RGPD – les impacts pour les achats et les ventes

Contexte

Le nouveau Règlement Général sur la Protection des Données (Personnelles) est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Il remplace la loi Informatique et libertés, simple obligation de déclaration, par une obligation de prouver à chaque moment que l’entreprise protège les données qu’elle traite.

Il renforce également les droits des personnes dont les données personnelles sont collectées. 

Le périmètre

Le règlement stipule qu’il s’agit de « toute information concernant une personne physique identifiée ou identifiable« , directement ou indirectement.
Toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est donc concernée par ce règlement : il n’y a pas de critère de taille d’entreprise, de lieu de stockage des données ou encore de secteur d’activité.

Les objectifs

  • Responsabiliser les acteurs traitant des données
  • Renforcer la régulation et la cohérence des règles entre les autorités de protection des données
  • Redonner leurs droits aux personnes : droit à la portabilité des données personnelles et dispositions propres aux personnes mineures

Date de mise en place : 25 mai 2018

Qui est le responsable du traitement ?

Pour le secteur privé, il s’agit en général du président de l’entreprise.

Si l’entreprise fait appel à un sous-traitant, ce dernier doit présenter des garanties suffisantes pour assurer la confidentialité des données personnelles.
Par ailleurs, la tenue du registre des activités de traitement n’est pas forcément obligatoire, pour les structures de moins de 250 salariés.

DPO (data protection officer) obligatoire si et seulement si…

  • le traitement est effectué par une institution publique ;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
  • les activités de base du responsable ou du sous-traitant consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Pour rappel, même si une entreprise n’est pas concernée par l’obligation de désigner un DPO, elle devra tout de même pouvoir justifier à tout moment du strict respect du RGPD dans sa gestion des données.

Définitions

Donnée : « toute information concernant une personne physique identifiée ou identifiable », directement ou indirectement.

Des données indirectement identifiantes, telles qu’un numéro de téléphone, ou un identifiant, ou accessibles via un recoupement d’informations (adresse et profession permettant de remonter à la personne par déduction…) sont donc concernées. De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d’actions marketing de profilage DMP), si elles sont corrélées à une identité, deviennent des données à caractère personnel.
Traitement : « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »

Principes clés d’application du règlement européen sur la protection des données personnelles

  • La finalité

Annoncer à l’intéressé à quoi vont servir les données collectées de manière déterminée, légitime et explicite. Exemples de finalités : gestion de la clientèle, enquête de satisfaction, protection des biens et des personnes, etc.

  • La pertinence

Ne collecter QUE les données dont on a besoin pour remplir cet objectif, pas d’autres

Attention aux champs libres et aux zones commentaires : qui peuvent susciter la saisie d’informations sensibles non nécessaires.

  • La conservation

Une fois l’objectif atteint, ces données ne servent plus à rien, leur conservation doit donc être limitée dans le temps – et cette durée dépend des finalités poursuivies.

Exemple : Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées, les données figurant dans un dossier médical doivent être conservées 10 ans, la durée de vie des cookies déposés doit être limitée à 13 mois, etc…

  • Les droits

Les personnes ont un droit d’accès, de rectification et d’opposition à l’utilisation de leurs données personnelles. Le responsable de fichier doit expliquer aux personnes concernées la procédure  (où, comment et à qui s’adresser ? ) permettant de les exercer concrètement.

Lorsqu’elles exercent leurs droits (par écrit ou sur place), les personnes doivent obtenir une réponse avant 2 mois.

  • La sécurité

Celui qui collecte et traite les données est tenu de prendre toutes précautions utiles afin de garantir la sécurité et la confidentialité des données, notamment seules les personnes autorisées peuvent y accéder. Ceci afin de protéger les impacts sur la vie privée des personnes concernées par les données traitées.

Pré-requis

Les données doivent être collectées et traitées de manière loyale et licite. Et pour ce faire, la collecte doit s’accompagner d’une information claire sur :

  • L’identité du responsable du fichier
  • La finalité du fichier
  • Le caractère obligatoire ou facultatif des réponses ou les conséquences d’un défaut de réponse
  • Les destinataires ou catégories de destinataires des données
  • Les droits des personnes
  • Les éventuels transferts de données hors UE

Le recueil du consentement

Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. De plus, il ne doit pas être subordonné à la souscription d’un autre produit ou service. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut.

Le consentement est « préalable » à la collecte des données.

Le consentement préalable de la personne concernée est notamment requis :

  • En cas de collecte de données sensibles
  • De réutilisation des données à d’autres fins
  • D’utilisation de cookies pour certaines finalités
  • D’utilisation des données à des fins de prospection commerciale

Le droit d'opposition

Les personnes peuvent s’opposer à la réutilisation de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. Une case à cocher, non cochée par défaut !, leur permettra d’exprimer leur choix sur le formulaire ou bon de commande à remplir.

L'impact pour les clients EASYPICS

Au niveau des achats

L’entrée en vigueur de la RGPD nécessite de revoir les contrats avec vos fournisseurs : lesquels sont impactés par cette nouvelle réglementation et en quoi cela vous touche ?

Chaque maillon de la chaîne de valeur devra être en capacité de démontrer sa conformité, et l’élaboration du contrat de sous-traitance va devenir obligatoire pour se prémunir.

3 cas pour les fournisseurs concernés :

  • Ceux qui ont accès aux données (exemple : prestations de conseil, de développement ou encore de maintenance…)
  • Les fournisseurs responsables de l’hébergement ou l’infogérance d’un système d’information
  • Ceux qui traitent les données en tant que telles

N’hésitez pas à réaliser une analyse d’impact, voire de consulter préalablement la CNIL en cas de risque élevé, et faites-vous surtout aider du conseil de vos juristes afin d’y voir plus clair : enfin, ne négligez pas la maîtrise des dispositifs internes du prestataire permettant d’attester en tout temps de la protection structurelle.

Il faut également solliciter les experts de la sécurité informatique qui indiqueront comment réorganiser les processus et se conformer aux normes de sécurité, interroger les éditeurs logiciels ou cloud sur les changements qui seront déployés sur leurs technologies dans les mois à venir. 

Enfin, il faut intégrer ces informations aux contrats en cours ou à venir.

Au niveau des ventes

Au niveau CRM, il sera important de sensibiliser les équipes à la nature des informations collectées, dans les zones de commentaires notamment, sachant qu’à ce niveau, la recommandation de la CNIL est de favoriser les menus déroulants.

Cependant, l’utilisation de ces zones permet d’assurer le suivi d’un dossier client ou de personnaliser la relation commerciale…Dans ce cas, la Cnil préconise la réalisation d’audits réguliers et le recours à des outils automatiques. Ainsi, toute saisie non conforme pourra être détectée et corrigée en temps réel.

Il sera également essentiel d’automatiser la gestion des données et des bases dans le temps : besoin de nouveaux consentements, suppression des données etc.. en collaboration avec le service marketing.

A noter : au préalable, la Cnil devait démontrer les manquements et le responsable du traitement avait du temps pour régulariser. Demain, cela sera à l’entreprise de démontrer qu’elle est en conformité.

Les sanctions

En termes de sanction financière, l’enjeu de la « privacy » se hisse à la même hauteur que les délits de corruption et de cartel. Pour les manquements les plus graves, le montant pourra atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Si l’on a tout simplement pas mis en place de procédure de contrôle dans l’entreprise, c’est sanctionnable aussi, mais moins lourdement.

 

A noter : au préalable, la Cnil devait démontrer les manquements et le responsable du traitement avait du temps pour régulariser. Demain, cela sera à l’entreprise de démontrer qu’elle est en conformité.

Notification des violations et mise en place de procédures d’alerte

Il est obligatoire de prévenir la CNIL dans les 72h, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Les bonnes questions à se poser pour être dorénavant en conformité

  • De quelles données ai-je vraiment besoin pour atteindre l’objectif fixé à mon fichier, et la collecte de ces données est-elle légitime ?
  • Les données que je recueille sont-elles objectives ?
  • Pourrai-je en toute transparence, donner accès à toute personne qui en fait la demande à l’ensemble des données que je détiens sur elle ?
  • Est-ce que je recueille des données sensibles ? Ai-je le droit de collecter ces données ? Est-ce justifié au regard de mes missions ?  Puis-je faire autrement ?
  • Jusqu’à quand ai-je vraiment besoin de ces donnés pour atteindre l’objectif fixé ?
  • Ai-je pensé à mettre en place un système de suppression automatique ou de relance de mes contacts avant expiration du délai légal de conservation toléré ?
  • Quelles sont les règles d’archivage des données ?

Plus de renseignements ?

email

Prénom / Nom

Société

Numéro de téléphone

Ma question

en cliquant ici, vous acceptez de recevoir nos offres et informations.

RGPD – les impacts pour les achats et les ventes

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *