RGPD : comment assurer la protection des données personnelles de nos utilisateurs ?

Comment faire en sorte que les données personnelles des clients soient bien traitées ?

Avant le 25 mai 2018, les entreprises devront se conformer aux textes de la nouvelle réglementation européenne plus connue sous le nom de Règlement Général sur la Protection des Données (RGPD) ou GDPR en anglais.

Bien que ce règlement puisse apparaître, de prime abord, comme une contrainte par une grande majorité des entreprises, en raison de la lourdeur administrative et du montant des sanctions, il va faire prendre conscience de l’importance d’une bonne gestion de la collecte, de la génération et de l’exploitation des données personnelles. Être “GDPR compliant” est le nouveau challenge des entreprises et les secteurs du marketing mobile comme du web sont sous haute surveillance.  

 

Français de plus en plus sensibles à la protection des données personnelles

 

Le RGPD : plus de droits pour les citoyens de l’UE

 

Le but premier du RGPD est de garantir une meilleure protection des données personnelles de chaque individu. Par ce biais, le traitement et la collecte de données sont davantage réglementés, afin de permettre une plus grande transparence de ce nouvel or digital.

Ce texte présente les droits auxquels il veille. Ainsi, cinq types de droits sont mentionnés, tels que :

  • le droit d’accès aux données
  • le droit à l’oubli et à l’effacement des données
  • le droit à la portabilité des données
  • le droit de notification

 

Le droit d’accès : définition

Qu’est-ce que le droit d’accès ?

Ce droit est sûrement le socle de la démarche de transparence instaurée par l’entrée en application du RGPD. Le mot d’ordre : Transparence.

Ce point intervient lorsque des données à caractère personnel relatives à une personne physique sont collectées. Cette personne a le droit de demander à ce qu’on lui fournisse les informations suivantes :

  • Les finalités du traitement,
  • les catégories de données à caractère personnel concernées,
  • les destinataires ou catégories de destinataires auxquels les données ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales,
  • lorsque cela est possible, la durée de conservation des données envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée,
  • l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données relatives à la personne concernée, ou du droit de s’opposer à ce traitement,
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle,
  • lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source,
  • l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

La personne concernée peut faire jouer ce droit auprès du responsable du traitement des données (souvent le DPO). Cette réponse n’engendrera aucun coût supplémentaire pour le citoyen si celui-ci ne demande pas de copies supplémentaires.

 

Qu’est-ce que le droit à l’oubli ou droit à l’effacement ?

L’utilisateur sera en droit de demander la suppression de ses données auprès du responsable du traitement dans certains cas spécifiques :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière,
  • la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement,
  • la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2,
  • les données à caractère personnel ont fait l’objet d’un traitement illicite,
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’UE ou par le droit de l’État membre auquel le responsable du traitement est soumis,
  • les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information.

Un client pourra à tout moment retirer son consentement à l’utilisation de ses données par votre entreprise.

 

Qu’est-ce que le droit à la portabilité des données ?

Les utilisateurs auront le droit de récupérer leurs données à des fins de réutilisation par un autre fournisseur de service. En effet, la CNIL précise que le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles.

 

Le droit de notification : définition

En cas de fuite de données concernant un utilisateur, celui-ci aura le droit d’être informé dans un délai de 72h suivant la découverte de la fuite. Ce droit permet de protéger l’individu contre toute forme de violation de ses données.

 

Dans quel cas peut on parler de violation des données ?

D’après la CNIL, on parle de violation des données si :

  • Vous avez autorisé le traitement de vos données personnelles,
  • ces données ont fait l’objet d’une violation (destruction, perte, altération, divulgation ou un accès non autorisé à certaines données, de manière accidentelle ou illicite),
  • cette violation est intervenue dans le cadre de votre activité de fourniture de services de communications électroniques (par exemple, lors de la fourniture de votre service de téléphonie ou d’accès à d’internet).

 

Identification et objectif du traitement des données

 

Focus sur le consentement obligatoire et transparent

Les objectifs de la nouvelle réglementation :

  • Assurer la légitimité et le respect des intérêts de la personne concernée,
  • Indiquer la méthodologie de collecte de données et la finalité de leur exploitation,
  • Restreindre la collecte des données uniquement aux données considérées comme strictement nécessaire à la finalité du traitement envisagé : c’est le principe de “minimisation des données”.

Plus que jamais, le RGPD impose d’avoir obtenu de manière explicite et claire le consentement de la part de l’individu concernant le recueil et l’exploitation de ses données. Dans le monde du mobile, cela fait référence au fameux Opt-in.

Une application ne pourra plus envoyer un simple pop-up demandant l’activation de la géolocalisation sans, dans le même message, informer le mobinaute de la raison de cette demande et du traitement que la marque fera de son emplacement. Ainsi, toute une communication de la relation client est à repenser…

 

La responsabilisation des personnes traitant des données personnelles

Qu’est-ce que le principe d’accountability ?

  • Ensemble de bonnes pratiques destinées à améliorer la protection des données et permettant de démontrer aisément l’efficacité des mesures prises
  • Coopération entre les autorités compétentes réalisant le traitement pour renforcer la protection des données personnelles

Dans le domaine de la protection des données, ce principe n’est pas foncièrement le plus innovant. Plusieurs textes y faisaient déjà référence avant le RGPD : les lignes directrices de l’OCDE en 1980, la norme ISO 29100 ou encore le standard de la conférence internationale de Madrid.

Néanmoins, il ne reste pas moins une composante à prendre en compte dans votre mise en conformité.

 

Respecter les principes de “Privacy by Design” ou “ Privacy by Default”

Il s’agit d’assurer toutes les mesures de sécurité visant à protéger la vie privée des individus :

  • Restreindre la quantité de données collectées
  • “Anonymiser” les données
  • Réduire la durée de conservation
  • Chiffrer les données

Concernant les applications mobiles, l’approche de Privacy by Design sera à prendre en compte dès la création de l’app. Ce principe de “Privacy by Default” doit permettre le respect de la protection de la vie privée des utilisateurs dès la conception de l’architecture des systèmes informatiques. Elle doit faire partie intégrante du système, sans porter atteinte à son fonctionnement.

 

Amélioration de la sécurité des données personnelles de nos utilisateurs

 

Réaliser des études d’impact sur la vie privée (PIA)

Les PIA ne sont pas obligatoires. Ce sont des études qui permettent d’auditer votre solution et d’en faire ressortir les éléments sur lesquels vous devez apporter une vigilance toute particulière car ils ont de forts impacts sur le respect de la vie privée de vos utilisateurs.

Votre DPO pourra notamment vous spécifier si une PIA est nécessaire.

 

GDPR compliance : un challenge pour toute l’entreprise

Le RGPD est sans égard le mot clef de l’année. Trop souvent vu comme une contrainte, il en perd son essence : l’apport d’une protection supplémentaire à tout individu. Il est vrai que dans une économie de la data, ce nouveau règlement européen bouscule certaines habitudes du marché. Il est néanmoins nécessaire de rappeler que ce règlement est en vigueur depuis 2016, et que c’est son entrée en application qui interviendra courant 2018.

Votre mise en conformité résulte de plusieurs étapes tant internes qu’externes.

Tout d’abord il est indispensable de nommer un responsable à la protection des données (DPO).

Quelles sont les missions du DPO (Data Protection Officer)  ?

  • Contrôler la conformité au RGPD des process de traitement, de collecte et d’exploitation des données par l’entreprise
  • Accompagner et conseiller les responsables de services et les collaborateurs de l’entreprise vers une utilisation des données personnelles conforme à la réglementation
  • Alerter la direction centrale si un manquement aux règles établies par le RGPD est détecté

Il faut également s’assurer que les collaborateurs disposent de toutes les informations liées RGPD et au processus de la collecte des données personnelles : 

  • Revérifier les formulaires demandant aux individus de renseigner leurs informations personnelles
  • Intégrer une mention d’information en bas des formulaires afin de renforcer la transparence de la collecte des données

 

Bonus :  nos conseils pour une meilleur gestion du Feedback Management et une amélioration de l’expérience client

1. Optimisez les outils de Feedback management et d’engagement client :

  • Les chatbots sur les applis ou les sites
  • Le messaging In-App
  • Les réseaux sociaux
  • Avis /retour utilisateur via l’ASO ou Google Play Store

 

2. Centralisez les données

Les avantages de la centralisation :

  • Mettre les données à disposition de tous les acteurs de l’entreprise
  • Assurer une meilleure circulation des feedbacks entre les différents services
  • Favoriser la communication interne
  • Impliquer les employés dans l’amélioration du service client
  • Faciliter le traitement et l’analyse des données collectées

 

Français de plus en plus sensibles à la protection des données personnelles