Comment bien utiliser la data, en conformité avec le RGPD
La nouvelle réglementation européenne en matière de protection des données personnelles entre en vigueur le 25 mai 2018. Elle va renforcer les obligations des entreprises, traitant des informations individuelles sur leurs utilisateurs. Pour être en conformité avec la loi et justifier d’une pratique irréprochable dans la gestion de leur data, tous les organismes et sociétés devront appliquer les directives du RGPD (règlement général sur la protection des données).
Savez-vous quelles données sont concernées par la loi ?
Pour comprendre l’application de cette législation européenne, il est utile de connaître la définition de « donnée individuelle » et de ses 2 déclinaisons.
Une information à caractère personnel permet d’identifier directement ou indirectement un citoyen.
Ces datas sont :
- non-sensibles s’il s’agit de l’âge, du sexe, du prénom et du nom
- sensibles si elles sont relatives à la santé, l’origine ethnique, la préférence sexuelle, les affinités politiques ou l’obédience des individus.
La question de protéger la circulation des données personnelles est depuis longtemps au cœur des débats.
En France nous avons été précurseurs en adoptant la loi « Informatique et Liberté » en 1978, année de naissance de la CNIL (Commission Nationale de l’Informatique et des Libertés), l’organisme régulateur associé.
Le besoin de légiférer au niveau européen s’est accéléré ces dernières années en raison des scandales divers de fuites de données.
L’actualité de Facebook avec l’affaire Cambridge-Analytica, n’est qu’un exemple de plus des dérives possibles.
Point majeur de la loi : le consentement d’accès aux données
Ce qui compte avec le RGPD, c’est que l’utilisateur soit maître de ses choix et décide si oui ou non il peut en toute transparence communiquer les informations personnelles qu’un site ou une plateforme lui demandent.
Pour être en conformité « les informations doivent être données de façon concise, compréhensibles et aisément accessibles en termes clairs et simples » aux internautes, selon l’article 12 de la loi.
Pour exemple, la réponse à des questionnaires pouvant servir à du marketing prédictif aura obligation de demander le consentement explicite de l’usager.
Vérifiez si vos données collectées ont besoin de protection
Vraisemblablement, tous les organismes, entreprises, structures traitant ou stockant des informations personnelles d’utilisateurs devront appliquer le RGPD, quelle que soit la taille de l’enseigne et que ce soit entre professionnels ou auprès de particuliers.
Ainsi, les associations et les syndicats seront concernés, sans oublier qu’il reviendra à chaque société de s’assurer que ses partenaires, comme les fournisseurs, appliquent eux aussi correctement la loi.
Respectez la loi du traitement de données en 5 points majeurs
Dès le 25 mai, les organismes et structures concernés vont devoir renforcer la protection des données qu’ils récoltent et être capables de prouver leur légitimité face au règlement.
Pour cela, la CNIL dresse une liste détaillée des étapes suivantes :
- La cartographie et la tenue de registres de traitement de données
- L’encadrement de la collecte d’informations
- L’obligation d’informer et de respecter le consentement de l’individu
- La mise en place d’outils pour une conformité à long terme et tenant compte des possibles changements (faille de sécurité ou demande de rectification ou d’accès)
- La nomination d’un Data Officer ou pilote de protection des données
Ultimes conseils pour valider votre mise en conformité RPDG
Les collectes de données personnelles illicites, le spam à outrance sont donc en passe d’être punis.
Pour être tout à fait tranquillisé, vous pouvez, même en tant que TPE, revoir certains points simples :
- Les mentions légales de votre site contiennent la nature des données et la finalité de leur collecte
- La mailing list de vos contacts stipule la date à laquelle les informations ont été récupérées et sa provenance (formulaire, cookies…)
