Législation RGPD : Ce que les entreprises doivent faire maintenant
Jack Hodges
Oct 24, 2017
∙
8 min read
GDPR
Le RGPD offre aux citoyens européens des droits cruciaux de protection des données, mais quelles mesures les entreprises devraient-elles prendre ensuite pour se conformer ? Jetons un coup d'œil. Il y a peu de temps, nous avons examiné la prochaine législation de protection des données RGPD, les droits qu'elle accorde aux individus au sein de l'UE, et comment les entreprises peuvent être affectées. Cette nouvelle législation aide à renforcer, mettre à jour et unifier les lois de protection des données dans tous les États membres de l'UE et les amener dans le monde numérique.
Selon la nature de votre entreprise et les opérations que vous menez, l'impact du RGPD sur votre entreprise variera énormément. Jetons un coup d'œil à quelques étapes initiales que toutes les entreprises devraient prendre pour aider à rester conformes à la nouvelle réglementation.
Tout d'abord, familiarisez-vous avec la nouvelle législation en consultant cette présentation de l'ICO, ce site de l'Université de Roskilde, ainsi que notre article précédent ici.
Table des Matières
Soyez Conscient de Vos Données
Tout d'abord, il est important de vous refamiliariser avec le rôle que les données jouent dans votre organisation, et comment les données appartenant aux individus circulent à la fois en interne et en externe. Faites l'inventaire des données actuelles que vous détenez ou traitez, établissez pourquoi vous effectuez ces actions, et assemblez une image de ce que vous faites avec les données. En plus de vous familiariser avec vos pratiques de données actuelles dans le contexte du RGPD, cet exercice pourrait aussi fournir des opportunités utiles pour rationaliser les opérations actuelles également.
Rappelez-vous que cette réglementation concerne toutes les données appartenant aux individus, et ne se limite pas aux données des prospects et clients ; les informations personnelles sur votre personnel comptent aussi. Cela pourrait inclure des choses comme les dossiers RH, la paie, les coordonnées personnelles ainsi que les informations et l'historique de paiement.
Évaluez votre base légale pour détenir et traiter de telles données, et établissez s'il y a des données redondantes ou non essentielles détenues. Vous devez aussi être conscient de la façon dont ces données sont stockées et à quel point tout support de stockage de données est sécurisé. Renforcez les défenses et abordez tout problème de sécurité potentiel tel que les violations, fuites ou piratages.
Une fois que vous avez une image complète du rôle que les données jouent dans votre organisation, étudiez attentivement la nouvelle législation et explorez les nouveaux droits disponibles aux individus. Évaluez honnêtement à quel point vos systèmes actuels sont conformes aux nouvelles règles, et prenez note de tout endroit où vos processus de données existants devront changer.
Établissez ce qui doit être modifié et nommez un Délégué à la Protection des Données pour prendre la responsabilité de votre conformité. Votre DPO devrait aussi tenir votre équipe au courant de leurs nouvelles responsabilités sous la nouvelle législation, et devrait généralement vous aider à atteindre l'objectif de conformité totale avant le 25 mai 2018.
Consentement et Souhaits des Individus
Le consentement est un concept important qui sous-tend le RGPD, et doit être donné activement et librement par l'individu. Quand le consentement est recherché, vous devez explicitement indiquer quel stockage et traitement de données vous allez effectuer. Les opt-ins souples, le consentement implicite et le consentement par des cases pré-cochées ou l'inaction ne sont plus autorisés.
Quand vous examinez vos pratiques de données existantes, établissez ce que vous faites actuellement avec les données et comment les individus concernés ont opté. Si le consentement a été simplement implicite, alors vous devez rechercher un consentement approprié et éclairé immédiatement avant que toute action supplémentaire puisse avoir lieu avec les données. Assurez-vous aussi que les futures pratiques de collecte de données permettent aux gens de consentir en connaissance de cause à vos actions prévues à l'avenir. Toutes les méthodes de consentement doivent être prouvables et auditables au cas où quelqu'un ferait une réclamation contre votre entreprise disant que vous avez utilisé leurs données sans permission. Si les données des individus sortent de l'organisation, un consentement supplémentaire peut aussi être requis.
Une utilisation courante des données par les entreprises au quotidien est l'envoi de communications marketing. Les règles du RGPD stipulent qu'une permission explicite doit être recherchée pour que le contact marketing continue, et même si le consentement a été donné dans le passé, se désinscrire devrait être rendu facile pour l'individu.
Si vous utilisez des systèmes de profilage automatisés qui prennent des décisions légales ou financières importantes sur les individus sans intervention humaine (par exemple le profilage pour l'éligibilité d'assurance), vous devez être conscient des nouveaux droits de se désengager/s'opposer à ces pratiques. Si votre entreprise utilise ce type de profilage, vous devriez mettre en place des systèmes qui permettent aux individus de rechercher un second avis d'un décideur humain et de donner leur version de l'histoire.
Parce que les individus auront maintenant un droit de s'opposer à certaines utilisations de leurs données, vous devez garder les données appartenant à tout type d'opposant séparées pour vous assurer que leurs données ne sont pas utilisées pour une activité non consensuelle, même par accident.
Une fois que vous avez déterminé vos bases légales pour le stockage, le traitement et toute autre activité que vous effectuez avec les données des gens, vous devez mettre à jour votre politique de confidentialité (et possiblement aussi vos conditions générales) pour refléter vos nouvelles activités conformes ; pour informer les gens du consentement qu'ils vous donnent ; et pour les informer de leurs droits d'accès, d'opposition et de suppression.
Accès Informationnel et Précision
Les individus auront maintenant le droit de rectification, donc vous devez vous assurer que vos systèmes permettent que toute donnée incorrecte détenue sur les gens soit éditée facilement et de manière auditable, ou pour la suppression complète de données identifiables si la personne le souhaite.
Les gens auront aussi des droits d'accès, ce qui signifie qu'ils pourront demander une copie numérique de toute donnée que vous détenez sur eux. Il y avait précédemment des frais de 10 £ payables par l'individu pour un tel accès sous la Loi de Protection des Données ; mais l'accès sous le RGPD doit être fourni gratuitement à moins que la demande soit "manifestement infondée ou excessive", auquel cas des "frais raisonnables" peuvent être facturés.
Si exporter une copie numérique des données de quelqu'un est difficile ou laborieux sous vos systèmes actuels, il sera très probablement payant de rendre le processus plus facile quand vous ajustez vos systèmes en ligne avec la nouvelle réglementation.
Soyez conscient que les gens auront le droit de demander si vous détenez des données sur eux, quelles données vous détenez, pourquoi vous les détenez, ce que vous en faites, et combien de temps vous avez l'intention de les détenir. Formez votre personnel sur vos nouvelles politiques de confidentialité afin qu'ils aient les réponses à ces questions prêtes. Assurez-vous toujours que vos réponses sont raisonnables et donnent une base légale solide pour effectuer vos activités.
Préparez-vous aux Violations de Données Possibles
Alors que vous redessinez et recadrez vos processus autour de la nouvelle législation, travaillez aussi sur des systèmes pour alerter votre équipe sur toute violation de données potentielle. Ces systèmes devraient aussi aider à fournir une évaluation de la sévérité de toute fuite et permettre une investigation plus poussée sur ce qui a mal tourné.
Selon la sévérité de la violation, vous pourriez aussi avoir besoin de la rapporter à votre autorité de supervision, et enquêter sur ce qui s'est passé. Assurez-vous que les résultats de votre enquête puissent aussi être rapportés à l'organisme de supervision selon le cas.
Quelques Conditions Spécifiques
Si vous stockez ou traitez des données appartenant à des enfants, il y a des responsabilités accrues pour protéger leurs intérêts sous le RGPD. Si vous fournissez des services aux moins de 16 ans, vous devez fournir des avis de confidentialité dans un langage qu'ils comprendront. Les services en ligne fournis aux moins de 16 ans qui impliquent un traitement de données peuvent nécessiter le consentement d'un parent ou tuteur pour traiter les données de l'enfant.
Si vous êtes une autorité publique (avec quelques exceptions pour les tribunaux) ; une organisation qui surveille les individus en masse ; ou une organisation qui traite des détails personnels tels que les dossiers de santé ou criminels, vous devez nommer un Délégué à la Protection des Données.
AVERTISSEMENT : Ce billet de blog est fourni seulement comme guide à la nouvelle législation RGPD et ne devrait pas être considéré comme un conseil juridique. Quality Systems Solutions Ltd vous conseille de rechercher votre propre conseil juridique approprié.
Michael King says...
"I can’t think of a time where a client has requested something that we weren’t able to do with FiveCRM. Unlike most systems, it has a lot of flexibility."
Managing Director, Senior Response
JAINE HUSBANDS SAYS...
“Each client, and each of their campaigns, has its own unique specifications. We essentially needed to set up mini CRMs on one platform to meet those requirements.”
Operations Director, Team Marketing
Why wait?
Start improving your outbound efficiency now, with the most customizable Sales solution on the market.