Protection de vos données client et RGPD : par où commencer ?

protection-des-donnees

A l’ère du Big Data, la possession et la protection des données personnelles de vos clients est devenue un enjeu clé pour les entreprises désormais fortement règlementé par le RGPD.

Pour une grande majorité d’entreprises ou organisations, les données (transactionnelles, comportementales…) relatives à leurs clients et prospects constituent aujourd’hui un actif économique déterminant : au-delà de leur valorisation financière, elles représentent parfois un avantage concurrentiel décisif, et s’avèrent dans bien des cas tout simplement indispensables à leur activité. Si vous suivez l’actualité des entreprises ou si avez un intérêt pour la Data, il ne vous aura donc pas échappé que le RGPD représente un enjeu majeur pour beaucoup d’entreprises dans les mois à venir : l’entrée en vigueur le 28 mai 2018 à l’échelle européenne de ce nouveau Règlement Général sur la Protection des Données implique en effet la mise en œuvre de mesures conséquentes, d’ordre à la fois technique et organisationnel, relatives au mode de collecte et de traitement des données personnelles (voir à ce sujet notre interview de Benoît De Nayer, juriste spécialiste du droit des consommateurs et co-fondateur d’Actito).

Alors, par où commencer ? Voici en 3 étapes comment vous lancer, pour aborder sereinement ce nouveau chantier et être un « Jedi » de la protection des données personnelles de vos clients d’ici un an !

1. Mettre en place un diagnostic de l’existant au regard du RGPD

Le Règlement Général sur la Protection des Données personnelles (RGPD) se démarque de tous les règlements précédents en raison de son champ d’application très large. Il introduit de nouvelles exigences législatives qui auront un impact significatif sur la façon dont les entreprises recueillent, gèrent, protègent et partagent les données structurées et non structurées.

Jusqu’à présent, les entreprises devaient certes déjà prendre des mesures techniques et organisationnelles pour protéger les données personnelles (déclaration à la CNIL, recueil du consentement pour le fait de céder ces données à un tiers…). Mais la mise en œuvre du RGPD exigera des entreprises des démarches plus poussées, et surtout, la capacité de démontrer que les mesures de protection des données sont continuellement revues et mises à jour.

C’est pourquoi, avant même de se lancer dans la définition et la mise en œuvre de ces mesures, les entreprises devront réaliser un diagnostic complet de leurs bases et flux de données et un recensement systématique de leur provenance et de leurs modalités de traitement.

La RGPD établit comme obligatoire la réalisation d’un « Data Protection Impact Assessment (DPIA) ». En débutant par un examen approfondi de vos bases de données actuelles, vous allez documenter l’ensemble des données personnelles de vos clients que vous détenez et leur provenance. En pratique, il s’agit d’une analyse d’impact des opérations de traitement de données personnelles. Elle permet d’identifier, comprendre et atténuer les risques qui pourraient survenir lors de la mise en œuvre de nouvelles activités qui impliquent le traitement de données clients ou lors de la mise en place de nouveaux outils, tels que les solutions de Business Intelligence, les entrepôts de données, les lacs de données et applications marketing. L’entreprise doit consulter une autorité de contrôle de la protection des données si l’évaluation montre un risque inhérent.

2. Réduire les risques liés à la collecte et au traitement de données personnelles visés par le RGPD

Voici 3 exemples d’actions concrètes à mettre en œuvre dans ce sens :

2.1. Minimiser et « anonymiser » vos données personnelles

La nouvelle réglementation sur la protection des données personnelles s’applique aux données qui permettent l’identification – directe ou indirecte – d’une personne. En conséquence, les ID de cookies, identifiants en ligne, et les adresses IP sont classées comme données personnelles du point de vue de la RGPD !

Pour assurer la sécurité et la confidentialité de ces données désormais considérées comme personnelles, les entreprises peuvent s’appuyer sur les mesures suivantes :

  • Pseudonymisation (telles que le cryptage, tokenisation) : technique qui implique la catégorisation des données personnelles des clients en deux types, de telle sorte que l’un des 2 types ne puisse plus être attribué à une personne nominative
  • Minimisation des données : comme son nom l’indique, la minimisation des données consiste à faire en sorte que seules les données nécessaires dans un but précis sont traitées, utilisées ou stockées.

2.2. Mettre en place des procédures de sécurisation des données personnelles

Il s’agit là de gérer les flux de données de façon sécurisée et selon des process établis. Vous devrez donc mettre au point une « feuille de route » pour recenser l’ensemble de vos sources et décrire les procédures de suivi des données, les outils de traitement utilisés, les techniques et les méthodes employés, les services ou prestataires impliqués.

Vous allez donc suivre également la façon dont les données que vous détenez sont partagées avec d’autres entreprises. Une fois que vous avez énuméré toutes les entrées et sorties, vous pourrez évaluer leur conformité aux nouvelles règlementations, et prendre les mesures adéquates pour assurer une bonne gouvernance des données.

Ces procédures devront notamment prévoir la façon de répondre aux demandes de retrait de consentement des clients d’une manière efficace, et établir la façon de mettre à jour le système pour signaler que l’utilisateur a retiré son consentement.

2.3. Nommer un responsable à la sécurisation des données personnelles

Enfin, il sera incontournable de nommer/recruter un responsable de la protection des données (ou DPO, pour data Protection Officer, en anglais), doté des connaissances à la fois techniques et juridiques nécessaires, en charge notamment d’évaluer et atténuer les risques de non-conformité.

Cette personne devra être en capacité de gérer « en mode projet » la définition et la mise en œuvre des nouvelles procédures, ainsi que la conduite du changement en interne, et donc être investie de l’autorité nécessaire pour pouvoir le faire.

3. Adopter une nouvelle politique en matière de gestion des données personnelles

Ce dernier point – la conduite du changement en interne – est crucial : en effet, au-delà des procédures techniques liées à la sécurisation des données personnelles (lors de leur collecte, stockage ou partage) à proprement parler, la nouvelle réglementation vise bien avant tout à protéger les droits des individus quant à l’utilisation faites de leurs données personnelles, notamment vis-à-vis d’une exploitation commerciale ou marketing jugée abusive.

C’est pourquoi le RGPD impose de mettre en place des procédures de recueil de consentements « valides et vérifiables » : il établit de nouvelles exigences strictes sur l’obtention d’un consentement et sur le traitement des données personnelles des clients. Selon la nouvelle législation, les entreprises devront rendre le processus de retrait d’un consentement aussi facile que le consentement lui-même. En outre, le consentement doit être explicite et le client informé en toute transparence de la destination et de l’utilisation de ses données.

Cette approche induit donc un changement plus fort que le simple aspect technique puisqu’elle implique que la collecte de données réponde à un but précis et identifié. Cela demande aux équipes marketing notamment de se poser en amont de chaque opération marketing incluant de la récolte de données les questions suivantes :

  • Pourquoi je souhaite récupérer cette donnée ?
  • Cela est-il justifié ?

Côté client, l’utilisation qui sera faite des données récoltées doit être explicitée et l’utilisateur doit pouvoir facilement s’opposer à la récupération de ses informations.

Si l’ensemble de ces changements ou contraintes peuvent sembler un peu « vertigineux » de prime abord, un grand nombre des principes du RGPD sont en réalité semblables ou proches des règles de protection des données actuelles. Par conséquent, si votre entreprise fonctionne actuellement conformément à la loi en vigueur, vous pouvez partir de votre approche actuelle de la protection des données et vous appuyer sur les bonnes pratiques observées dans les entreprises en pointe sur ces sujets, pour construire de nouveaux process, plus robustes et sécurisés et vous mettre en conformité avec la RGPD.

Pour aller plus loin, ne manquez pas notre conférence sur le RGPD : 


 

Experts en acquisition et fidélisation clients, nous aidons depuis plus de 10 ans les entreprises à sécuriser et accroître durablement leurs revenus en agissant sur l’Expérience client et la Performance commerciale.

Rejoignez le 1er groupe LinkedIn français sur le sujet de la RGDP : cliquez ici

D’autres articles en lien parus sur notre blog : 

The following two tabs change content below.

Nicolas BOISSARD

Consultant senior, expert en Digital & Expérience Client
EMail : nicolas.boissard@kestio.com
Téléphone : +33 (0)6 62 34 47 97

Découvrir mes expertises

Exigez le meilleur !

Recevez chaque mois le meilleur
de la Performance Commerciale et de l'Expérience Client
(conseils, dossiers et points de vue, benchmark et best practices).

Votre adresse e-mail ne sera jamais partagée avec un tiers et vous ne recevrez que le type de contenu auquel vous vous êtes inscrit.

Website Security Test