Le RGPD est là mais vous n’avez toujours pas osé vous attaquer au dossier ? Par où commencer ? De l’évaluation des risques à la sensibilisation des équipes, voici 5 chantiers à prioriser pour être en conformité dans les plus brefs délais proposés par Michaël Froment, directeur et co-fondateur de Commanders Act.
Le temps presse pour le RGPD (Règlement Général sur la Protection des Données). Le 25 mai 2018, le RGPD entrera en action. Avec lui, la gestion des données personnelles passe du régime de la déclaration à celui de la responsabilisation et du contrôle.
Et gare à ceux qui ne prendront pas leurs responsabilités. Les amendes prévues sont lourdes : de 10 à 20 millions d’euros ou 2% à 4% du chiffre d’affaires mondial, selon les manquements.
Par où commencer ? Voici 5 questions clés. Le RGPD demande aux organisations d’inscrire la protection des données personnelles dans leur mode de fonctionnement et de conception, d’où la notion de « Privacy by default » ou de « Privacy by design ».
#1 Évaluez les risques
Vous ne pouvez pas échapper à ce travail fastidieux. Il faut établir une cartographie des risques et un lien précis entre les traitements opérés et les solutions impliquées. Listez les données personnelles que vous exploitez et analysez chaque étape de leur cycle de vie sous l’angle de leur sécurité.
- Quelle est la nature de ces données ?
- À quelles finalités sont-elles associées ?
- Où ces informations sont-elles stockées?
- Leur accès est-il sécurisé, par exemple via une authentification à double facteur ?
- Leur contenu est-il protégé, par exemple via du chiffrement ?
- Des sous-traitants accèdent-ils à ces données ? À quelles fins ? Dans quelles conditions ?
- Les opérations réalisées sur ces informations sont-elles bien historisées ?
- Les procédures relatives à ces informations sont-elles documentées ?
Impératif associé, être en mesure de rendre compte des mesures prises et des actions menées au quotidien (notion « d’Accountability »). C’est fastidieux mais indispensable.
Précision : une donnée à caractère personnel c’est quoi ?
Selon le RGPD, une information personnelle est une information relative à une personne physique identifiable, directement ou indirectement, par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Un cookie est bien une donnée à caractère personnel puisqu’il permet indirectement une identification. Conséquence concrète : avec la RGPD, les cookies ne peuvent être activés qu’en obtenant l’accord explicite de l’utilisateur une fois celui-ci informé de la finalité du service.
#2 Faites le ménage et minimisez les données
Une bonne manière de se conformer au RGPD consiste à s’imposer de collecter les données à hauteur des usages. Il faut recueillir uniquement les données indispensables au fonctionnement des services. Exemple : pourquoi demander des informations concernant la profession ou le nombre de personnes composant le foyer si, in fine, ces données ne contribuent pas au service rendu ?
Dans l’esprit du RGPD, une collecte excessive occasionne une prise de risques (pour ces données) inutile. Equilibrer la collecte au regard des usages passe par la mise en place de ce que l’on appelle « une gouvernance des données ». La gouvernance sera d’autant plus aisée, de la définition des principes à leur application, si les données sont centralisées au sein d’une Customer Data Platform (CDP) et non essaimées dans de multiples bases de données et applications.
D’où l’importance du travail d’analyse évoqué précédemment. Mais ne vous contentez pas de documenter l’existant. Profitez-en pour lancer un grand ménage de printemps dans les données. Faites vôtre le principe de « minimisation » des données collectées.
#3 Remettez à plat les modalités d’obtention des consentements
Vous avez sans doute commencé à recevoir dans votre boite mail ce type de messages : « Bonjour, êtes-vous toujours intéressé(e) par nos informations ? Si oui, pour ne rien manquer, merci de confirmer votre intérêt. En cliquant ci-dessous, vous continuerez à recevoir chaque semaine, etc. » Ces mails vont se multiplier dans les semaines à venir. Pour une raison simple : le RGPD impose une collecte licite, loyale et transparente.
Chaque donnée doit être obtenue en échange d’un service clairement défini et présenté. Précision importante : pour être considérée comme un consentement, la communication d’informations personnelles ne peut être conditionnée au bon fonctionnement d’un service – dans ce cas le consentement ne serait plus libre mais contraint.
Le RGPD signe clairement la mort du « soft opt-in » et autres « opt-in passif ». Plus question à l’ouverture d’un compte sur un service de pré-cocher à la place de l’utilisateur un abonnement à une newsletter d’information. À chaque finalité, son consentement ; à chaque consentement, les données strictement requises. Voilà pourquoi de nombreuses opérations de « reconfirmation » – à l’instar du message évoqué ci-dessus – sont en cours pour conformer les consentements au RGPD et nettoyer les bases de contacts en conséquence.
Résultat, un travail de révision des formulaires s’impose. Puisque vous êtes lancé, ne vous arrêtez pas en si bon chemin : veillez aussi à mettre en ligne des formulaires donnant la possibilité aux intéressés de rectifier des informations les concernant, de demander un export de ces données ou encore de s’opposer à un traitement.
#4 Préparez-vous à une nouvelle gestion des cookies
Question légitime : et les cookies ? Sont-ils eux aussi soumis aux exigences du RGPD ? La réponse est « oui » mais les modalités d’application exactes sont encore en gestation au sein d’un autre règlement connu sous le nom « ePrivacy ». Si le RGPD concerne la protection générale des données personnelles, ePrivacy, qui s’appuie sur les notions clés du RGPD, se concentre pour sa part sur les communications électroniques.
Sans attendre que ce nouveau règlement se précise, il semble opportun d’abandonner la formule usuelle « En poursuivant votre navigation vous acceptez l’utilisation de cookies » pour une description bien plus étoffée et pédagogique des finalités de ces cookies.
#5 Ajustez votre organisation, sensibilisez les collaborateurs
Si l’évaluation des risques, la remise à plat des données utiles et des modalités d’obtention des consentements sont des étapes importantes vers la conformité au RGPD, elles sont insuffisantes. Dans l’esprit du nouveau règlement, c’est toute l’organisation qui doit veiller à la protection des données personnelles. Cette implication passe par de nouveaux rôles. Le règlement prévoit ainsi plusieurs cas de figure pour lesquels un DPO (Data Protection Officer) s’impose. Pour faire court, il semble incontournable pour des activités comme l’e-commerce de nommer un DPO.
Les missions du DPO ?
Destiné à remplacer le Correspondant Informatique et Libertés (CIL), le DPO se voit attribuer une mission de conseil, de coordination et de contrôle, puisqu’il lui revient notamment de :
– Conseiller et informer le responsable du traitement ;
– Contrôler le respect du droit ;
– Être un référent pour les autorités de contrôle.
Au-delà du DPO, c’est l’ensemble des collaborateurs qui doit désormais être sensibilisé aux risques pris par l’organisation en cas de gestion trop légère des données personnelles. Un effort à soutenir bien au-delà de l’échéance du 25 mai 2018.