Les TPE / PME et le RGPD...une grande histoire d'amour va commencer !

Nous croisons de nombreuses TPE/PME au sein de nos formations professionnelles. Nombre d'entre elles nous ont demandé ce qu'allait impliquer la réforme sur le RGPD (.Règlement Général pour la Protection des Données). Après y avoir répondu plus d'une fois à l'oral, nous nous sommes dit qu'un article écrit sur le sujet vous arrangerait sûrement.



Tout d’abord, il faut préciser une chose. Cette réforme c’est une bonne chose ! Elle vise à nous protéger en tant qu’individu des abus de certains éditeurs de sites… pour que nos données personnelles restent personnelles. La CNIL avait mis en place certaines règles qui nous permettaient déjà de garantir certains droits pour les internautes. Petit rappel !

# Le droit d’accès : c’est ce qui vous permet en tant qu’internaute de solliciter les informations vous concernant qui sont détenues par un tiers afin de les rectifier ou de les effacer si vous le souhaitez. Ce droit est complémentaire au droit de rectification qui permet de corriger des données pour éviter la diffusion de fausses informations.

# Le droit à l’information qui considère que toute personne traitant vos données personnelles est dans l’obligation de vous informer sur l’usage de vos données.

# Le droit d’opposition vous permet de vous opposer à la communication ou à la conservation de vos données sans justification.

# Le droit au déréférencement vous autorise à saisir un moteur de recherches pour supprimer votre nom et prénom lorsqu'ils sont associés à un site internet qui ne vous convient pas par exemple.

Bien que cela semble dans l’absolu assez complet, les nouveautés apportées par le RGPD devraient permettre à chaque individu d’avoir encore un meilleur accès à ses informations privées. Voici les nouveautés et requalifications proposées par le RGPD :

# Le droit à la portabilité vous permet en tant qu’internaute de récupérer vos données personnelles traitées par machine afin de les réutiliser pour vos propres besoins.

# Le droit de limite de traitement vous permet de restreindre l’utilisation de vos données stockées par un tiers (seulement si cette utilisation est abusive ou si les informations s’avèrent fausses).

# Le droit à l’oubli permet de demander la suppression de certaines informations qui pourraient vous porter préjudice.

# Le droit de consentement, la personne qui collecte les données doit recueillir un consentement clair de la personne concernée. Et c’est sûrement là le plus gros point de cette réforme pour les responsables d’entreprises détenant des bases de données clients et prospects ...

# La protection des données sensibles, un renforcement de la sécurité des données est mis en place pour tout ce qui concerne la santé, la race, l’orientation sexuelle, la religion... Le traitement de ces données sera donc interdit à moins que ces données soient rendues publiques ou que le consentement de la personne concernée ait été recueilli.


Attention, si ces droits venaient à ne pas être respectés, les sanctions encourues en cas de non-respect de ces nouvelles règles sont beaucoup plus strictes qu’auparavant !
En premier lieu un avertissement sera donné à l’entreprise et, en cas de non régulation de sa situation, une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires pourra être appliquée… autant vous dire que ça ne donne pas forcément envie de jouer !

Alors, nous en venons a un problème bien simple. Comment dans ma TPE/PME puis-je me mettre à jour au niveau du RGPD ? Quelles actions dois-je mettre en place ? Comment cela se concrétise sur mon site internet ? Dans mes actions webmarketing ? Dans mes démarches de prospection ? … Autant de questions auxquelles nous allons tenter de répondre le plus précisément possible !  

Tout d’abord, pour vous préparer correctement à la mise en conformité il vous est nécessaire de respecter plusieurs étapes !

Étape n°1 : Élection d'un DPO (Délégué à la protection des données).

Même si cette démarche n'a pas un caractère obligatoire, elle est cependant recommandée.
Le DPO doit "veiller au respect du règlement et pourra ainsi prévenir les risques d’avertissement". Alors vous allez nous dire...mais on est 2, ou je suis seul(e) … et bien C’EST CADEAU ! Vous voici affublé d’un titre de plus !!

En théorie le DPO se doit de procéder à la cartographie des données recueillies par l’entreprise, juger de leur conformité ou non, prévenir ses collaborateurs des règles et bonnes pratiques, sensibiliser l’équipe à l’importance de respecter la vie privée d’autrui... Dans les faits, dans une TPE ou petite PME, c’est souvent le responsable d’entreprise qui hérite de cette mission, et il est évident que cela vous demande à minima de monter en compétences et d’être en mesure de décliner opérationnellement la mise en conformité de votre structure. Elle est pas belle la vie ?! 

Étape n°2 : Établir un registre de traitement des données ou cartographier les données détenues par la société (c’est la même chose dite de deux manières différentes).

Ce registre devra permettre de répondre aux questions suivantes : Qui ? Quoi ? Comment ? Pourquoi ? Où ? Jusqu’à quand ?

Attention, si vous traitez des données personnelles ou à grande échelle pouvant générer un risque, vous devrez prendre des mesures de sécurité plus élevées (informations sur l’état de santé, la race, l’orientation sexuelle, la religion, personnes vulnérables…). Pour celles et ceux concerné(e)s, sachez qu’un logiciel nommé PIA est disponible pour réaliser cette analyse.

Pour trouver un modèle de registre de traitement des données RGPD, il vous suffit de télécharger le fichier proposé par la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

Une fois ces démarches effectuées, vous aurez à élaborer un dossier contenant toutes les informations précédentes et qui vous permettra de justifier de la conformité de votre entreprise quant à sa politique de collecte et conservation des données.

Ce dossier devra contenir les documents suivants :

- Le registre de traitement de données.

- Les mesures de protection des données exportées hors UE (lorsque vous êtes concerné)

- Les consentements de chaque individu : attention, le consentement doit être donné de façon clair, l’absence de réponse ne vaut pas pour consentement. De plus, rappelez vous qu’il est formellement interdit d’utiliser des cases pré-cochées pour les obtenir...ça, ça va sans dire les amis ! Aussi, le consentement doit être donné pour chaque finalité, de façon dissociable. Je ne peux donc pas, par exemple, parce que j’ai reçu un consentement pour l'envoi d'une newsletter me servir du-dit consentement pour procéder à des opérations de marketing automation vers ce même individu. Et bien entendu, il faut être en mesure d'apporter la preuve que le consentement a bien été recueilli et que la personne puisse le retirer à tout moment !

- Les mentions qui informent les personnes physiques de la récolte et du traitement des données.

- L’intégralité des contrats entre les différents acteurs afin de définir leur rôles et responsabilités (lorsque vous vendez/achetez des données à un partenaire).

- Les mesures mises en place concernant la sécurité des données

Attention, toutes ces actions impactent évidemment vos mentions légales. Celles-ci devront bien entendu être mises à jour dans ce sens et informer vos clients sur l'existence du recueil de données, de sa finalité ainsi que de la durée du stockage des données.

Pour mettre en place votre nouvelle version de mentions légales, aux normes RGPD, vous pouvez vous fier à ce que propose la CNIL : https://www.cnil.fr/fr/modeles/mention

 

Étape n°3 : Faire un état des lieux de vos bases de données

Cela consiste à :

  • Déterminer leur origine, finalité, destination et durée de conservation.
  • Vérifier si ces données ont bien été récoltées légalement et conformément au RGPD
  • Obtenir un consentement de toutes les personnes concernées
  • Analyser les processus et dispositifs de collecte : formulaires, réseaux sociaux…
  • S’assurer que vos sous-traitants sont en conformité avec le RGPD

Tout ça c’est bien beau, mais ça ressemble beaucoup à de la théorie. Nous vous voyons venir d’ici là… MAIS COMMENT JE METS ÇA EN OEUVRE SUR MON SITE ? AAAAAAAHHHHRG

Quelques bonne pratiques simples :

  • Travaillez sur des formulaires d’inscription multi-listes pour une meilleure gestion des autorisations
  • Intégrez automatiquement des liens de désinscription à tous vos e-mails
  • Localisez vos serveurs en France

> Facilitez la gestion des contacts pour y accéder plus aisément lorsque vous recevrez une demande de modification

Et en image ?
Sources des images : Sendinblue

Sur vos formulaires d’inscription à la newsletter :

Sur vos formulaires d’inscription à la newsletter + politique de marketing automation :

Sur vos formulaires de téléchargement d’un livre blanc :

Sur vos formulaires de création de compte :

Si jamais cet article n’est pas suffisant pour vous, ou que vous souhaitez confronter son contenu. Nous pouvons vous proposer des liens complémentaires. Par exemple :

Vous avez un site sous Wordpress et souhaitez connaître les détails des plugins qui vous faciliteront la mise en place du RGPD : https://wpmarmite.com/rgpd-wordpress/

Cet article très complet reprend ce que nous venons de vous exposer et couvre aussi le champ des sites disposant d’une boutique Woocomerce.

Vous avez un site sous Prestashop et souhaitez connaître les détails des plugins qui vous faciliteront la mise en place du RGPD un livre blanc RGPD gratuit est proposé sur Prestashop, vous le trouverez ici : https://addons.prestashop.com/fr/modules-prestashop-gratuits/31944-livre-blanc-rgpd.html

Sinon, les développeurs de Prestashop et sa communauté proposent également de nombreux addons.

En espérant que tout ceci pourra vous être utile ! Nous vous souhaitons une excellente journée et surtout bon courage pour mettre tout cela en application.

APARTÉ : vous êtes salarié(e) ou responsable d’une TPE / PME, n’hésitez pas à faire appel à un des développeurs juniors ou séniors de notre groupement d’employeurs. Vous pourrez ainsi vous partager le coût de son intervention à plusieurs et vous simplifier la vie... Le digital coopératif… ne l’oublions pas :-)

Article co-écrit par notre stagiaire du Sésame Numérique : Sarah Boudot 

 

Commentaires

Pas de commentaires

Ajouter un commentaire

 *
Veuillez rentrer un minimum de 5 caractères et un maximum de 30 caractères
 *
Veuillez rentrer un minimum de 5 caractères et un maximum de 500 caractères
 *
* Champs obligatoires