Le 25 mai 2018 prochain est le début du commencement pour les organisations pour la Règlementation Générale des Données Personnelles (RGPD) ou GDPR (Général Data Protection Regulation, pour les anglo-saxons). Autant les professionnels du BtoC que du BtoB, petits ou grands, sont concernés par cette règlementation européenne adoptée en avril 2016. Le WebMarketing n’est pas épargné. Tout bon marketeur n’est censé ignorer la loi ! Sur le bien fondé de cette initiative européenne, je ne rentrerai pas dans le débat, retenons que 2 camps s’affrontent : les “pour” qui disent que cela va freiner les géants de la data (souvent Américains), et les “contre” qui argumentent que l’on se tire une balle dans le pieds. En effet, les géants s’adapteront toujours, leur “aura” est telle que l’on peut difficilement se passer de leur service. Pour les petites et moyennes organisations , elles auront plus de mal à se mettre en conformité avec les exigences de cette mesure européenne trop exigeante et technique.
RGPD l’essentiel à retenir pour 2018.
Qui est concerné par la RGPD ?
Toute organisation en interne [pour ses collaborateurs] ou en externe [pour ses prospects et clients] est concernée par ce règlement qui va bien au-delà d’une consentement tacite issue de la cookie law de 2011, par simple acception d’un clic de souris.
Le processus aussi simple que celui décrit dans cette illustration du livre blanc de Kaméleoon, est le principal à retenir dans le cas d’un site web, mais la RGPD va bien au-delà que le cas du visiteur ou client d’un site internet, il concerne l’ensemble des individus relié à son contexte digital, au travail et dans sa vie privée.
Un site e-commerce, une organisation faisant une campagne de prospection par e-mailing par exemple, ou procédant à une collecte de données suite à l’ouverture d’un compte où à l’inscription d’une newsletter, la loi s’applique. Sarbacane Software, société spécialisée dans les solutions d’e-mailing a créé une infographie simple qui résume bien la situation.
Infographie de sarbacane : http://blog.sarbacane.com/2017/12/21/rgpd-emailing/
6 obligations soulignées par Kaméleoon sur la GRDP (ou RGPR)
Un super document simple d’accès qui résume l’essentiel sur cette mesure.
- Récolte et exploitation des données personnelles : consentement explicite du prospect, visiteur, collaborateurs, et déclaration de l’usage de ses data si utilisées par un tiers, partenaire commercial.
- Transfert des données Hors UE : les données sont hébergées en Europe.
- Déclaration d’un vol de données, d’une faille de sécurité : 72 heures pour déclarer l’incident.
- Portabilité : droit de récupération des données personnelles, en clair non crypté
- Droit à l’oubli : suppression intégrale des informations collectées par la plateforme
- Création d’un poste de DPO (Data protection officer) : réservée aux traitements à grande échelle, et au service public.
E-book de Kaméleoon : https://pages.kameleoon.com/fr/ebook-compliance-rgpd
Ou si vous préférez la vidéo , focus sur 10 points lors d’une conférence organisée à Paris à station F. (plateforme emailing Mailjet, cabinet Deloitte, le journal les échos, Taj) où 200 participants se sont réunis pour décrypter la GDPR.
Baromètre converteo sur la RGPD focus sur la relation client et le Système d’information interne à 6 mois de l’échéance
Ce cabinet a interrogé 100 entreprises sur 16 secteurs d’activité (banques, pure player, réseaux sociaux, retail, comparateurs, immobilier, énergie, médias/presse, travel, centre commerciaux, luxe, jeux, service public, énergie, rencontre, télécom) pour connaître leur avancement dans la mise en place de la règlementation selon un périmètre basé sur 2 grands axes : collecte extérieure et système d’information interne).
[slideshare id=82816214&doc=converteobaromtregdpr-171127111829]
Les réponses apportées dans cette enquête sont édifiantes !
Quelques chiffres : Seul 6% déclarent être en conformité, exemple avec ce 84% qui déclarent donner des informations sur le partage fait avec les destinataires des données personnelles, 40% ne communiquent pas sur la finalité dans leur usage. Seulement 54% offre la possibilité d’effacement des données collectées.
Baromètre de converteo : https://converteo.com/blog/barometre-rgpd
Livrable collectif piloté par le CIGREF, plus de 300 recommandations
Destinée plutôt aux grandes entreprises, je vous recommande vivement la lecture de ce guide dont les auteurs, regroupés en 2 sous-groupes de travail, ont réuni réflexions et recommandations pour les DSI (directeur du service d’information) , vous y trouverez :
- 1 check list de 50 questions à se poser pour la mise en place d’une conformité RGPD classées en 3 sous thématiques : gouvernance, métier, système d’information et cyber sécurité.
- 300 Mesures et recommandations potentiellement applicables pour être conforme au GDPR : types de risques et mesures techniques possibles
- Des conseils sur les outils juridiques de compliance comme le registre des activités, étude d’impact et le DPO, de confiance tels que les codes de conduite, les certifications et les règles d’entreprises contraignantes
Document du cigref : http://www.cigref.fr/entreprise-cle-application-reussie-gdpr-livrable-cigref-afai-tech-in-france
Exemple de solution logicielle pour se mettre en conformité RGPD
REVER (solution technique) et Actecil (solution métier) ont mutualisé leurs compétences et proposent une solution logicielle qui permet à chacun des collaborateurs de l’entreprise (CDO, DPO) de pouvoir collaborer à la mise en place de la conformité à cette règlementation.
Elle permet :
- la création et la maintenance à jour le référentiel RGPD aussi bien du côté processus métiers que du côté des applicatifs informatiques. Précisons que ce GDPR (General Data Protection Régulation) : traitements, cartes de données personnelles, cartes de programmes.
- L’utilisation de ce référentiel pour répondre aux exigences multiples de la règlementation telles que le droit d’accès, la protection des données, la minimisation des données (création de fiche traitements, individuelles de droits d’accès, pseudonymisation des données personnelles.
Quiz de 15 questions sur GDPR de MailJet avec les solutions !
En Anglais, mais très simple à comprendre et en plus amusant avec des illustrations emojiques ! Le plus , c’est les mesures à prendre selon votre niveau de conformité.
Passer le Quiz ici : https://www.ultimategdprquiz.com/
Rgdp/Gdpr , ITP et monde publicitaire même combat ?
Le législateur européen va donc faire changer la façon dont les Dsi et les publicitaires principalement considèrent les données personnelles, mais il n’est pas le seul ! Apple , acteur américain sur le online, s’immisce aussi dans le débat de protection des données. Dès septembre de cette année, l’Intelligent Tracking Prevention (ITP) déployée sur son navigateur Safari restreint la fenêtre de tir du suivi des cookies tierce partie (Google a d’ailleurs changer le cookie de marquage des conversions adwords ainsi que sa collecte depuis Google analytics). Critéo , acteur majeur du retargeting publicitaire, est aujourd’hui en position délicate sur cette affaire d’ITP et cherche une parade pour début 2018, mais il n’est pas le seul dans ce cas, tout l’univers du monde programmatique est concerné et s’y prépare. Par exemple, des initiatives comme le « Digital Ad Trust » sous l’égide d’acteurs comme SRI, l’UDECAM, le GESTE, l’UDA, l’ARPP et l’IAB France insère dans leur guidelines un chapître relié à l’information des internautes sur la collecte des datas personnelles.
Bon on constate donc que les bonnes années du “tout ce qui n’est pas interdit est toléré” sont plutôt derrière nous. Organisations, GAFA et autres plateformes numériques n’ont que quelques semaines pour s’y plier, donc il faut se retrousser les manches, voilà une bonne résolution pour cette année 2018 ! 🙂