Conformité RGPD : quelles sont les opportunités à saisir pour les entreprises ?

Au-delà d’une contrainte, le RGPD est une opportunité de taille pour les entreprises

Le nouveau règlement européen sur la Protection des Données, le RGPD, est entré en application le 25 mai 2018. Ceci ne va pas sans contraintes, mais ce challenge permet aussi une meilleure gestion des données personnelles, avec à la clé des opportunités à saisir pour les entreprises, et notamment pour les professionnels du marketing mobile.

Les 10 étapes indispensables pour être en conformité avec le RGPD

Rappel des mesures pour être conformes au RGPD

RGPD (ou GDRP) : enjeux

Le RGPD est le nouveau Règlement Général sur la Protection des Données (aussi appelé GDPR en anglais). Les enjeux du GDPR sont essentiellement de :

  • Définir de nouvelles obligations relatives aux données personnelles collectées ;
  • Responsabiliser les entreprises qui collectent et utilisent ces données.

RGPD : qui est concerné ?

Son entrée en application impacte directement toutes les entreprises qui collectent des données personnelles.

Pour être en conformité avec cette loi sur la protection des données, les entreprises concernées devront s’acquitter de plusieurs mesures.

La mise en place d’un registre de traitement des données

RGPD et CNIL

La mise en place d’un registre de traitement des données est l’une des mesures les plus importantes du RGPD.

Ce registre n’est pas nouveau, mais avant le RGPD, c’était le correspondant informatique et libertés (CIL) qui était chargé de tenir le registre pour les traitements exonérés de déclaration auprès de la CNIL (loi informatique et libertés). À présent, les responsables du traitement et les sous-traitants devront également tenir un registre.

La CNIL pourra mieux contrôler le respect par les entreprises de la protection des données à caractères personnelles.

Données personnelles : définition

Pour la CNIL comme pour le RGPD, les données personnelles incluent toutes les informations qui permettent d’identifier directement ou indirectement une personne physique. Cela comprend notamment le nom, le numéro de téléphone, l’adresse, la date de naissance, l’empreinte digitale, une photographie, etc.

Qu’est-ce qu’un registre de traitement de données ?

Le registre de traitement de données contient plusieurs informations :

  • Le nom de la personne en charge du registre, ou son représentant ;
  • L’objectif du traitement, sa finalité (ex : démarchage) ;
  • Les catégories de données traitées ;
  • Les personnes qui sont concernées par le traitement (ex : salariés, clients…) ;
  • Les personnes à qui sont destinées les données ;
  • Les délais au bout desquels les données seront détruites.

Le registre doit également décrire les mesures de sécurité mises en place pour veiller à la protection des données personnelles et indiquer quelles sont les garanties supplémentaires apportées lorsque les données sont transférées au niveau international.

Ce registre devra être tenu par toutes les entreprises qui comptent au moins 250 employés. Les autres entreprises devront tenir un registre si les données qu’elles traitent portent sur des données sensibles ou sont susceptibles de porter atteinte aux droits et libertés individuels.

Quels avantages ?

La généralisation du registre de traitement de données pourrait sembler complexe ou s’apparenter à une mauvaise nouvelle, mais cela offre aussi des avantages appréciables :

  • Pour les entreprises, c’est une meilleure application des règles contenues dans le RGPD : ce registre offre une vue d’ensemble idéale pour voir tous les traitements effectués et repérer les irrégularités éventuelles ;
  • Pour les personnes dont les données sont collectées, c’est l’assurance d’un traitement plus respectueux et d’une vraie protection des données informatiques.

Quelles sanctions en cas de non-respect de cette obligation ?

Plusieurs sanctions sont prévues pour les entreprises qui ne s’acquittent pas de cette obligation, notamment une amende de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Comment tenir un registre de traitement des données ?

Pour réaliser votre registre de traitement des données, commencez par recenser toutes les informations que doit contenir ce registre.

Posez-vous les questions suivantes et apportez-y une réponse précise :

  • Qui ?

La personne responsable du registre, les responsables des services opérationnels qui traitent des données au sein de votre entreprise ainsi que les sous-traitants ;

  • Quoi ?

Définissez les catégories de données traitées et identifiez celles qui nécessitent un traitement particulier (ex : données sensibles liées à la santé) ;

  • Pourquoi ?

Précisez la raison pour laquelle vous collectez ces données ;

  • Où ?

Indiquez où seront stockées les données collectées. Si les données sont transférées dans d’autres pays, précisez où ;

  • Jusqu’à quand ?

Pour chaque section, indiquez le délai avant la destruction des données ;

  • Comment ?

Quelles mesures sont prises pour protéger l’accès à ces données.

La CNIL propose sur son site un modèle de registre accompagné des bonnes pratiques à retenir.

 

Conformité RGPD et formation des collaborateurs

Pour respecter au mieux les grands principes du RGPD, les entreprises devront également former leurs collaborateurs et prendre des précautions. Cela permettra d’anticiper tout problème de faille en termes de sécurité informatique, de fuites de données ou de contrôles des autorités compétentes.

RGPD et données personnelles : Les recommandations de la CNIL

Pour sensibiliser le personnel de l’entreprise aux enjeux de sécurité et confidentialité des données, la CNIL propose plusieurs pistes, parmi lesquelles :

  • Informer les collaborateurs des mesures prises et des risques encourus en cas de manquement ;
  • Documenter les procédures d’exploitation. Veiller à ce qu’elles soient tenues à jour et accessibles ;
  • Rédiger une charte informatique rappelant précisément les règles à suivre, mais aussi les sanctions encourues.

Ne pas négliger les “digital natives”

Digital Native & RGPD

Une formation spécifique pour la génération Y ou les “digital natives” peut aussi être nécessaire, car il s’agit d’un public qui ne sait pas forcément gérer ses données personnelles sur Internet.

BYOD : vigilance accrue

Prenez également en compte le principe du BYOD (Bring Your Own Device) : de plus en plus de collaborateurs utilisent des devices personnels dans le cadre de leur travail ou les connectent au réseau de l’entreprise pour différentes raisons. Cela pose un réel problème de confidentialité des données et de la sécurité du système d’information.

Pour y remédier, un encadrement juridique est indispensable, soit par l’ajout de clauses spécifiques directement dans le contrat de travail, soit par la modification de la charte informatique de l’entreprise.

Les systèmes de Cloud

Soyez attentif au système de Cloud utilisé dans votre entreprise. Si les offres en matière de Cloud sont nombreuses, il vous appartient de choisir la solution la plus sécurisée pour protéger les données personnelles collectées. Comparez les offres, étudiez méticuleusement les différentes clauses et conditions, et négociez les contrats.

 

Le rôle stratégique du DPO

Dans certains cas, la nomination d’un DPO est désormais obligatoire.

Définition du rôle et de la mission d’un Data Protection Officer (DPO)

  • Cartographier et identifier les données à caractère personnel ;
  • Analyser la finalité de leur traitement et de leur exploitation ;
  • Vérifier leur conformité avec le RGPD ;
  • Sensibiliser, conseiller, veiller au bon respect du RGPD par les collaborateurs en interne, mais également par les sous-traitants.

Vérifier si la nomination d’un DPO est nécessaire

Voici les conditions principales à réunir pour la nomination d’un DPO :

  • Le traitement des données collectées par l’entreprise est réalisé par une autorité ou un organisme public ;
  • Une analyse et un suivi récurrent des activités et des données est nécessaire ;
  • Il y a un traitement à grande échelle de données sensibles (santé, religion, informations génétiques…) ou liées à des infractions pénales ou condamnations.

Bien choisir son DPO

Le choix du DPO se fait en fonction de plusieurs critères et connaissances telles que :

  • Systèmes informatiques ;
  • Juridiques et déontologiques ;
  • Conformité au RGPD ;
  • Bonne gestion de projets.

 

La bonne gestion des contrats relatifs aux sous-traitants

Le RGPD instaure un principe de co-responsabilité qui concerne à la fois l’entreprise et les sous-traitants. Vous devez donc être particulièrement attentif aussi aux contrats relatifs aux sous-traitants.

Vérifiez les exigences liées aux contrats de sous-traitance de données :

  • Avoir uniquement recours à des sous-traitants qui fournissent des garanties pour satisfaire les exigences du RGPD ;
  • Contrat obligatoirement écrit.

Vérifiez que les contrats avec les sous-traitants comprennent :

  • Des obligations de confidentialité par le personnel de l’entreprise ;
  • Aucune sous-traitance des données par un tiers autre que le sous-traitant désigné ;
  • L’effacement ou retour des données personnelles une fois le traitement terminé ;
  • Preuve de conformité du sous-traitant auprès du DPO ;
  • Assistance du sous-traitant auprès du DPO lors du traitement et ou de l’étude de l’impact des données.

De plus :

  • Assurez-vous que le consentement a été donné et que la personne en charge des données peut le prouver ;
  • Pensez à inclure dans les contrats des clauses garantissant que le sous-traitant respecte et est conforme au RGPD.

 

Profiter du RGPD pour en faire un avantage concurrentiel

 

Certes, le RGPD est perçu comme une menace pour la grande majorité des entreprises, mais il ne faut pas oublier que ce règlement ne concerne que les données à caractère personnel et considérées comme sensibles. De ce fait, la conformité au RGPD peut également être un tremplin pour les entreprises. Elles peuvent en effet saisir des opportunités sous plusieurs angles.

Construire une relation de confiance

Cette relation de confiance passe par le respect des droits des citoyens et du recueil du consentement conforme avec le RGPD. Les personnes dont vous collectez les données doivent donner au préalable leur accord libre et éclairé. Elles disposent également d’un droit d’accès, de rectification et d’opposition quant à la collecte et le traitement de ces données.

Avec plus de transparence et l’accès à leur données, les utilisateurs seront plus enclins à faire confiance. Ainsi, l’entreprise pourra obtenir plus d’informations pertinentes sur le parcours ou les habitudes de l’acheteur final. Le profilage via les données personnelles s’en trouvera amélioré.

Privacy by Design et by Default : définition

Le concept de Privacy by Design implique de mettre en place une politique de protection des données personnelles la plus forte possible dès la conception d’un site ou d’une application. Le concept de Privacy by Default est très proche, puisqu’il implique que toutes les entreprises qui traitent des données personnelles doivent assurer par défaut le plus haut niveau possible de protection des données.

Entreprise modèle

Voilà une excellente opportunité de devenir une entreprise vertueuse en améliorant votre positionnement juridique et en assurant la sécurité et le bon fonctionnement de l’entreprise.

Gestion des données améliorée

Instaurez une méthodologie de collecte et d’exploitation plus sécurisée pour garantir un meilleur traitement des données. Mettez également en place des bonnes pratiques pour la sécurisation des systèmes informatiques et de stockage de données.

Votre entreprise comme vos collaborateurs et vos clients ont tout à y gagner.

Culture d’entreprise

Au-delà de l’aspect purement légal ou pratique, c’est aussi une occasion de renforcer l’esprit d’équipe et la cohésion d’entreprise : ne pas se mettre en conformité avec les normes RGPD sur la sécurisation des données peut amener à des sanctions qui impacteront d’autres collaborateurs.

 

Qu’en est-il pour le marketing mobile ?

 

Et si l’entrée en application du RGPD était l’occasion pour améliorer à la fois votre ROI et l’expérience utilisateur ?

RGPD & Marketing mobile

 

Les utilisateurs donnent leur accord pour la collecte de données, le profilage s’en trouve amélioré et la perception que les mobinautes ont de la publicité mobile en est impactée. Ces publicités ne seront plus considérées comme des désagréments, mais comme des suggestions personnalisées !

Optimisation du ROI

Un meilleur ciblage sera donc effectué à travers :

  • Une bonne gestion des données ayant plus de valeur ajoutée et générant ainsi plus de leads ;
  • Rentabilité du marketing opérationnel en terme de délivrabilité.

Notifications push et CRM

Grâce au RGPD, le secteur du mobile bénéficiera :

  • D’une communication plus personnalisée, puisqu’elle sera en mesure de mieux connaître le parcours des utilisateurs les plus intéressés par les services/produits fournis par l’entreprise concernée ;
  • Meilleure perception de la publicité : les utilisateurs seront plus enclins à accepter la publicité et les notifications push ou encore les messages In-app ;
  • Fidélisation des utilisateurs, améliorer le taux de rétention et éviter l’opt-out ;
  • Lancer des campagnes d’inbound marketing basées sur l’opt-in.

Placez la Base de Données (BDD) au cœur de votre stratégie CRM pour être les premiers à sentir les bénéfices du RGPD :

  • Améliore l’efficacité des équipes en interne ;
  • Améliore la qualité de la base de données ;
  • La fiabilité de l’analyse prédictive ;
  • Meilleure rentabilité.

Pour accroître l’efficacité de vos méthodes, investissez dans un logiciel CRM (Customer Relationship Management ou Gestion de la Relation Client).

Une expérience utilisateur optimisée

L’user experience va être significativement optimisée, puisqu’elle sera :

  • Personnalisée ;
  • Contextualisée.

C’est également l’occasion de mettre en place un centre de préférences. Ce module de gestion des paramètres d’abonnement permet aux utilisateurs d’indiquer leurs préférences :

  • Les données qu’ils acceptent de transmettre ;
  • À quelle fréquence et sous quelle forme ils souhaitent recevoir vos communications.

Pour les entreprises, c’est un véritable atout :

  • Il se situe dans le consentement fort ou opt-in avec confirmation ;
  • Il permet un meilleur ciblage ;
  • Il génère plus d’engagement avec l’utilisateur.

Pour vous faciliter la vie et celle des utilisateurs, veillez à ce que le centre de préférences dispose d’un design ergonomique (définition : simple à appréhender, à utiliser et pertinent avec les besoins de l’utilisateur). N’hésitez pas à faire des tests utilisateurs pour vous en assurer.

Loin d’être une mauvaise nouvelle, le RGPD peut se transformer en un véritable avantage ! C’est l’occasion pour les entreprises de s’améliorer sur de nombreux points et de nouer une véritable relation de confiance avec leurs clients.

Les points-clés à retenir :

  • Le RGPD est entré en application le 25 mai 2018
  • Les entreprises qui ne se mettront pas en conformité avec les normes RGPD s’exposent à des sanctions allant jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires annuel mondial
  • Cette nouvelle réglementation peut être transformée en véritable atout : meilleur ciblage, ROI optimisé, relation de confiance préservée…

Les 10 étapes indispensables pour être en conformité avec le RGPD