• Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 295 autres abonnés

  • Catégories

  • Archives

  • Stats du Site

    • 724,663 hits
  • Conseil en développement et structuration commerciale

RGPD, nous sommes tous concernés

 

 

 

 

 

 

RGPD ou Réglement Général de Protection des Données (ou GDRP en anglais).

Le 28 mai 2018, rentre en vigueur le nouveau règlement en matière de protection des données personnelles.
Toutes les entreprises françaises sont concernées.
Quels que soit leur taille, activité, ou encore leur type de ciblage (particuliers et professionnels), du moment qu’elles résident sur le sol Européen et plus particulièrement Français.

Le règlement impose de nouvelles contraintes aux entreprises et à leurs sous-traitants concernant le traitement des données.
Oui, vous avez bien lu : NOUVELLES CONTRAINTES, avec à la clé des sanctions financières en cas de non-conformité.
Ces sanctions seront fatales aux TPE, PME, si elles sont avérées après plainte d’un usagé (vous, moi, un concurrent jaloux, un client mécontent…) et contrôle.

Maintenant que faire ?

  1.  si vous êtes chef d’entreprise, dépêchez-vous de mettre en oeuvre une démarche de mise en conformité.
  2. si vous êtes salarié et que vous avez compris l’ampleur de la tâche, empressez-vous d’en parler à votre Big Boss, histoire de vérifier s’il ne passe pas à côté de son obligation.

Données personnelles, données sensibles, qu’est-ce que c’est ?

Données personnelles

Pour faire simple je vous donne 2 exemples pour savoir si vous êtes concernés : 1 collecte d’informations commerciales (noms de décideurs, prénoms, mails nominatifs…), création d’informations de scoring, de profilage clients et prospects : vous êtes concerné 2/ établissement de fiche de paie (nom, prénom des salariés, adresses personnelles, téléphones…) : vous êtes concernés
Et je ne parle même pas des questions de vidéo surveillance, de contrôles d’accès, de reconnaissance biométrique, de géolocalisation.

Données sensibles

  • origine raciale ou ethnique
  • opinions politiques
  • convictions religieuses ou philosophiques
  • appartenance syndicale
  • traitement des données génétiques
  • données biométriques aux fins d’identifier une personne physique de manière unique
  • données concernant la santé
  • données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique

Alors, sommes-nous sommes tous concernés, dirigeants, responsables des traitements informatiques, responsables des ressources humaines ? OUI.

Ce que dit le texte

Nous sommes concernés si le traitement comporte des risques pour les droits et libertés des personnes physiques, s’il n’est pas occasionnel ou s’il porte sur des données sensibles

2 niveaux d’information pour comprendre le règlement

  1. de la façon dont j’ai compris la mise en œuvre de la RGPD
  2. en vous donnant quelques liens, en fin d’article, pour vous donner une vision plus officielle de l’affaire

5 points importants parmi d’autres importants aussi

Oui, oui, tout est important !

Les données que nous gérons ne vous appartiennent pas.

Nous sommes responsables de la sécurité des informations que nous détenons.
Nous devons être transparents en cas de réclamation d’un usagé pour le contrôle des données le concernant. Vous le saviez déjà, puisque c’est un aspect avec lequel nous vivons depuis 1978 (loi dite « Informatique et des Libertés »), c’est le droit d’accès aux données.
Nous devons permettre le transfert ou la restitution des données à la demande de son propriétaire. C’est nouveau, c’est le droit à la portabilité des données pour les personnes physiques.
Nous devons garantir le droit à l’oubli, c’est à dite, la destruction des données.
Nous serons obligés de notifier les violations de données personnelles

Pour votre survie, 2 démarches à faire immédiatement

  1. prenez connaissance du texte de loi, mais vite, car votre responsabilité est engagée à partir de mai prochain (liens à votre disposition en fin d’article).
  2. rendez-vous sur le site de la CNIL, qui propose des explications claires (6 étapes) et des modèles de documents à télécharger.

Pourquoi cela va-t-il vous prendre du temps ?

Parce que c’est une conduite d’un projet à risque.
Un risque pour votre activité professionnelle doublé d’une notion de risque pour le propriétaire des données que vous gérez.
Et, il va donc falloir évaluer les risques que vous prenez, puis mettre en œuvre de mesures correctives, de transparence, de traçabilité.

En substance, « l’entreprise doit mettre en place des mesures de protection des données appropriées et pouvoir, si la CNIL le lui demande, être en mesure de prouver qu’elle respecte bien le règlement ».

 6 étapes désignées par la CNIL

  1. Désigner un pilote
  2. Cartographier vos traitements de données personnelles
  3. Prioriser les actions à mener
  4. Gérer les risques
  5. Organiser les processus internes
  6. Documenter la conformité

B to B, B to C, quelle différence ?

Pas de différence affichée pour l’instant.

La Loi de Confiance en l’Économie Numérique de 2004 (LCEN) traite entre autres le principe de consentement pour la prospection commerciale par courrier électronique (toujours présent avec la RGDP).
Il me semblait au début, que le principe de « pas de message commercial sans accord préalable du destinataire » ne distinguait pas les sollicitations commerciales auprès des consommateurs (les particuliers), des sollicitations commerciales auprès des professionnels (nos prospects).
Puis les choses se sont clarifiées. Maintenant, le principe de la prospection par email des professionnels repose sur le principe de « information préalable et droit d’opposition ».

Mauvaise compréhension de ma part ou lobbying des professionnels du métier pour rectifier le tir ? Maintenant les choses sont claires pour les professionnels (B to B).

Pour la RGPD, la position est plus affirmée. Beaucoup de choses ont changé depuis 2004 : fuites de données, piratage, escroquerie et chantage, politiques différentes entre les pays.
Aux États unis, par exemple, la Commission fédérale des communications (FCC) a voté le droit de revente des données personnelles par les fournisseurs d’accès à Internet.
Nos données personnelles sont l’or du 21e siècle.
Donc, en Europe, il y a une la volonté d’obliger à la protection des données personnelles.
Donc inutile de nous lamenter sur notre sort et tentons de survivre à ce chamboulement dont le fondement est louable.

TPE et organismes de formation : la loi de Murphy

En tant qu’organisme de formation, je viens tout juste de sortir d’une démarche de mise en conformité appelée « décret qualité formation ».
Cela m’a demandé un travail fou, mais 80% de mes procédures ont été actées dans le système ad hoc, le DATADOCK. J’ai créé de nouveaux indicateurs pour finaliser les 20% restants, j’attends à ce jour la confirmation finale. Depuis, les AGEFOS PME (financement de la formation) ont accepté la prise en charge d’un parcours de formation auprès d’un client. J’imagine que tout devrait bien se passer pour avoir 100% de conformité maintenant.

J’ai cru que le pire était arrivé pour mon activité professionnelle, compte tenu du travail (improductif) que cela représente, jusqu’au moment où j’ai pris connaissance de la RGPD, car rebelotte.
C’est quand on croit que le pire est arrivé que les choses tournent encore plus mal (loi de Murphy).

Ça, c’est mon côté pessimiste.
L’avantage réside dans le fait qu’avec ce décret en 2017, puis cette directive pour 2018, me voilà rodé et une nouvelle mise en conformité sera plus facile à piloter.
Mais pour beaucoup de TPE et PME cela sera difficile à digérer. Le laxisme habituel ou le découragement devant autant de changements fera prendre plus de risques aux entreprises.
Ma position, comme pour « le décret qualité formation », est d’intégrer cela dans une vision stratégique d’entreprise et de prendre des positions fortes pour me différencier de la concurrence.
Idem pour la RGPD.

Faites-vous votre propre opinion

https://www.cnil.fr/fr/textes-officiels-europeens-protection-donnees
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm
http://lentreprise.lexpress.fr/gestion-fiscalite/responsabilites-assurances/protection-des-donnees-personnelles-de-nouvelles-obligations-pour-l-entreprise_1917589.html
https://www.donneespersonnelles.fr/gdpr

La littérature est riche à ce sujet sur Internet.

Rappel

https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

Bon courage aux chefs d’entreprise.

Publicités

Fichiers : obligations et bonnes pratiques

Logo SNCD Le SNCD (organisation professionnelle dédiée à la promotion des techniques et des usages du marketing direct multicanal et de la relation client) vient de publier LE GUIDE DE LA PROSPECTION (avril 2014).

C’est le moment de vérifier si vos connaissances sont à jour.

En résumé, ci-dessous, 3 domaines à appréhender quand vous utilisez un fichier commercial.

1/ Le fichier

  • Un fichier est une liste papier ou informatique
  • Il comprend des noms de personnes, des coordonnées, des informations rentrées par vous
  • Il exclut obligatoirement toute information ou tout traitement interdit : religion, race, santé…
  • Il engage votre responsabilité civile et pénale
  • Il doit être déclaré à la CNIL

2/ Le traitement du fichier

  • les informations doivent être légalement obtenues
  • Le principe d’Opt’in doit être respecté (consentement préalable des personnes listées)
  • Vous devez :
    • informer de l’utilisation que vous allez faire des données collectées, particulièrement si vous permettez l’accès à vos données en dehors de la communauté Européenne)
    • proposer un droit d’opposition
    • prendre en compte les demandes d’opposition à vos communications
    • tenir à jour les listes d’opposition

3/ La sécurité des informations

  • Les accès aux fichiers (numériques) doivent être protégés, vous devez prévoir des sauvegardes
  • Vous devez désigner un « responsable des fichiers » en interne

Prospection postale, téléphonique, par email (BtoC et BtoB), par SMS, vous saurez où vous en êtes avec le nouveau guide.

Bonne lecture.

Big bang législatif sur le commerce (en ligne)

Danger Projet de loi 2014 relatif à la consommation

Une fois n’est pas coutume, je porte à votre attention un article du Journal du Net concernant le projet de loi 2014 relatif à la consommation.
Il y est question du e-commerce, mais pas uniquement puisqu’il traite aussi de la protection des données personnelles.

Aïe, aïe, aïe ! Là, cela concerne toutes les entreprises qui prospectent des clients (à moins que votre développement ne se fasse sans client ).

Les principes de l’Opt in et de l’Opt out

  • Opt in : obtenir le consentement préalable de votre cible quant à l’utilisation de ses données personnelles (l’adresse mail par exemple)
  • Opt out : pas de consentement (l’envoi de publipostage par exemple)

l’intérêt légitime des entreprises

La loi revient sur les contours du consentement que les entreprises devront requérir des individus pour pouvoir traiter légalement leurs données personnelles : par exemple e-mailing.

Mais le texte précise, pour l’Opt out, que ce sera justifié « si utiliser les données répond à l’intérêt légitime des entreprises sous réserve que soit respecté l’intérêt des individus ». Or la discussion se poursuit (texte adopté par la Commission, en cours d’examen par le Parlement européen) autour du périmètre de « l’intérêt légitime » des entreprises comme des individus.

De quel côté va pencher la balance entre protection des consommateurs et prospection/commercialisation de nos produits et services ? La distinction entre B to C et B to B sera-t-elle faite ?

Quel avenir pour la prospection de clientèle ?

Je prédis un bel avenir aux réseaux sociaux.  Ils vont se métamorphoser en support publicitaire et voir  se dénaturer leur fonction de mise en relation.
Les bases de données vont coûter cher en mise à jour et en entretien. Quant à l’e-mailing sera-t-il encore à la portée des TPE PME ?

Sanctions

L’arsenal législatif s’accompagne d’un renforcement significatif des sanctions encourues (entre 3 000 et 15 000 euros d’amende pour les sites de e-commerce qui ne seront pas en conformité avec la loi).