TGE-PME : Protection des données numériques de votre site internet avec le RGPD
Depuis déjà quelques mois, l’arrivée du RGPD* a été hautement annoncée sur les médias. On parle de grand bouleversement sur la maîtrise de la donnée client. La loi est toute récente cependant elle n’est pas forcément un chamboulement pour les entreprises structurées et responsables envers leurs clients mais une vraie révolution pour toutes les entreprises mal organisées ou pas forcément transparentes auprès de leurs utilisateurs. Mais alors le RGPD est-il une contrainte ou une opportunité pour votre business ?
*RGPD (ou GDPR en anglais): Règlement Général de Protection des Données (General Data Protection Regulation)
Le RGPD est enfin là !
L’analyse marketing et la collecte de données personnelles (Big Data) est devenue l’objectif numéro 1 à tous les niveaux : les « petits sites » comme les sites à fort trafic, les appareils connectés et les smartphones récoltent quotidiennement nos données. Depuis des années les entreprises tirent profit de cette récolte et analysent toutes les données des utilisateurs. Les GAFA par exemple (Google, Apple, Facebook, Amazon) entraînent un vrai enjeu spéculatif, économique et renforcent, avec d’autres mauvaises pratiques des entreprises, la méfiance de la part des consommateurs.
Dans ce constat, les pays européens ont décidé de s’allier afin de maîtriser les abus. Le RGPD est né avec un texte de loi qui a été voté en 2016 et est en vigueur depuis le 25 mai 2018. La CNIL (Commission Nationale de l’Informatique et des Libertés) est la gardienne Française de la liberté des données des consommateurs et fait régner la bonne démarche de la loi auprès des sociétés de son territoire.
Tous les business sont touchés
Les TPE et PME de l’union Européenne sont soumises aux mêmes obligations et sanctions que toutes les entreprises et organismes publics. Elles doivent toutes appliquer les principes du RGPD vis-à-vis de leurs clients, fournisseurs, prospects et salariés et conserver une trace des démarches de conformité dans l’entreprise en interne, avec les partenaires et les fournisseurs, sous forme papier ou électronique. La CNIL a pour mission d’accompagner, responsabiliser la mise en conformité des entreprises ou encore de punir les sociétés récalcitrantes. Le RGPD distingue deux montants de sanctions différents. Pour faire simple, les punitions peuvent monter jusqu’à 4% du chiffre d’affaires annuel consolidé mondial ou 10 millions d’euros… Tout de même… ça fait réfléchir. La première sanction en France à ce jour s’est élevée à 250 000 euros. Mais alors comment applique-t-on la loi sur son site eCommerce ou site vitrine ?
Les 5 grandes lignes pour se conformer au RGPD sur Internet :
Pour rentrer dans les détails nous n’allons pas plagier le site internet de la CNIL qui – soit dit en passant – a fait un beau travail de documentation et d’explications approfondies de la démarche que nous vous invitons à lire à la fin de cette article. Mais pour synthétiser :
Les technologies ciblées par le RGPD
Vous êtes responsable de toutes les données (Off ou Online) permettant d’identifier directement ou indirectement une personne physique (publipostage, cookies, traceurs, scoring, carte de fidélité,…) provenant de vos propres bases de données mais également de vos sous-traitants. Vérifiez bien la conformité de vos partenaires tiers !
Consentement de l’acquisition de la donnée
Fini les “Opt-in” automatiques et les cases à cocher par défaut, les personnes doivent donner leurs consentements explicites et peuvent s’ils le souhaitent activer totalement ou partiellement la quasi-totalité des cookies (publicitaires, fonctionnels et analytiques). De nos jours certains sites internet ou applications contraignent les internautes à donner un consentement d’utilisation de leur données pour continuer à utiliser leur service… Une pratique non autorisée par le RGPD (Comme on peut le constater dans l’article de la fabrique du consentement de Facebook). De plus, vous devez clairement informer les personnes de leurs droits et des objectifs de la collecte de leurs données. Un gros travail sur les formulaires, mentions légales et le paramétrage de cookies en perspective !
Stockage de la donnée impératif de suivi
Maîtriser vos informations en tenant un registre de consentement associé à une durée de conservation maximum pour chaque donnée. Les droits d’accès à l’information doivent être accessibles au personnel selon le degré d’utilisation de la base et de ses missions (éviter qu’un stagiaire ait accès à toutes les données, par exemple…). Sinon l’anonymisation et la pseudonymisation sont de rigueur. Attention, ici encore certaines brèches existent et persistent, selon la localisation de l’entreprise (UE, hors UE, USA,…).
Traitement de la donnée
La fin des fichiers individuels la CNIL impose de cartographier la donnée permettant ainsi de localiser les données personnelles et faciliter la mise en place d’un registre de consentement (art 10). Une organisation qui permet de qualifier la donnée en utilisant les métadonnées. Le traitement est obligatoire pour les entreprises de plus de 250 personnes ou de toute taille si un traitement particulier de la donnée est adapté. Concernant les données sensibles, l’entreprise doit au préalable faire une demande à la CNIL qui se réserve le droit d’accepter ou non leur utilisation.
Le profilage légal sous conditions
C’est désormais une pratique entrée dans les mœurs des marketeurs : les sites internet doivent informer clairement à l’internaute que ses données comportementales seront utilisées pour le profilage et ce dernier doit l’accepter sans équivoque. L’internaute peut demander à l’entreprise de présenter toutes ses informations stockées et demander à faire cesser le profilage ou effacer les données s’il le souhaite. Toutes demandes d’oppositions devront être inscrites dans un registre par l’entreprise.
Le RGPD, une contrainte qui devient une opportunité !
N’oubliez pas que la maîtrise et la sécurité de votre base de données peuvent provenir des internautes de votre site et également de données internes (salarié, fournisseur, presse, …). Pour se responsabiliser, il est donc important qu’un référent soit désigné (DPD) pour contrôler la gestion ainsi que l’accès sécurisé de toutes les données dans toutes les entreprises. Sur le Web avec le RGPD, les marketeurs des entreprises auront moins de données à disposition, c’est sûr ! Mais en obtenant le consentement explicite, la qualité des interactions sera largement meilleure car moins intrusives et votre R.O.I sera plus avantageux (Imaginez qu’avec une base de données qualifiée respectant le RGPD, vous mettiez en place une stratégie marketing adaptée voire automatisée) !
Nous sommes conscient qu’une méthodologie doit être mise en place dans chaque société mais en plus de la sécurité des informations, le gain de productivité en gestion et en vente est important. Asdoria peut vous l’assurer, le jeu en vaut la chandelle !
L’agence Asdoria a forgé ses compétences dans diverses TGE et PME, ce qui lui permet d’avoir une vision globale de la gestion de la donnée numérique et le management d’entreprise. Du management allant de la qualité, à la base de données et à l’administration de système sécurisé, Nous saurons vous conseiller et vous proposer les outils efficaces qui vous correspondent. Alors contactez-nous !
Quelques sources si vous souhaitez approfondir davantage le sujet :
Les données à caractères personnelles sont entrées dans l’ère du RGPD (Importer Image HD dans WordPress):
https://clusif.fr/content/uploads/2018/03/infogRGPD-800×559.jpg
Guide de sensibilisations au RGPD pour TGP-PME :
https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf
Construire son email marketing adapté au RGPD :
https://fr.sendinblue.com/blog/infographie-comment-adapter-votre-email-marketing-au-rgpd/
Hors UE la données peut avoir des niveaux de protections moins sûrs :
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
Le double jeu de Facebook avec le RGPD :
http://www.rtl.fr/actu/futur/le-double-jeu-de-facebook-avec-le-rgpd-7793126088