• Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 295 autres abonnés

  • Catégories

  • Archives

  • Stats du Site

    • 724,663 hits
  • Conseil en développement et structuration commerciale

RGPD, nous sommes tous concernés

 

 

 

 

 

 

RGPD ou Réglement Général de Protection des Données (ou GDRP en anglais).

Le 28 mai 2018, rentre en vigueur le nouveau règlement en matière de protection des données personnelles.
Toutes les entreprises françaises sont concernées.
Quels que soit leur taille, activité, ou encore leur type de ciblage (particuliers et professionnels), du moment qu’elles résident sur le sol Européen et plus particulièrement Français.

Le règlement impose de nouvelles contraintes aux entreprises et à leurs sous-traitants concernant le traitement des données.
Oui, vous avez bien lu : NOUVELLES CONTRAINTES, avec à la clé des sanctions financières en cas de non-conformité.
Ces sanctions seront fatales aux TPE, PME, si elles sont avérées après plainte d’un usagé (vous, moi, un concurrent jaloux, un client mécontent…) et contrôle.

Maintenant que faire ?

  1.  si vous êtes chef d’entreprise, dépêchez-vous de mettre en oeuvre une démarche de mise en conformité.
  2. si vous êtes salarié et que vous avez compris l’ampleur de la tâche, empressez-vous d’en parler à votre Big Boss, histoire de vérifier s’il ne passe pas à côté de son obligation.

Données personnelles, données sensibles, qu’est-ce que c’est ?

Données personnelles

Pour faire simple je vous donne 2 exemples pour savoir si vous êtes concernés : 1 collecte d’informations commerciales (noms de décideurs, prénoms, mails nominatifs…), création d’informations de scoring, de profilage clients et prospects : vous êtes concerné 2/ établissement de fiche de paie (nom, prénom des salariés, adresses personnelles, téléphones…) : vous êtes concernés
Et je ne parle même pas des questions de vidéo surveillance, de contrôles d’accès, de reconnaissance biométrique, de géolocalisation.

Données sensibles

  • origine raciale ou ethnique
  • opinions politiques
  • convictions religieuses ou philosophiques
  • appartenance syndicale
  • traitement des données génétiques
  • données biométriques aux fins d’identifier une personne physique de manière unique
  • données concernant la santé
  • données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique

Alors, sommes-nous sommes tous concernés, dirigeants, responsables des traitements informatiques, responsables des ressources humaines ? OUI.

Ce que dit le texte

Nous sommes concernés si le traitement comporte des risques pour les droits et libertés des personnes physiques, s’il n’est pas occasionnel ou s’il porte sur des données sensibles

2 niveaux d’information pour comprendre le règlement

  1. de la façon dont j’ai compris la mise en œuvre de la RGPD
  2. en vous donnant quelques liens, en fin d’article, pour vous donner une vision plus officielle de l’affaire

5 points importants parmi d’autres importants aussi

Oui, oui, tout est important !

Les données que nous gérons ne vous appartiennent pas.

Nous sommes responsables de la sécurité des informations que nous détenons.
Nous devons être transparents en cas de réclamation d’un usagé pour le contrôle des données le concernant. Vous le saviez déjà, puisque c’est un aspect avec lequel nous vivons depuis 1978 (loi dite « Informatique et des Libertés »), c’est le droit d’accès aux données.
Nous devons permettre le transfert ou la restitution des données à la demande de son propriétaire. C’est nouveau, c’est le droit à la portabilité des données pour les personnes physiques.
Nous devons garantir le droit à l’oubli, c’est à dite, la destruction des données.
Nous serons obligés de notifier les violations de données personnelles

Pour votre survie, 2 démarches à faire immédiatement

  1. prenez connaissance du texte de loi, mais vite, car votre responsabilité est engagée à partir de mai prochain (liens à votre disposition en fin d’article).
  2. rendez-vous sur le site de la CNIL, qui propose des explications claires (6 étapes) et des modèles de documents à télécharger.

Pourquoi cela va-t-il vous prendre du temps ?

Parce que c’est une conduite d’un projet à risque.
Un risque pour votre activité professionnelle doublé d’une notion de risque pour le propriétaire des données que vous gérez.
Et, il va donc falloir évaluer les risques que vous prenez, puis mettre en œuvre de mesures correctives, de transparence, de traçabilité.

En substance, « l’entreprise doit mettre en place des mesures de protection des données appropriées et pouvoir, si la CNIL le lui demande, être en mesure de prouver qu’elle respecte bien le règlement ».

 6 étapes désignées par la CNIL

  1. Désigner un pilote
  2. Cartographier vos traitements de données personnelles
  3. Prioriser les actions à mener
  4. Gérer les risques
  5. Organiser les processus internes
  6. Documenter la conformité

B to B, B to C, quelle différence ?

Pas de différence affichée pour l’instant.

La Loi de Confiance en l’Économie Numérique de 2004 (LCEN) traite entre autres le principe de consentement pour la prospection commerciale par courrier électronique (toujours présent avec la RGDP).
Il me semblait au début, que le principe de « pas de message commercial sans accord préalable du destinataire » ne distinguait pas les sollicitations commerciales auprès des consommateurs (les particuliers), des sollicitations commerciales auprès des professionnels (nos prospects).
Puis les choses se sont clarifiées. Maintenant, le principe de la prospection par email des professionnels repose sur le principe de « information préalable et droit d’opposition ».

Mauvaise compréhension de ma part ou lobbying des professionnels du métier pour rectifier le tir ? Maintenant les choses sont claires pour les professionnels (B to B).

Pour la RGPD, la position est plus affirmée. Beaucoup de choses ont changé depuis 2004 : fuites de données, piratage, escroquerie et chantage, politiques différentes entre les pays.
Aux États unis, par exemple, la Commission fédérale des communications (FCC) a voté le droit de revente des données personnelles par les fournisseurs d’accès à Internet.
Nos données personnelles sont l’or du 21e siècle.
Donc, en Europe, il y a une la volonté d’obliger à la protection des données personnelles.
Donc inutile de nous lamenter sur notre sort et tentons de survivre à ce chamboulement dont le fondement est louable.

TPE et organismes de formation : la loi de Murphy

En tant qu’organisme de formation, je viens tout juste de sortir d’une démarche de mise en conformité appelée « décret qualité formation ».
Cela m’a demandé un travail fou, mais 80% de mes procédures ont été actées dans le système ad hoc, le DATADOCK. J’ai créé de nouveaux indicateurs pour finaliser les 20% restants, j’attends à ce jour la confirmation finale. Depuis, les AGEFOS PME (financement de la formation) ont accepté la prise en charge d’un parcours de formation auprès d’un client. J’imagine que tout devrait bien se passer pour avoir 100% de conformité maintenant.

J’ai cru que le pire était arrivé pour mon activité professionnelle, compte tenu du travail (improductif) que cela représente, jusqu’au moment où j’ai pris connaissance de la RGPD, car rebelotte.
C’est quand on croit que le pire est arrivé que les choses tournent encore plus mal (loi de Murphy).

Ça, c’est mon côté pessimiste.
L’avantage réside dans le fait qu’avec ce décret en 2017, puis cette directive pour 2018, me voilà rodé et une nouvelle mise en conformité sera plus facile à piloter.
Mais pour beaucoup de TPE et PME cela sera difficile à digérer. Le laxisme habituel ou le découragement devant autant de changements fera prendre plus de risques aux entreprises.
Ma position, comme pour « le décret qualité formation », est d’intégrer cela dans une vision stratégique d’entreprise et de prendre des positions fortes pour me différencier de la concurrence.
Idem pour la RGPD.

Faites-vous votre propre opinion

https://www.cnil.fr/fr/textes-officiels-europeens-protection-donnees
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm
http://lentreprise.lexpress.fr/gestion-fiscalite/responsabilites-assurances/protection-des-donnees-personnelles-de-nouvelles-obligations-pour-l-entreprise_1917589.html
https://www.donneespersonnelles.fr/gdpr

La littérature est riche à ce sujet sur Internet.

Rappel

https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

Bon courage aux chefs d’entreprise.

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :