Depuis plusieurs semaines, le monde du marketing online s’agite de plus en plus à cause de la nouvelle réglementation européenne : le RGPD.
Qu’est ce que cela va t-il vraiment changer ? quelles conséquences ?
Petit rappel de ce que signifie vraiment le RGPD :
RGPD est l'initiale de Réglement Général pour la Protection des Données et désigne la dernière directive européenne concernant les données personnelles, publiée en 2016 et devant entrer en application dans les états membres le 25 mai 2018.
La CNIL vous explique que « Le RGPD est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maîtrise sur leurs données. »
Depuis le scandale de Facebook et de Cambridge Analytica, le prochain défi de l’Europe est la protection des données personnelles et de son utilisation par une entreprise.
Ce qui va changer est plus de transparence concernant le stockage de vos données, la durée de conservation et le niveau de sécurité. SMS Linker s'engage donc à respecter les nouvelles règles du RGPD qui sont :
1 - Cartographier et tenir des registres c'est à dire concrètement de recenser les différents traitements de données personnelles, recenser les catégories de données personnelles traitées, de définir les objectifs poursuivis par les opérations de traitements de données, identifier les acteurs (internes ou externes) qui traitent ces données, identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité, identifier les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne.
Qui ? Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ; Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ; Etablissez la liste des sous-traitants.
QUOI ? Identifiez les catégories de données traitées, identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)
POURQUOI ? Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).
OÙ ? Déterminez le lieu où les données sont hébergées. Indiquez dans quels pays les données sont éventuellement transférées.
JUSQU’À QUAND ? Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.
COMMENT ? Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?
2 - Minimisation des Données et respect des durées de conservation : La durée de conservation doit être définie par le responsable du fichier, sauf si un texte impose une durée précise. Cette durée va dépendre de la nature des données et des objectifs poursuivis. La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées. Les données personnelles doivent donc être conservées et accessibles par les services opérationnels uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte.
3 - Informer les salariés et candidats afin d'obtenir leur consentement : L’employeur devra informer ses salariés et ses candidats de la mise en place d’un traitement, de ses finalités et des modalités entourant ce traitement. Lors de la collecte des données, les candidats et employés devront être informés des mentions suivantes :
- Les coordonnées du DPO
- Le fondement juridique du traitement
- En cas de transfert hors UE : les garanties offertes et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition
- Le droit de la personne dont notamment son droit à la limitation du traitement et à la portabilité
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle
- L’existence d’une obligation contractuelle ou réglementaire de fournir les données et conséquences du défaut de fourniture
- L’intention d’effectuer un traitement ultérieur des données à d’autres fins
- Si les données n’ont pas été collectées auprès de la personne concernée : leur source et le cas échéant une mention indiquant qu’elles sont issues ou non de sources accessibles au public.
4 - Garantir la sécurité et la confidentialité des données : L’employeur doit prendre toutes les mesures « techniques et organisationnelles » pour assurer la confidentialité des données personnelles des candidats et employés et éviter toute divulgation aux tiers non-autorisés. Cette obligation est renforcée du fait de la manipulation de données dites sensibles. Classiquement, les mesures organisationnelles recouvrent la gouvernance de l’entreprise (sensibilisation du personnel aux cyber-risques, mise en place d’une documentation interne) tandis que les mesures techniques concernent les dispositifs de sécurité physique et informatique mis en place. L’employeur pourra utilement formaliser un référentiel de sécurité comportant notamment une « politique de gestion des incidents », « une politique de sécurité des systèmes d’information » ou encore une « Charte d’habilitation ». Ces documents participent de la gouvernance de l’entreprise et ont vocation à informer le personnel des bonnes pratiques à adopter pour assurer la sécurité et la confidentialité des données personnelles auxquelles il a accès. Dans le cadre des traitements les plus sensibles, comme par exemple le traitement de données relatives à la santé des salariés (handicaps éventuels, etc.), il conviendra de mener une étude d’impact sur la protection des données (PIA). Précisons qu’avec l’entrée en vigueur du RGPD et dans un objectif de transparence et de traçabilité des traitements, l’employeur devra notifier à la CNIL toute faille de sécurité dans les 48 heures.
5 - Désigner un DPO externe : Le RGPD consacre un nouvel acteur, présenté comme le chef d’orchestre de la conformité au sein de l’entreprise : le délégué à la protection des données ou DPO (Data Protection Officer). Le DPO est en effet le garant du respect de la réglementation au sein de l’entreprise et doit notamment : informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés ; contrôler le respect du règlement, d'autres dispositions en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant ; dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci. Coopérer avec l'autorité de contrôle (CNIL) sur les questions relatives au traitement. Le DPO doit donc allier compétences juridiques en matière de données personnelles et indépendance hiérarchique : A cet égard, il ne peut être membre de l’équipe dirigeante ! Dans ce contexte, il apparaît opportun d’externaliser cette fonction. La désignation d’un DPO présente surtout l’avantage d’avoir une personne dédiée à la conformité des traitements au sein de l’entreprise, capable de conseiller et d’assister les entreprises dans leur démarche.
Pour aller plus loin sur ce sujet : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
En tout cas, SMS Linker s’engage à suivre ces nouvelles règles imposées par l’Union Européenne qui finalement relève du bon sens et semblerait être une nouvelle opportunité pour le monde du web et du SMS pour mieux cibler ses clients.
A très vite,
L'équipe SMS Linker