Le RGPD : J-7…

Le RGPD : J-7…

À une semaine de la mise en application du nouveau règlement général européen sur la protection des données (RGPD), il est temps de faire le bilan du chemin parcouru par les organisations publiques et privées pour entrer en conformité avec les obligations que cette réglementation impose.

Au cours des dernières semaines, en tant qu’utilisateurs web nous avons tous reçu des notifications de la part d’Apple, Facebook, Google, LinkedIn, Twitter, Yahoo etc. concernant les modifications des conditions d’utilisation de nos comptes et politiques de confidentialité de nos données.

Rien de nouveau, sauf que cette fois-ci  on y comprenait quelque chose…

La mise en œuvre prochaine du RGPD ne s’adresse pas exclusivement aux grandes marques et institutions. Le règlement donne aux citoyens des états membres de l’Union Européenne un accès et un contrôle sans précédent sur leurs données personnelles qui sont collectées, stockées, exploitées et transférées par les organisations.

« Le RGPD impactera toutes les entreprises, quelle que soit leur implantation dans le monde, qui proposent des produits ou des services aux personnes basées dans l’UE ou qui surveillent le comportement de ces personnes et, ce faisant, traitent et sauvegardent des données », a déclaré Emmanuel Richard, Directeur Associé d’Extens Consulting, cabinet de conseil et filiale de Sitel Group.

Dans cette optique, et à l’approche de la date limite, voici les six étapes majeures qu’une entreprise doit avoir validées pour se conformer à la nouvelle réglementation.

Consultez le livre blanc d’Extens Consulting : RGPD : De la donnée personnelle à la donnée relationnelle

Embarquez tout le monde

La mise en conformité concerne tous les membres d’une organisation et les chefs d’entreprise doivent s’assurer que toutes leurs équipes, à tous les niveaux, disposent des formations nécessaires pour être en mesure de comprendre non seulement le cadre juridique dans lequel s’inscrit désormais le traitement des données mais aussi les outils mis en place pour en garantir la sécurisation.

Recensement et suivi des données

Savez-vous quelles informations votre organisation détient, pour combien de temps celles-ci sont stockées, quels objectifs elles servent et enfin si et pourquoi elles sont partagées avec des tiers ? Le RGPD rend non seulement les entreprises responsables des données qu’elles exploitent en les obligeant à tenir un registre interne qui recense chaque traitement, mais aussi les sous-traitants et partenaires qui utilisent ces données en votre nom. Sont-ils eux-aussi conformes ?

L’objectif réel se substitue à l’objectif potentiel

La nouvelle réglementation vise à empêcher les organisations de collecter des informations « au cas où ». Collecter aujourd’hui des données personnelles qui peut-être répondront  demain à un objectif potentiel n’est plus autorisé, et chaque donnée doit être recueillie avec le consentement explicite de la personne qui vous la soumet.

N’oubliez pas le droit à l’oubli

Les consommateurs pourront demander que leurs données soient modifiées, supprimées ou transférées sous un format lisible et structuré vers une autre organisation. Il vous faut mettre en place les procédures et les personnes capables d’engager rapidement ces différentes actions.

Faites de la sécurisation une priorité

Le RGPD est avant tout un garde-fou des données personnelles européennes. Par conséquent, pour être conformes, les entreprises doivent pouvoir réaliser des analyses d’impacts et avoir un dispositif de sécurisation conforme au niveau exigé par l’article 32 du RGPD. Aussi, elles doivent présenter une politique claire sur la façon dont elles surveillent, détectent et signalent sous 72h une violation de données et les mesures existantes pour y remédier ou en atténuer les dégâts le cas échéant.

Devez-vous nommer un DPD ?

Le délégué à la protection des données (DPD) doit guider les entreprises dans leur bonne gouvernance des données et le respect du RGPD. Si cette fonction n’est pas obligatoire pour toutes les organisations (bien qu’elle soit recommandée), elle est requise dès lors que les activités de l’organisation « exigent un suivi régulier et systématique à grande échelle des personnes concernées » ou « consistent en un traitement à grande échelle de catégories particulières de données » tels que les dossiers médicaux par exemple.

Les petites structures qui répondent à ces critères peuvent s’adresser à un expert externe pour remplir la fonction de DPD.

Mais si ce parcours de mise en conformité implique un ensemble de contraintes, il faut voir dans le RGPD un levier de croissance économique grâce à l’opportunité stratégique qu’il offre aux marques de revaloriser leur « capital confiance » auprès des citoyens consommateurs.

« Cette réglementation est l’occasion de renouer avec vos clients, de renforcer leur confiance et de promouvoir votre transparence», explique Emmanuel Richard. « En communiquant avec vos clients quelles données vous collectez et comment vous les utilisez, vous les encouragez à contribuer de façon libre aux ‘’bonnes données’’ qu’ils partagent avec vous, ce qui amènera une meilleure compréhension du client et, par conséquent, une plus grande personnalisation de la relation et de l’expérience que vous leur proposez de vivre avec votre marque. »

 

Sitel Group

contact_form_siteldesk







En soumettant vos informations, vous acceptez ces conditions.