DES REGLES DE CONFIDENTIALITE PLUS SEVERES EN TOUTE L'EUROPE

Vous avez probablement déjà lu quelque chose sur le RGPD, le nouveau texte de référence européen en matière de protection de vos et mes données à caractère personnel. En tant que citoyen, c’est bon quand vos droits sont protégés. En tant que chef d’entreprise, la nouvelle législation sur la vie privée vous offre une série d’opportunités, si vous vous préparez bien.

GDPR est l’abréviation de General Data Protection Regulation, traduit en français cela devient RGPD, ou Règlement Général sur la Protection des Données. Maintenant, nous sommes officiellement dans une période de transition, après quoi la législation entrera en vigueur le 25 mai 2018. Ne vous inquiétez pas : le contenu est en grande partie similaire à la législation sur la vie privée antérieure.

En tant qu’entreprise, la réglementation vous offre des points de référence clairs sur tout que vous pouvez faire avec les données de vos clients. La conséquence est que votre SPAM réduira et votre marketing de courriel légitime possiblement recevra une réponse meilleure, car la confiance du consommateur au courriel direct améliorera. Si vous déployez vos activités dans plusieurs pays de l’UE, cela simplifie considérablement vos activités de marketing. Il sera plus simple de déployer vos campagnes au niveau européen. D’ailleurs, vos concurrents d’outre-mer sont obligés à respecter la même législation, ce qui veut dire que vous n’aurez aucun inconvénient vis-à-vis ces concurrents.

REFORMULER VOTRE POLITIQUE DE CONFIDENTIALITE

Les données que vous pouvez attribuer (directement ou indirectement) à une personne physique, identifiable, sont des données personnelles. Des exemples typiques sont ici un nom, une adresse e-mail ou un numéro de téléphone. Mais aussi l’historique de recherche ou l’adresse IP sont par exemple des données personnelles. Chaque entreprise a enregistré ce type de données quelque part, les collecte activement ou les utilise pour analyse. À ce moment-là, vous traitez des données personnelles, et vous étés – sauf de rares exceptions – obligé à respecter la législation.

Il est interdit de traiter des données personnelles spécifiquement ‘délicats’. Ce sont par exemple la race, des opinions politiques, des appartenances à un syndicat, des informations sur l’orientation sexuelle ou l’information génétique. Dans la plupart des cas, vous pouvez traiter des données personnelles, par exemple à des fins commerciales. Mais, vous devez obtenir préalablement l’accord de votre client ou prospect. Vous pouvez, évidemment, traiter des données personnelles pour livrer vos produits ou services ou parce que vous devez respecter des obligations légales.

Key-requirements-of-GDPR

Source: An IDC infographic sponsored by Commvault (April 2017), www.commvault.com

Le RGPD vous oblige à gérer de manière transparente les droits du consommateur. Des consommateurs ont le droit de vous demander leurs données enregistrés chez vous (vous devez y répondre dans 30 jours), le droit que ces données soient passées à un autre fournisseur et même le droit d’être complètement supprimé de vos systèmes (‘oublié’). La transparence signifie aussi que vous informez activement vos clients (potentiels) sur leurs droits. Cela veut dire que vous devez disposer d’une déclaration de confidentialité claire. Vous devez évidemment protéger adéquatement les données contre des attaques par des pirates informatiques ou des erreurs humaines. Si vous êtes quand même la victime d’une fuite de données, vous devez le notifier dans les 72 heures après la découverte à la commission de la protection de la vie privée.

Attention : si quelqu’un vous demande d’être ‘oublié’, vous devez, à vrai dire, aussi le supprimer de vos sauvegardes. Pour la plupart des entreprises cela n’est pas une procédure facile, ce qui est logique.

data-complexity

Source: www.commvault.com

Vous remplissez probablement déjà implicitement beaucoup de choses mentionnées ci-dessus. Il est recommandé d’expliciter votre politique de confidentialité avant fin mai, et de nommer les responsables dans votre entreprise et déterminer quelle procédure vous suivrez dans les situations ci-dessus. L’ensemble peut être résume en quelques pages pour la plupart des entreprises. Nous vous conseillons d’ensuite informer activement vos propres collaborateurs, les partenaires avec qui vous coopérez et les clients sur ce sujet.

L'IMPACT SUR VOTRE ENTREPRISE

Seulement si vous n’avez pas de clients, fournisseurs, employées ou d’autres contacts, le RGPD n’aura pas (encore) d’impact sur votre entreprise. Autrement dit : les nouvelles règles de confidentialité s’appliquent à tous. Pour déterminer l’impact pour votre organisation, vous devez inventorier :

  • Quelles données vous gardez, et où ;
  • Comment vous avez reçu ces données – et qu’est-ce que vos contacts ont accepté exactement ;
  • Comment vous traitez ces données.

À partir de vendredi le 25 mai 2018, vous devez vous-même tenir un registre avec votre activités de traitement. Cela semble fastidieux, mais c’est une bonne chose. Selon les anciennes règles, vous deviez, en effet, chaque fois déclarer vos activités de traitement à la commission de la protection de la vie privée. Dans ce registre, vous signalez évidemment le but du traitement et les catégories de données personnelles que vous avez traitées. En outre, vous citez les noms et les coordonnées des responsables du traitement.

Certaines entreprises doivent aussi engager un Data Protection Officer (DPO). Ce – en français – délégué à la protection des données est obligatoire pour des entreprises qui traitent régulièrement des données ou qui traitent des données délicates. (Chez EMAKERS, le chef d’entreprise Stefan Vermeulen est le DPO pour l’instant). Il ou elle peut aussi être engagé volontairement par une entreprise. En plus, ce n’est pas par définition 1 de vos employées. Le DPO peut aussi s’assurer que le principe de privacy by design est appliqué pour des nouveaux projets dans lesquels les données personnelles jouent un rôle. Si vous n’avez pas encore engagé un DPO, vous feriez mieux de le faire maintenant et de lui faire responsable d’un audit initial, pour analyser l’impact du RGPD sur votre gestion de l’entreprise.

EN PRATIQUE

Les nouveaux règles de confidentialité disent que les contacts dans votre base de données doivent avoir donné explicitement leur accord (« consent »), ou vous devez avoir un intérêt légitime à les avoir dans votre base de données (« legitimate interest »).

GDPR-Consent-Registration-screen-collector-purpose-and-notice

Exemple RGDP consent management, source: www.b10v.com

La plupart des entreprises ont des listes d’e-mails qu’ils utilisent activement pour des diverses activités de marketing. Pour envoyer des courriels à un contact, vous devez avoir l’accord explicite. Cela signifie que vous devez être capable de montrer que vous avez reçu ces adresses par un opt-in, gardant quand spécifiquement ils se sont mis d’accords, avec quoi et avec quelle adresse IP. Beaucoup d’entreprises ont une liste d’e-mails qui est basée sur un spreadsheet ici et quelques cartes de visites par là. Vous feriez mieux de demander l’accord explicite de vos contacts, par exemple par un nouveau campagne de opt-in. EMAKERS a déjà mis en œuvre de telles campagnes, et notre expérience nous a appris que votre liste de contacts sera probablement décimée. Il est alors une prédiction facile que la plupart d’entreprises feront un grand nettoyage de printemps dans leur base de données clientèles et que vous recevriez un base plus qualitatif en échange.

Les nouveaux règles sont aussi une bonne occasion à réviser tous vos comptes qui ont accès à des informations clientèles. Beaucoup d’entreprises utilisent des comptes « partagés », afin de, par exemple, avoir un abonnement gratuite (ou moins cher) à une service d’Internet. Cela n’est plus casher, à vrai dire. Tout le monde qui a l’accès à des données qui sont régies par la législation de vie privée (ils se trouvent souvent dans votre système de comptabilité, CRM, ERP et d’e-mail) doit être noté par vous, selon nous, dans votre registre de traitement. Quand ils quittent votre entreprise, vous supprimerez immédiatement ces comptes et vous noterez ce date dans votre registre.

TRAITER LES AFFAIRES EN PROFONDEUR

Malheureusement, on ne peut pas faire une simple comparaison absolue entre les petites et grandes entreprises, pour déterminer l’impact du RGDP. Une petite agence de marketing peut, par exemple, traiter les données clientèles très activement – pendant que cela peut avoir une moindre importance pour une grande entreprise de construction. En principal, le point de départ reste le data que vous traitez comme entreprise.

marketing-automation-pitfalls-GDPR

Source: www.siriusdecisions.com

Quand des mots comme CRM data analytics, e-mailmarketing et remarketing vous semblent familières, vous travaillez éventuellement déjà activement avec le marketing direct d’une manière avancée. Par rapport aux anciennes règles, des nouvelles règles sont faites autour du traitement automatisé des données personnelles, dans lesquelles certains aspects d’une personne physique sont évalués pour prédire son comportement (d’achat). Tout le monde a le droit d’être exclu de ce genre d’activités (mieux connu sous le nom profiling) et d’autres formes de prise de décision automatisée. Des exceptions étant quand il est nécessaire pour conclure un accord, quand il est autorisé par la loi ou quand il est basé sur un consentement exprès.

Si vous travaillez avec des externes, vous avez tout intérêt à réviser les contrats avec eux et/ou d’ajouter une clausule spécifique sur la vie privée. Ainsi, vous devriez pouvoir confier que votre partenaire prend des mesures de sûreté suffisantes contre toute fuite de données.

La nouvelle législation sur la vie privée est la même pour toute l’UE. Si vous êtes actif dans des marchés hors l’UE, il va sans dire qu’il y a possiblement d’autres règles (plus sévères) que vous devez respecter.

FEUILLE DE ROUTE

Si vous vous n’avez pas encore activement mis au travail concernant les nouvelles règles de la vie privée dans votre entreprise, vous êtes en effet déjà en retard. Notre expérience est que vous avez besoin d’au moins 2 à 3 mois afin d’implémenter les règles dans votre organisation.

Ce que vous devez faire plus spécifiquement, est différent pour chaque entreprise. Vous pouvez commencer avec :

  • une analyse initiale dans laquelle vous identifiez quel data vous utilisez dans votre entreprise, d’où ce data provient, qui y a accès (interne et externe) et pourquoi vous le gardez ; dans la nouvelle législature, cela s’appelle le Data Protection Impact Assessment (DPIA) ;
  • nommer un Data Protection Officer (DPO) ;
  • renouveler votre politique de confidentialité, y compris l’élaboration d’un registre de traitement de données;
  • adapter les procédures dans votre entreprise et adapter les contrats avec des fournisseurs, les contrats de travail, etcetera ; beaucoup d’entreprises utilisent une solution bricolée et des accouplements manuels entre les différents sources de data, avec comme résultat des différences dans la source de data– les nouveaux règles réclament une professionnalisation sur ce domaine ;
  • améliorer la sécurité (technologique) des données dans votre gestion.

N’oubliez pas d’utiliser un méthodique de privacy by design pour des nouveaux projets, et qu’il y a une déclaration obligatoire quand vous découvrez une fuite de données, malgré vos efforts.

DES TENDANCES DE CYBERCOMMERCE 2018

e-commerce-trends-2018

MOBILE FIRST

COMMERCE CONVERSATIONNEL

CYBERCOMMERCE TRANSFRONTALIER

COMMERCE VISUEL

TOUTES LES TENDANCES

EST-CE QUE NOUS POUVONS VOUS AIDER ?

(Des champs avec un * sont obligatoires.)