RGPD : comment adapter son processus de gestion des données clients

Marcy Darsey, Directrice du conseil d'entreprise, Lifesize
Date : 15 février 2018

Bonjour à tous, bienvenue sur Lifesize Live!, l'émission Web en direct produite entièrement grâce à la plateforme Lifesize.

Je suis votre hôte, Julian Fields, et je me trouve aujourd'hui en compagnie de Marcy Darsey, directrice du service juridique chez Lifesize. Aujourd'hui, on va parler du RGPD.

C'est le sujet qui est sur toutes les lèvres en ce moment.

Bien sûr, tout le monde sait ce que veut dire RGPD. Mais néanmoins, pour être sûr, pouvez-vous rappeler ses tenants et ses aboutissants ?

Tout d'abord, Julian, je voudrais vous remercier de m'avoir invitée à ce Lifesize Live!. Je suis ravie de visiter les studios et de prendre part à cette émission Web produite par Lifesize. Avant de commencer et de nous plonger en détails dans ce règlement, j'aimerais préciser, en ma qualité d'avocate, que rien de ce que je vais dire au cours des 10 prochaines minutes ne constituera un avis juridique.

C'est noté.

Ainsi, si quelqu'un est très intéressé par ce sujet ou souhaite poser des questions très précises quant au RGPD (ou sur toute autre loi), je vous invite à rencontrer un expert légal dans ce domaine. Maintenant, revenons à votre question. Que signifie le sigle RGPD ? C'est l'abréviation de « Règlement général sur la protection des données », une nouvelle loi passée par la Commission européenne. Son but est d'assurer la sécurité et la confidentialité des données des citoyens européens.

Je vois. Personnellement, en tant que membre du secteur marketing, j'ai entendu dire que cela nous empêchera d'envoyer des e-mails aux individus n'ayant pas accepté au préalable.

À vrai dire, il y a déjà eu plusieurs lois à ce sujet dans l'Union européenne. Cela fait plus de 20 ans qu'il existe une législation. Concernant le RGPD, cela fait 2 ans que le règlement est en place, mais sans entrer en vigueur. Le 25 mai, cette loi sera enfin appliquée. Tout d'abord, les législateurs vérifieront la conformité des entreprises. Si une société ne répond pas aux exigences du RGPD, elle sera sujette à une amende. Et là, on parle de sommes conséquentes.

OK, donc pas un simple rappel à l'ordre ?

Non, loin de là. On parle d'un montant pouvant attendre 20 millions d'euros, ce qui n'est pas rien.

En dollars, on serait donc sur un chiffre supérieur à 20 millions.

C'est beaucoup. Les entreprises recevront soit une amende de 20 millions d'euros, soit une amende pouvant atteindre 4 % de leur chiffre d'affaires annuel. Et là, il est question du chiffre réalisé aux quatre coins du globe, pas seulement en Europe.

OK, donc plus l'entreprise est grande, et plus l'amende est élevée.

Oui, les amendes sont conséquentes car l'Union européenne considère que les individus dispose d'un droit fondamental à la confidentialité. Quand on pense au monde d'aujourd'hui, et surtout aux avancées technologiques de ces dix dernières années, cela est censé. Les informations personnelles des internautes sont partagées sur toutes les plateformes et nombreuses sont les entreprises qui recueillent tous ces éléments pour en savoir plus sur leur clientèle.

Oui, chaque application que j'utilise connaît au moins mon nom, mon mot de passe, mon numéro de téléphone, mon adresse, et ainsi de de suite.

Tout à fait. Pensez une seconde au nombre d'entreprises avec lesquelles vous interagissez en ligne et à la quantité d'informations dont celles-ci disposent à votre sujet.

Bien sûr, il y a vos informations de paiement, mais aussi vos informations personnelles.

Oui, votre identité, vos données, votre nom, vos centres d'intérêt : tout cela, ce sont des informations privées. Si vous partagez ce type d'informations avec une entreprise, alors cette dernière doit être totalement transparente et vous indiquer comment vos données sont recueillies et utilisées. L'entreprise doit également mettre en place les garanties techniques et humaines suffisantes pour garantir que vos données ne seront jamais dérobées. Si une entreprise ne respecte pas cette régulation, l'amende est élevée car les gouvernements européens souhaitent vraiment que les sociétés respectent ces engagements.

Je vois. Quels sont les éléments clés du RGPD ?

En anglais, ce texte fait 88 pages. C'est une loi conséquente qui couvre de nombreux cas de figures. À vrai dire, cette législation se divise en 99 articles.

C'est parfait, il reste exactement 99 jours avant l'entrée en vigueur de cette loi. Un article par jour, c'est tout à fait faisable.

Tout le monde peut le faire. Ce sera le nombre du jour : 99 articles, 99 jour avant l'entrée en vigueur du RGPD. De nombreux aspects sont abordés dans ce texte. L'un des aspects essentiels, c'est la notion de transparence. Les individus ont le droit de savoir ce que les entreprises récoltent à leur sujet, mais également ce qu'elles en font (par exemple si elles les transmettent à des sociétés tierces). Cela implique de savoir comment et où nos données sont stockées.

Par exemple, il peut s'agir de mettre en place une fenêtre pop-up indiquant que le site recueille des cookies.

Oui, ou bien des bannières. Toutes ces choses sont mises en place pour être plus transparent. Ainsi, il est primordial que votre politique de confidentialité soit conforme à ce règlement. À l'heure actuelle, la plupart des entreprises mettent à jour leur politique pour aller dans ce sens. De plus, le RGPD demande aux entreprises de rendre des comptes, ce qui est très important. Ainsi, les entreprises devront démontrer aux internautes qu'elles respectent ce nouveau texte. Pour cela, celles-ci devront mettre en place des procédures et des politiques appropriées. Il sera également essentiel de pouvoir rendre compte de son processus de traitement des données. Par conséquent, les entreprises doivent garder un trace écrite de tout ce qu'elles font.

Il ne suffit pas de dire : « Oui, je respecte le RGPD ».

En effet. Dire « Croyez-nous sur parole, on respecte cette réglementation » n'est pas une preuve suffisante. Vous devrez fournir des documents démontrant que vous respectez bien les provisions du texte. Le troisième point majeur du RGPD, c'est qu'il intègre le principe dit de protection des données dès la conception. Cela s'adresse aux entreprises qui conçoivent des produits qui, d'une façon ou d'une autre, recueillent, traitent ou stockent les données personnelles des internautes.

Comme ces applications dont je parlais.

Oui, tout à fait. Dans ce cas, vous devrez intégrer ce principe de protection dès la conception à vos produits lors de leur création.

Tout devra être conforme dès le lancement.

Oui, cela signifie que que si vous développez actuellement une architecture pour un service ou une solution, vous devrez prendre cette notion en considération dès les prémices. Vous devrez activement penser à la façon dont la confidentialité sera garantie, et intégrer cette fonction à votre produit. Vous ne pourrez pas simplement sortir un patch après-coup. Comme vous l'avez dit, tout devra être prêt dès le lancement.

Se dire « On rajoutera ça à la fin », c'est une mauvaise idée.

Oui, ce n'est pas suffisant : vous devrez penser à cette notion de respect de la confidentialité tout au long du processus de conception. Et encore une fois, vous devrez rendre des comptes, démontrer que vous avez bien fait des efforts.

Je vois. À présent, pourriez-vous nous dire quelles sont les priorités pour les entreprises ? Que doivent-elles entreprendre en premier lieu ?

Tout d'abord, il est essentiel que les entreprises passent en revue les données dont elles disposent afin de comprendre les implications futures. Il faut répertorier les données que l'on possède sur sa clientèle, et analyser le flux de données afin de bien comprendre ce processus. Cela s'appelle réaliser un inventaire des données. Il faut ensuite passer en revue chaque étape (collection de données, traitement, stockage, suppression ou encore conservation) afin de déterminer si certains changements devront être opérés pour respecter le RGPD. Donc tout d'abord, il faut fait un inventaire des données. Ensuite, il faut mettre en place des mesures techniques et humaines afin de garantir la sécurité de toutes ces données, et ce de A à Z.

OK. Je vois que nous avons reçu une question. Pourriez-vous y répondre ? Il est question des pré-requis autour du poste de délégué à la protection des données. Les entreprises doivent-elles obligatoirement en compter un dans leurs rangs ?

Ce n'est pas requis pour chaque entreprise, cela dépend du type de données que vous traitez. Si vous traitez des données sensibles, il judicieux d'embaucher un délégué à la protection des données. Par exemple, si votre activité implique un suivi constant. Imaginons que vous disposiez d'un système de vidéosurveillance filmant des gens en permanence : dans ce cas, la loi vous oblige de disposer d'un délégué à la protection des données. Ici, cette loi fonctionne un peu au cas par cas. D'ailleurs, c'est vraiment une bonne chose : les textes ne s'appliquent pas aveuglément à tous les cas de figure. Ainsi, chaque entreprise doit mettre sur pied un plan personnalisé pour garantir sa conformité. Cela dépend du type de données que vous recueillez et de votre processus de traitement. Il n'y a pas de solution miracle qui puisse fonctionner pour toutes les entreprises : tout doit être adapté à votre activité.

Intéressant. Merci beaucoup de nous avoir rejoints, Marcy. Je crois que notre émission touche à sa fin. Si ça ne vous dérange pas, il reste quelques questions auxquelles j'aimerais répondre. Peut-être pourrions-nous rédiger un article de blog ensemble pour parler de ce sujet plus en détails.

Ce serait un plaisir. C'est un sujet très vaste : je voudrais remercier tous les auditeurs pour leur intérêt aujourd'hui. Et merci de m'avoir invitée.

C'était un plaisir. J'espère vous revoir très bientôt. Merci à tous les auditeurs. À la semaine prochaine. Au revoir !

Besoin d'aide ?
Contactez l'un de nos représentants commerciaux locaux.