par inflexia

Publié 28 décembre 2017

Comment mettre en place le RGPD pour une meilleure protection des données ?

Les quatre lettres RGPD doivent être connues de toute entreprise ou collectivité qui collecte et utilise des données personnelles. Autrement-dit : toutes les structures !
Le Règlement Général sur la Protection des Données est mis en oeuvre en Europe pour régir la protection des données personnelles.

A noter que le RGPD est en vigueur depuis mai 2016 ! En principe, il doit déjà être appliqué !
Mais pourquoi en parle-t-on tant ?
Simplement car en mai 2018, ce sont les sanctions qui sont applicables.

Dans le règlement de 88 pages, certains éléments sont à faire ressortir pour les entreprises collectant et utilisant des données :

• Dans les informations à communiquer auprès des individus devront clairement apparaître :
  • la durée de conservation,
  • la transmission de données et
  • tous les droits de contrôle et d’accès (comme le demande déjà la CNIL)
• Le traitement des données à caractère personnel doit être adapté, pertinent et limité au strict nécessaire requis par leurs traitements.
• La durée d’archivage des données à caractère personnel est limitée au strict minimum.
• Les données à caractère personnel seront exactes et à jour.
• Les données à caractère personnel seront protégées contre tout accès non autorisé, traitement illégal et pertes. Dans ce cas précis, le règlement mentionne l’utilisation de pseudonymes et de cryptage des données.
• En cas de violation de données à caractère personnel par un tiers, l’entreprise doit avertir l’autorité de surveillance dans les 72 heures et avertir l’ensemble des personnes concernées (communication publique).
• Tant les entreprises que leur sous-traitants devront se conformer à ces obligations et pourront être tenus responsables en cas de violation des données, ou non-respect du RGPD.
• Certaines entreprises (et toutes les collectivités) devront avoir (ou faire appel à un prestataire externe) un Délégué à la Protection des Données (le remplaçant du CIL)

Guide du RGPD pour les entreprises marketing... mais applicable aussi aux services marketing (source : IT Governance)

Dès mai 2018, des sanctions pécuniaires d’un montant de 2% à 4% du chiffre d’affaires mondial seront mises en oeuvre.

Petit rappel visuel (infographie Symantec)

En résumé, la mise en place du respect de la RGPD peut se dérouler en plusieurs étapes :

1. Informer, sensibiliser les équipes de direction (et les élus pour une collectivité)
2. Vérifier l’état des données et de la documentation (si existante)
3. Revoir ses mentions légales (et protection des données)
4. S’assurer que les droits des utilisateurs sont respectés (consentement, désabonnement, rectification)
5. Mettre en place une procédure de management des risques ainsi qu’une AIPD (Analyse d’Impact relative à la Protection des Données) en interne et avec ses fournisseurs
6. Nommer un Délégué à la Protection des Données (selon les cas obligatoires, notamment pour les collectivités)
7. Informer et éduquer vos employés, en particulier les services marketing, communication et commerciaux.

Inflexia intègre la RGPD dans ses conseils stratégiques, notamment les leviers de collecte de données et l’exploitation de ces dernières (email marketing notamment).