Comment se préparer à la réglementation RGPD ?

À partir du moment où vous exercez une activité commerciale impliquant des citoyens européens vous devez vous conformer au Règlement Général sur la Protection des Données (RGPD). Cette loi a pour objectif d’améliorer la protection des données des consommateurs en renforçant certains dispositifs et en unifiant la législation au niveau européen. Si vous utilisez des cookies ou des pixels de tracking sur votre site internet, vous êtes alors concerné par le RGPD.

Le RGPD entrera en vigueur le 25 mai 2018. Au risque de se voir appliquer amendes et sanctions, cela signifie qu’à partir de cette date, toute entreprise commercialisant des produits ou services auprès de citoyens européens doit être conforme. Mais comment se préparer à la réglementation RGPD ?

Les principes clés du Règlement général sur la Protection des Données – RGPD

Nous vous proposons un résumé des principes clés auxquels se référer lors de votre mise en conformité au RGPD.

1. Les données personnelles doivent être récoltées de manière juste, légale et transparente. Les données personnelles ne doivent pas être utilisées à des fins auxquelles une personne ne s’attendait pas.
2. Les données personnelles doivent être récoltées dans un but précis et ne doivent pas être utilisées d’une manière qui serait incompatible avec ce but. Vous devez donc expliquer pourquoi vous avez besoin de récolter des données personnelles.
3. Les données personnelles détenues doivent être à jour, précises et conservées uniquement le temps d’accomplir un objectif précis.
4. Chaque citoyen a le droit d’accéder aux données qui le concernent. Il peut aussi bien demander une copie de ses données personnelles, leur mise à jour ou leur suppression sans avoir besoin de motiver sa demande.
5. Toutes les données personnelles doivent être stockées de manière sécurisée. Dans certains cas, les entreprises devront désigner un Data Protection Officer – successeur du Correspondant informatique et Libertés.

RGPD : de quelles données personnelles parle-t-on ?

Les données anonymisées, c’est à dire pour lesquelles il est impossible d’identifier une personne physique, ne sont pas concernées par le RGPD.

« Il n’y a pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes. […] Le règlement ne s’applique pas au traitement de telles informations anonymes ».

En l’espèce, rares sont les entreprises ayant une base de données complètement anonymisée. Sachez que toutes les informations que l’on peut aisément attribuer à une personne ou qui permettent de l’identifier directement ou indirectement entrent dans le champ d’application du RGPD. Par exemple, nom, prénom, date de naissance, mais aussi adresse IP ou identifiant de l’appareil utilisé sont concernés par le nouveau règlement européen.
Pour plus d’information sur ce que le RGPD intègre dans la notion de « données personnelles », vous pouvez vous référer au texte de la règlementation.

Les données sensibles – ce que le RGPD appelle « catégorie spéciale de données personnelles » – sont bien entendues incluses dans la définition de « données personnelles ». Il s’agit des données suivantes :

• L’origine raciale ou ethnique
• Les opinions politiques
• Les croyances religieuses ou philosophiques
• L’appartenance syndicale
• Les données génétiques ou biométriques
• La santé ou la vie sexuelle

Se préparer à la réglementation RGPD en 5 étapes

#1 Auditer les données personnelles que l’on stocke

Pour bien se préparer à la réglementation RGPD, vous devrez lister et documenter toutes les données personnelles que vous collectez en spécifiant l’objectif de la collecte. Vous devrez également vous interroger sur l’origine des données ainsi que sur les tiers qui y ont accès. Enfin, vous vous interrogerez sur le lieu de stockage, la durée et les possibilités de supprimer ou mettre à jour les données suite à des demandes de consommateurs.

#2 Vérifier le respect des droits des consommateurs

Assurez-vous que les consommateurs peuvent accéder à leurs données et qu’ils peuvent vous en demander une copie. Ce sera aussi l’occasion de vérifier la manière avec laquelle vous obtenez leur consentement pour utiliser leurs données personnelles. Dans certains cas, il faut obtenir un constamment par une action précise de l’utilisateur : une case précochée ne sera pas recevable ! Un utilisateur peut retirer son consentement à tout moment et votre système de données doit prévoir cette possibilité.

#3 Contrôler l’intégrité des données

Quelle procédure mettre en place en cas de faille de sécurité ou de fuite des données stockées ? Si la fuite compromet la vie privée des consommateurs, vous devrez en informer les autorités compétentes. C’est le moment également de déterminer si vous avez besoin de nommer un Data Protection Officer – DPO – pour superviser l’ensemble des données de votre entreprise.

#4 Lister les tiers avec lesquels vous partagez les données

Listez l’ensemble des solutions que vous utilisez et dont l’usage requiert un pixel de tracking. Ces solutions ont accès aux données personnelles de vos clients ou utilisateurs et elles se doivent d’être conformes au Règlement Général sur la Protection des Données. D’autres tiers peuvent également avoir accès à ces données pour notamment gérer vos campagnes marketing. Il sera nécessaire de revoir les contrats qui vous lient afin de vous assurer de respecter la règlementation.

#5 Intégrer la protection des données dans la conception de votre produit

Anonymiser autant que possible les données dont vous avez besoin. Si votre produit tient compte de la vie privée de ses utilisateurs dès la conception, son impact sera beaucoup moins important sur la protection des données. Par ailleurs, moins votre produit aura besoin de données personnelles plus leur gestion sera souple. Avez-vous besoin de toutes les données que vous récoltez actuellement ? Dans certains cas nous récoltons des données que l’on pense exploiter, mais qui en réalité ne sont pas utiles. L’article 25 du règlement général sur la protection des données nous renseigne davantage sur ce point.

Se préparer à la réglementation RGPD (Réglement générale sur la protection des données)

Ce billet n’a pas vocation à remplacer les conseils d’un avocat spécialisé. Nous vous donnons quelques informations importantes à prendre en compte pour vous aider dans votre démarche de mise en conformité et se préparer à la réglementation RGPD.

Vous constaterez que les experts en RGPD se sont multipliés ces derniers jours. Nous vous invitons à la prudence, car si votre activité requiert un grand volume de données personnelles, les enjeux sont de taille.