À moins que vous ne viviez dans une grotte aux confins de l’univers, sachez que vous êtes concerné par le RGPD ! Plus sérieusement, dès lors que votre établissement, public ou privé, récolte et stocke des données personnelles de résidents de l’Union Européenne, vous êtes visé !
Qu’est-ce que le RGPD (ou GDPR pour les anglais) ?
Le Règlement Général sur la Protection des Données est le règlement européen qui vient consolider les grands principes de la loi Informatique et Libertés de manière à ce que l’Europe soit plus en adéquation avec les réalités et les risques liés au numérique.
Cette réforme qui entrera en application le 25 mai 2018, porte principalement sur le renforcement du droit des personnes (consentement, accès et modification des informations personnelles, …) ainsi que sur la sécurité de ces informations (obligations et responsabilités des acteurs traitant ces données).

 

Règlement Général sur la Protection des Données : de quelles données parle-t-on ?

 

Le RGPD s’applique particulièrement aux données personnelles. La CNIL définit la donnée à caractère personnel comme suit :

« Toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »

Le règlement européen concerne également le traitement des données sensibles. Une donnée sensible est une information qui porte sur :

  • les opinions politiques et philosophiques,
  • la religion ou l’appartenance syndicale,
  • la santé, la vie sexuelle d’une personne,
  • ou bien encore ses origines raciales ou ethniques.

 

On parle de données personnelles mais qu’en est-il des données liées à une relation commerciale B to B ?

Il est important de préciser que la CNIL définit une adresse email professionnelle comme une donnée personnelle, lorsque celle-ci permet d’identifier une personne (ex : nom.prénom@nomdelasociété.fr). Les bases de données dans un cadre de relation commerciale BtoB sont donc impactées par le RGPD.

Alors, opt-in ou opt-out pour les B to B ?

Le RGPD ne remet pas en cause la Loi Informatique et Libertés sur la prospection commerciale par courrier électronique pour les professionnels (B to B). En effet, l’accord préalable pour être démarché n’est pas obligatoire dans ce cas. Cependant, la personne (prospect, client) doit être informée de la finalité et doit disposer d’un moyen simple et gratuit pour s’opposer à l’utilisation de son adresse email.

 

Comment se mettre en conformité ?

 

De manière non exhaustive, nous avons listé les points qui nous semblaient les plus importants à souligner pour être en conformité avant le 25 mai 2018 :

  • Désigner ou recruter un délégué à la protection des données ou DPO (Data protection officer) – À noter que cette fonction peut tout à fait être externalisée.
  • Cartographier les traitements de données personnelles : identifiez les données personnelles et sensibles dont vous disposez et identifiez où celles-ci sont stockées
  • Procéder à une analyse d’impact sur la protection des données (non obligatoire) : vous pouvez télécharger l’outil PIA (Privacy Impact Assessment) mis à disposition par la CNIL
  • Identifier et réduire les risques pour les traitements de données – exemple : mise en place d’un broyeur pour la sécurité des données personnelles sensibles sur documents papiers
  • Améliorer la sécurité des traitements et du stockage des données personnelles :
  • établir un processus de notification de violation des données
  • mise en place d’un système d’effacement des données : la loi Informatique et Libertés prévoit ainsi un délai de conservation des données clients de 3 ans maximum – téléchargez le référentiel sur la durée de conservation
  • limiter l’accès aux données : gestion des droits d’accès à la base et des droits de traitement en fonction du profil/rôle et mise en place de mots de passe renforcés
  • Constituer et maintenir la documentation requise pour la mise en conformité GDPR
  • Monitorer et suivre les traitements de données à risque élevé
  • Vérifier la légitimité des données récoltées : évitez le stockage d’informations personnelles superflues qui ne vous sont d’aucune utilité
  • Renseigner obligatoirement dans votre CRM la provenance, l’origine de la donnée (email, évènement, formulaire site internet…)
  • Donner la possibilité aux personnes d’exercer leurs droits concernant leurs données personnelles (droits d’accès, de rectification, droit à l’oubli, portabilité, limitation…) : indiquez comment prendre contact avec vos services pour effectuer ces démarches
  • Obtenir le consentement des personnes avant de récolter des données personnelles et les informer de leur finalité
  • Revoir les contrats de prestations existants : cadrez les responsabilités des parties concernant les traitements des données
  • Renseigner les utilisateurs, clients, prospects et toute autre personne dont vous récoltez des données personnelles de la Politique de protection des données personnelles de votre entreprise
  • D’un point de vue RH : assurer la protection des données des salariés en interne, des sous-traitants et également des candidats au recrutement

 

Le travail de préparation pour la mise en conformité peut paraître titanesque pour certains d’entre vous, surtout si vous n’avez pas encore entamé les démarches pour le 25 mai prochain.
Mais pas de panique, la CNIL est présente pour vous accompagner et elle prévoit d’ailleurs une certaine souplesse dans un premier temps :

« Dans un souci de simplicité et d’accompagnement, la CNIL n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements qui ont régulièrement fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 (récépissé, autorisation, avis de la CNIL), ou qui ont été consignés au registre d’un correspondant informatique et libertés. De tels traitements ne seront donc pas soumis immédiatement à l’obligation d’analyse d’impact. Cependant, le RGPD imposant une réévaluation dynamique des risques, une telle analyse d’impact, pour les traitements en cours et qui sont susceptibles de présenter un risque élevé, devra en principe être réalisée dans un délai raisonnable qui peut être estimé à 3 ans à compter du 25 mai 2018. »

La CNIL met également à votre disposition un document utile pour gérer le sujet : SE PRÉPARER AU GDPR EN 6 ÉTAPES

 

 

Vous êtes équipé d’un CRM et souhaitez être accompagné sur la mise en conformité de votre solution au RGPD ?

Contactez-nous !

 

En tant qu’intégrateur, Technomade peut effectuer dans votre outil CRM, les prestations suivantes pour vous aider à être en conformité :

  • Pour répondre aux demandes d’informations des personnes : Mise en place d’un système d’accès aux données.
  • Pour informer les personnes lors de création dans le CRM : Mise en place d’un canal de communication pour valider le consentement.
  • Pour sécuriser la donnée :  Mise en place de contrôle d’accès aux données (Système d’authentification, Accès sécurisé …)
  • Pour limiter l’accès à la base : Paramétrage des droits d’accès aux données selon les profils d’utilisateurs.
  • Pour limiter le volume des données personnelles : Paramétrage d’écrans, suppression de champs superflus pour lesquels les données ne sont pas légitimes et intégration de champs obligatoires concernant la provenance des données personnelles
  • Pour respecter la règle de conservation des données (de type commercial) sur 3 ans : Mise en place de processus pour gérer l’effacement et/ou anonymisation.
  • Pour répondre à l’ensemble de ces points, une étude préalable de votre environnement CRM est à prévoir.

 

Poster un Commentaire

avatar