Toutes les entreprises petites ou grandes qui collectent et traitent des données à caractère personnel de résidents de l’Union Européenne sont concernées par le RGPD.
Le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018. Il s’applique à l’identique dans tous les pays de l’Union européenne. Ce règlement a pour objectif de garantir la protection des données de tous les citoyens de l’UE ce quel que soit la domiciliation des entreprises qui collectent. Concrètement, une entreprise américaine qui propose ses services sur le territoire de l’UE est concernée au même titre qu’une entreprise française, allemande ou grecque.
La notion de collecte de données s’inscrit dans une perspective très large : collecte, enregistrement, conservation, modification, extraction, consultation, diffusion ou toute forme de mise à disposition.
Concrètement, vous êtes propriétaire d’un site web, d’une gestion commerciale centralisée, vous envoyez des e-mailings à vos clients, vous détenez des fichiers du personnel sur vos serveurs : RGPD vous concerne !
La mise en place du RGPD
Règle N°1 : Obtenir l’accord de vos contacts
C’est la base du RGPD. Terminez la pratique de la case pré cochée qui oblige vos contacts à accepter que vous captiez leurs données. Vos visiteurs doivent maintenant exprimer leur consentement de manière éclairée : un acte qui exprime de façon libre, spécifique, éclairée et univoque l’accord d’une personne.
Concrètement, il convient que vous modifiez vos formulaires pour demander le consentement de vos contacts par un Oui ou un Non. Il est important de signaler que si le visiteur coche. Non, il doit malgré tout pouvoir accéder à vos services (sauf si certaines infos sont indissociables du service lui-même). Par exemple, si vous faites de la vente à distance , obtenir l’email peut être considéré comme obligatoire , par contre pour toutes les données plus personnelles le visiteur peut exprimer son refus de collecte.
Règle N° 2 : prendre en compte les nouveaux droits
RGPD instaure ou renforce les droits de vos visiteurs :
- droit à l’oubli : les données ne peuvent être conservées que pour une durée définie, cohérente avec votre activité commerciale,
- droit de rectification sur les données collectées, ce à tout moment et sur simple demande,
- droit au refus du profilage : RGPD instaure le droit de s’opposer au profilage à des fins de prospection (sauf exceptions, lorsque ce profilage :
- est indispensable dans le cadre d’un contrat entre la personne concernée et votre entreprise)
Ces droits imposent que vous fassiez un état des lieux des données collectées dans votre entreprise. C’est l’occasion de vous interroger sur l’utilité de capter telle ou telle donnée :
- quelles sont les données collectées ?
- comment est il possible de les modifier ?
- quelle est la finalité de cette collecte (c’est ainsi que vous pourrez justifier ou non de leur caractère obligatoire) ?
- quelles sont les modalités de conservation ?
- qui a accès aux données ( surtout pour les données dites sensibles) ?
Règle N° 3 – RGPD vous engage même pour vos partenaires
Pas toujours simple pour une PME ou une TPE de faire tout elle-même. Ces entreprises sont très nombreuses à recourir à de la sous-traitance.
Avec RGPD, que la donnée soit collectée par un de vos sous-traitants ou par votre entreprise, vous êtes responsable. Vous devez donc vous assurez que les données que sont collectées ou transmises à vos sous-traitants sont traitées dans le respect de RGPD.
Autre point important, RGPD implique que les données collectées soient stockées dans un des pays de l’Union européenne. Conséquence , choisissez des partenaires qui hébergent leurs données dans la zone UE (la plupart des opérateurs américains ne respectent pas cette règle pour le moment).
Ceci concerne particulièrement :
- l’hébergement de votre site,
- la gestion de vos emails,
- la gestion de vos données de facturation
Pour info, en France, c’est la CNIL qui sera chargée des contrôles.
En cas d’infraction constatée, les amendes peuvent être très importantes (jusqu’à 4% du chiffre d’affaires annuel).
Règle N° 4 – Adaptez vos processus et vos documents contractuels
- Vous devez modifier vos formulaires et tous vos documents de collecte de données afin d’obtenir l’adhésion de vos prospects et clients. De même, vous devez mettre en place les procédures liées aux nouveaux droits des personnes et renforcer les contrôles sur vos sous traitants.
- Tous ces aspects sont directement liés à RGPD et imposent :
- – d’adapter vos processus internes,
- – de rédiger des procédures afin de sécuriser les traitements
- En outre, vous devez revoir la rédaction de vos mentions légales , voire de vos Conditions Générales de Vente, qui sont impactées par le RGPD
- – explication sur la finalité de la collecte,
- – politique de cookies,
- – informations pour permettre à vos prospects, clients, salariés de faire valoir leurs droits.
- – précisions sur la domiciliation de l’hébergeur de vos données,
- Vous pouvez pour cela utilisez un générateur de mentions légales et personnalisez les articles en fonction de votre business. Si besoin n’hésitez pas à demander l’avis d’un avocat.
Règle N° 5 – RGPD est une opportunité commerciale
Le RGPD impose aux entreprises la transparence vis-à-vis de l’utilisation des données personnelles.
En tant que PME, un de vos avantages est le capital confiance et la proximité que vous avez avec vos clients. RGPD est un moyen efficace de renforcer cette confiance et de mettre en avant un élément de différenciation avec vos concurrents, en particulier ceux implantés en dehors de la zone de l’UE,
Synthèse
De plus en plus, vos consommateurs vont devenir exigeants en ce qui concerne leur vie privée et donc la maîtrise de leurs données personnelles.
RGPD marque une étape essentielle qui va accélérer cette démarche. Imposé à l’échelle
européenne il détermine des règles strictes ET de bon sens.
Au-delà de la charge de travail que cela va représenter pour vous, envisagez les opportunités commerciales que cela pourra apporter pour votre développement commercial.