Soyez incollable sur le GDPR !

Soyez incollable sur le GDPR !

Vous souhaitez en savoir plus sur le GDPR ? Javista répond à vos questions pour vous aider à devenir incollable !

GDPR1-Le GDPR, qu’est-ce que c’est ? 

GDPR est l’acronyme de General Data Protection Regulation. Son équivalent en français est RGPD pour Règlement Général sur la Protection des Données.

Le Règlement Général sur la Protection des Données (RGPD) est le nouveau règlement européen concernant la protection des données à caractère personnel, qui touchera les entreprises du monde entier lorsqu’elle deviendra applicable le 25 mai 2018. Il réglemente la manière dont une organisation collecte, traite ou stocke les données personnelles des citoyens de l’Union Européenne (UE), y compris les organisations situées en dehors de l’UE.

GDPR2-Combien d’articles de loi composent le GDPR ?

Le Règlement Général sur la Protection des Données est constitué de 99 articles de loi dont le rôle est d’instaurer les principes à appliquer par toutes les entreprises qui détiennent ou traitent des données à caractère personnel de citoyens européens.

GDPR3-Quand s’appliquera cette nouvelle règlementation ? 

Ce nouveau règlement européen concernant la protection des données à caractère personnel entrera en vigueur le vendredi 25 mai 2018 et viendra remplacer la directive européenne de 1995 sur la protection des données.

Cela ne vous laisse plus que quelques mois pour vous préparer !

GDPR4-Qui est concerné par le GDPR ? 

Ce règlement s’appliquera à tout organisme ou entreprise, privé ou public, localisé ou non au sein de l’Union Européenne et qui détiennent ou traitent des données à caractère personnel de citoyens européens

Elipse_canevas_orange_Plan de travail 1 (002)5-GDPR, quels seront les impacts pour l’entreprise ?

Le GDPR implique de nouvelles obligations qui exigent une transformation en profondeur de la gouvernance des données :

  • 72 heures : délai pour signaler aux autorités compétentes (la CNIL en France) toute violation liée à l’intégrité des données (perte, fuite, vol, etc.) et pour informer la personne concernée de la violation de ses données ;
  • Accountability : souvent traduit par l’« obligation de rendre compte », chaque acteur devra lancer les actions et mesures qu’il juge nécessaires en matière de sécurité des données et les documenter ;
  • Privacy by Design, ou « protection de la vie privée dès la conception » : intégration de ce principe-clé sur tout le cycle de vie des données ;
  • Transparence : les entreprises devront expliquer, de façon visible et claire, la manière dont les données des individus (clients, prospects, salariés, prestataires) sont traitées ;
  • Data Protection Officer : désignation d’un Délégué à la Protection des Données, fortement recommandée.
Ces principes et obligations imposés par le règlement GDPR s’appliqueront également aux sous-traitants, susceptibles d’être sanctionnés en cas d’infraction (principe de co-responsabilité).

RGPD6-Quels seront les impacts du GDPR sur les actions marketing ?

Le nouveau Règlement Européen sur la Protection des Données personnelles (RGPD) aura un impact fort sur les actions marketing :

  • tous les traitements de données personnelles (data processing) effectués par l’entreprise devront désormais être recensés au sein d’un registre et « documentés » ; (quel type de données ?, pour quel type d’usage ?, pour quelles modalités de traitement ?, etc.) ;
  • les entreprises collectant des données personnelles à des fins de Marketing direct devront recueillir le consentement* des personnes, et désormais être en capacité d’en apporter la preuve ;
  • les entreprises auront l’obligation d’expliquer de façon visible et claire, le traitement et l’utilisation qu’elles vont faire de ces données, dans une logique de transparence ;
  • les entreprises auront interdiction de collecter et d’exploiter des données concernant des enfants (de moins de 16 ans) ;
  • les entreprises devront enfin garantir aux clients/prospects le droit de s’opposer purement et simplement à certains types de traitement de leurs données (utilisation marketing, transmission à des tiers, etc.), mais aussi la possibilité de les effacer (droit à l’oubli) ou encore de les transférer vers un autre prestataire (portabilité des données) ;
  • enfin, les entreprises publiques, ou de plus de 250 salariés ou traitant des données à caractère sensible (données bancaires, médicales ou à caractère confidentiel), devront mettre en place des procédures spécifiques de sécurisation de leurs données.

*le consentement se définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Dans le cadre de cette nouvelle réglementation et pour obtenir le consentement d’une personne, les entreprises devront implémenter le double opt-in, pratique par laquelle une demande d’abonnement à une newsletter ne devient effective qu’après avoir cliqué sur un lien (ou un bouton) figurant dans un email de confirmation lié à la demande.

Elipse_email_orange_Plan de travail 1 (002)7- Quels seront les impacts du GDPR sur les actions digitales ?

Avec le GDPR, tous les cookies et moyens d’identifier un individu, ou de le traiter comme unique sans l’identifier, sont maintenant considérés comme des données personnelles.

Ainsi, les sites web et applications mobiles devront indiquer clairement l’utilisation des données collectées, au niveau des mentions légales et des formulaires -contact, abonnement, téléchargement, etc.-, via des cases à cocher.

Les campagnes e-mailings et push sms ne pourront être envoyés qu’aux personnes ayant donné leur accord pour être sollicitées par l’entreprise émettrice.

RGPD8-Quels sont les experts qui peuvent intervenir sur le sujet ?

Sans compter la nomination, obligatoire dans certains cas, d’un Délégué à la Protection des Données (DPO), différentes expertises peuvent entrer en jeu pour accompagner les entreprises dans leur mise en conformité : experts juridiques, experts en gouvernance des données et/ou experts en cybersécurité, etc.

RGPD9- Que signifie DPO ?

Les initiales DPO désignent le terme Data Protection Officer. En français, on parlera de Délégué à la Protection des Données (DPD).

Cette personne a pour mission de piloter la mise en conformité en s’assurant que son employeur est dans le respect de la législation lorsqu’il utilise les données à caractère personnel, aussi bien à des fins commerciales qu’internes.

Êtes-vous concerné par le recrutement d’un tel profil ?

Sa nomination est obligatoire dans le secteur public et pour les entreprises de plus de 250 personnes ou fortement recommandée, dans le cadre de traitement de données à grande échelle, de suivi régulier et systématique ou de données sensibles.

GDPR10- Quelles sont les étapes-clés pour se mettre en conformité ?

Javista a identifié 5 étapes-clés pour se mettre en conformité :

ÉTAPE 1

Cartographier les données à caractère personnel puis identifier les traitements de données.

ÉTAPE 2

Identifier les risques à travers l’analyse d’impact des traitements de données (Privacy Impact Assessment, PIA), la détection des failles de sécurité, etc.

ÉTAPE 3

Mettre en conformité les traitements de données, en associant étroitement la fonction juridique.

ÉTAPE 4

Élaborer et faire valider le plan d’actions : permissions d’accès, collecte, stockage, sécurité, gouvernance, processus et procédures, choix des outils et des prestataires, etc.

ÉTAPE 5

Documenter sa conformité en créant le Registre des traitements imposé par le règlement GDPR pour les entreprises de plus de 250 salariés et en rassemblant dans un dossier documentaire l’ensemble des éléments de travail liés aux données.

Tout au long de ce processus de mise en conformité, mener des actions de conduite de changement pour sensibiliser l’ensemble des collaborateurs aux enjeux liés à la protection des données personnelles.

Quelles sont les sanctions que je risque en cas de non mise en conformité ?

Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

RGPDGDPR, où en êtes-vous ?

RGPDComment pouvons-nous vous aider ?

Vous avez un projet ? Contactez-nous
2018-04-13T09:42:22+00:00 15 février 2018|Blog, Expérience Client, Marketing Digital, Tips and Tricks Javista|