votre documentation. Selon le RGPD, les individus doivent consentir explicitement à l’acquisition et au traitement de leurs données. Les cases cochées au préalable et le consentement implicite ne seront plus acceptables. Vous devrez revoir toutes vos déclarations et communications de renseignements personnels et les modifier au besoin.
- Établir des procédures pour le traitement des données personnelles
Comme nous l’avons mentionné plus tôt, les individus ont 8 droits fondamentaux en vertu du RDPE.
Vous devez maintenant établir des politiques et des procédures sur la façon dont vous allez traiter chacune de ces situations.
Par exemple, vous devez établir des politiques et des procédures sur la façon dont vous traiterez chacune de ces situations :
- Comment les individus peuvent-ils donner leur consentement de manière légale ?
- Quel est le processus à suivre si un individu souhaite que ses données soient supprimées ?
- Comment allez-vous vous assurer que cela se fasse sur toutes les plateformes et que les données soient réellement supprimées ?
- Si une personne souhaite que ses données soient transférées, comment allez-vous procéder ?
- Comment allez-vous confirmer que la personne qui a demandé le transfert de ses données est bien celle qu’elle dit être ?
- Quel est le plan de communication en cas de violation de données ?
Conclusion
Les données sont une monnaie d’échange précieuse dans ce nouveau monde.
Et bien que la RDPI crée des défis et de la douleur pour nous en tant qu’entreprises, elle crée aussi des opportunités.
Les entreprises qui montrent qu’elles accordent de l’importance à la vie privée des individus (au-delà de la simple conformité légale), qui sont transparentes sur la façon dont les données sont utilisées, qui conçoivent et mettent en œuvre des méthodes nouvelles et améliorées de gestion des données clients tout au long de leur cycle de vie, développent une confiance plus profonde et conservent des clients plus fidèles.
Lors de la première annonce en 2016, il semblait que les nouvelles entreprises avaient tout le temps de prendre les mesures nécessaires. Mais ce temps s’est écoulé et de nombreuses entreprises continuent de faire des pieds et des mains, même après la date limite. Donc, si vous n’avez pas encore commencé votre voyage vers la conformité, nous vous conseillons vivement de le faire dès maintenant.
Consacrez du temps à comprendre ce que vous devez faire pour devenir conforme et utilisez les conseils pratiques présentés dans cet article pour vous aider à démarrer.