Model.ShowBackToRefferer = false

Le compte à rebours est lancé : le règlement général sur la protection des données (RGPD) entrera en vigueur à compter du 25 mai 2018. C’est le branle-bas de combat dans l’Union européenne, où de nouvelles exigences de conformité vont révolutionner la gestion et la protection des données du consommateur. Si ce texte législatif a de nombreuses raisons d’être, son avènement n’a rien d’étonnant après autant d’années de gestion bâclée et de violation des données pour cause de systèmes d’enregistrement hérités et de compartimentation informatique. Et que vous le vouliez ou non, l’État tiendra désormais toutes les entreprises pour responsables. De fait, le RGPD va imposer d’importantes restrictions en ce qui concerne l’utilisation commerciale des données personnelles.

Première question : que désigne le terme « données personnelles » ?
En substance, il s’agit de toutes les informations permettant d’identifier une personne. L’explosion des données électroniques, accélérée par la hausse des capacités de stockage (le Cloud) et la multiplication des canaux d’acquisition et de diffusion (les réseaux sociaux), s’est avérée une aubaine en termes d’implication des clients, mais elle est aussi source de risques majeurs et s’accompagne d’une grande responsabilité.

Il ne fait aucun doute que le prix à payer sera lourd en cas de non-conformité. Outre la réputation des banques ou des compagnies d’assurance qui peut pâtir de la divulgation des lacunes en matière de sécurité, ces établissements subiront les effets financiers induits par le taux de rétractation. Dès la première infraction, l’amende pourra atteindre les 10 millions d’euros (ou 2 % du chiffre d’affaires total de l’entreprise). Par la suite, les sanctions pourront aller jusqu’à 4 % du chiffre d’affaires total (ou 20 millions d’euros).

Alors que le RGPD fait les gros titres aux États-Unis, vous n’avez peut-être pas conscience que cette réglementation peut bel et bien s’appliquer à votre entreprise, même si elle n’est pas installée dans l’Union européenne. En effet, les effets du RGPD se feront sentir dans le monde entier. « Toute structure, en Europe et en dehors, qui détient ou utilise des données personnelles d’origine européenne sera concernée », explique Stewart Room, partenaire chargé de la cybersécurité et de la protection des données chez PricewaterhouseCoopers (PwC).

En résumé, vous devez satisfaire aux exigences du RGPD dès lors que votre entreprise détient ou traite les données personnelles relatives à des clients, fournisseurs ou partenaires commerciaux de l’Union européenne (ce vaste segment de la population est désigné par le terme « sujets de données » dans le texte du RGPD, mais nous utiliserons le terme « clients » pour les besoins de ce billet).

Deuxième question : que faut-il savoir ?
Voici sept volets et effets importants du RGPD qu’il convient de prendre en compte à l’avenir :

  1. Toujours demander la permission, politesse oblige : le consentement

    Les entreprises ne sont plus autorisées à formuler la demande de consentement en jargon juridique. Celle-ci doit être rédigée dans un langage commercial simple que tout client, fournisseur ou individu est en mesure de comprendre. À l’inverse des options de désabonnement actuelles, la clause de retrait du consentement doit être claire et directe.

    Conséquence : cette obligation relative au consentement réduira votre perte de clients, mais vous imposera d’établir de nouveaux formulaires et de mettre en place des processus de consentement couvrant notamment les documents d’intégration des nouveaux clients, les contrats et même les communications marketing.

  2. Données compromises : la notification en cas de violation

    En cas de violation avérée ou potentielle, le sujet de données (dans ce cas de figure, votre client) doit être averti de tout risque connexe dans un délai de 72 heures. C’est peut-être votre plus gros point faible, car l’agilité est souvent le talon d’Achille des organismes financiers.

    Conséquence : l’heure est désormais venue d’en finir avec la compartimentation et de créer des équipes interservices, qui seront en mesure de surveiller les violations de données et de communiquer rapidement à ce sujet. Voyez cela comme un exercice d’évacuation en cas d’incendie : votre entreprise devra se doter des processus lui permettant de réagir rapidement et d’informer les clients dans les plus brefs délais de toute violation de données avérée ou potentielle.

  3. Oui aux demandes du client : le droit d’accès

    Tout client a le droit d’obtenir des informations sur les modalités d’utilisation des données le concernant, auquel cas votre entreprise est tenue de répondre à sa demande, sans aucuns frais. Or les documents papier, comme les demandes d’indemnisation ou les formulaires d’ouverture de compte, s’avèrent un obstacle dans cette démarche. Si vous envisagez d’adopter une solution de capture, d’extraction et de stockage des documents/données clients, il serait judicieux d’investir dès maintenant.

    Conséquence : vous devez vous préparer. Quand vous recevrez un appel téléphonique ou un e-mail de la part d’un client, d’un fournisseur ou d’un partenaire au sujet de l’utilisation de ses données, comment traiterez-vous sa demande ? Vers qui ces appels seront-ils transférés ? Le service client ? Le service informatique ?

  4. Votre nom, s’il vous plaît ? : le droit à l’oubli

    Lorsque les données personnelles recueillies ne servent plus à leurs fins initiales, le client concerné peut vous demander de cesser leur diffusion et de les supprimer de vos systèmes d’enregistrement.

    Conséquence : il faut se poser les mêmes questions que précédemment. Qui ou quel service sera chargé de gérer l’ensemble des données clients et de les supprimer une fois qu’elles ne seront plus jugées utiles ? Comment seront-elles supprimées des listes marketing ? Ou des demandes d’indemnisation ? Ou encore de votre application mobile ?

  5. Données à emporter : la portabilité

    Cette mesure autorise les clients à obtenir et à réutiliser leurs données personnelles à des fins propres et à les transférer d’un environnement à un autre. L’objectif est d’instaurer un seul et unique ensemble de normes de façon à garantir la compatibilité entre systèmes, le cas échéant.

    Conséquence : si un client vous y autorise, vous pouvez utiliser les informations le concernant qui étaient jusque-là détenues exclusivement par votre concurrent.

  6. Proactivité vs passivité : la confidentialité intrinsèque

    Voici une pratique que vous ne soupçonnez même pas : 25 % des employés stockent des données clients dans la sphère publique sans autorisation. Les sites de partage de fichiers, les services cloud et le télétravail peuvent créer des failles. Si bon nombre d’entreprises du secteur financier ont instauré des processus de sécurité en matière de données électroniques, la moindre feuille de papier constitue un point faible plus grave. Or aucune ligne directrice ne régit les modalités de traitement ni même de stockage de ces documents.

    Conséquence : les banques et les compagnies d’assurance doivent s’appuyer sur la technologie pour sécuriser et mettre à jour leurs systèmes d’enregistrement. Et si vous pensez immédiatement à vos bases de données et systèmes vieux de dix ans, n’oubliez pas que cela concerne tous les dossiers papier. Comment ces derniers seront-ils gérés ? Comment parviendrez-vous à capturer, extraire et stocker leur contenu de manière sécurisée ?

  7. Besoin d’aide : les officiers de protection des données

    Les entreprises comptant 250 employés ou plus sont tenues de nommer un officier de protection des données. Cette personne doit connaître parfaitement votre mode d’exploitation des données et être en mesure d’agir de manière autonome au sein de votre structure. Elle informera le gestionnaire de ses obligations en vertu du RGPD et des autres lois en matière de protection des données, de façon à placer l’accent sur la conformité au RGPD et non sur la sécurité à proprement parler.

Pendant que vous élaborez votre plan de mise en œuvre du RGPD, pensez aux avantages qu’il peut revêtir pour l’entreprise. Ces réglementations à l’échelle mondiale favoriseront la confiance, la fidélité et l’implication des clients, vous offrant ainsi la possibilité d’accroître vos parts de marché.

Ne manquez pas la deuxième partie de ce billet : nous vous expliquerons comment l’automatisation peut vous aider à satisfaire aux exigences du RGPD.

Sources :

Forbes

theregister.co.uk

Computerweekly.com

welivesecurity

itpro