RGPD, quel impact sur votre entreprise ?

Comme vous le savez le RGPD entre en vigueur au niveau européen le 25 mai 2018. Il impacte profondément le mode de fonctionnement des entreprises, collectivités et associations. Mais quels sont les services au sein des entreprises les plus impactés ?

Le marketing

L’analyse et l’utilisation des données personnelles est un fondement du marketing moderne. Les marketeurs ne peuvent se passer des cookies de traçabilité, des adresses e-mails, des informations sur les habitudes d’achat des clients, de données sur l’âge, le sexe, la CSP…

Oui mais voilà, le RGPD passe par là.

Désormais ces données ne seront plus exploitables qu’avec l’accord préalable des personnes. Que ce soit en B2b ou en B2C… Il vous faut désormais obtenir ces accords et prouver qu’on les a bien obtenus (date, heure précise).

Opt-in sur les formulaires de contact, informations concernant l’utilisation de cookies sur votre site internet, doivent désormais être en place.

Vous collectez et conservez beaucoup de données sur vos clients. Sont-elles toutes en lien direct avec les services/les produits que vous proposez ?

Si ce n’est pas le cas il va vous falloir supprimer les données non pertinentes.

Comme toutes les entreprises vous possédez moult fiches contacts dans vos bases et qui ne sont associées à aucune activité commerciale (commande) depuis plus de 3 ans. Et bien sachez que toutes les fiches concernées doivent être supprimées.

Encore un exemple : Si un traitement de données expose des personnes à un risque élevé au regard de leurs droits et libertés, il devra désormais faire l’objet d’une étude d’impact préalable sur la vie privée (Article 35 du RGPD EIVP)

Mais ce n’est pas tout.

Le commercial

Comme toutes les entreprises vous gérez les données de vos prospects et clients dans un logiciel et/ou sur papier. Votre service commercial est pleinement concerné.

Quelles informations détenez-vous ?

Vous devez porter une attention particulière au contenu des champs notes…

Voilà des points que vous devez vérifier et maîtriser.

Les RH

S’il est un service ou une fonction de l’entreprise qui détient des données personnelles et sensibles c’est bien la RH.

Des règles très poussées s’appliquent aux informations sur vos salariés, stagiaires, candidats. La question de la pertinence des données collectées intervient de nouveau.

Dans le cadre des traitements RH et plus particulièrement lors de la phase de recrutement, l’employeur devra prendre soin de ne collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement conformément au principe de minimisation des données tel que défini à l’article 5 du RGPD.

A titre d’exemple, la collecte de données concernant l’entourage familial d’un candidat (nom et prénom des enfants ou des parents, etc.) sur un formulaire de candidature apparaît superflue en ce qu’elle ne permet ni d’évaluer les compétences professionnelles d’un candidat ni d’apprécier sa capacité à occuper l’emploi proposé.

De même, il est interdit de collecter des données « sensibles » telles que définies par l’article 9 du RGPD sauf dérogations particulières. Le traitement des données à caractère personnel qui révèle

• L’origine raciale ou ethnique
• Les opinions politiques
• Les convictions religieuses ou philosophiques
• L’appartenance syndicale
• Le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique
• Le traitement des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique

sont interdits.

Reprenons  l’exemple de la candidature à une offre d’emploi. Vous devez purger régulièrement les CV et lettres de motivation des candidats non retenus.  Vous ne pouvez plus les conserver plus de deux ans à compter du dernier contact avec le candidat. Cette dernière précision induit l’obligation de disposer d’un chrono précis des échanges.

Voici l’exemple d’une démarche exemplaire : 

L’informatique

Beaucoup considèrent que le RGPD n’impacte que l’informatique.

C’est faux car le règlement s’applique également aux données papiers. Nous avons vu précédemment au travers de quelques points, que d’autres fonctions de l’entreprise sont très largement impactées par le RGPD.

Cependant, dans une entreprise de 2018, que faire sans le service informatique ?

Un conseil :  protéger les données personnelles par des clés de hachages. On parle de pseudonymisation afin de garantir un haut niveau de sécurité. Cela incombe donc à l’informatique.

Tout système d’information, base de données ou autre méthode de collecte de données doit prendre en compte la notion du respect de la vie privée dès sa conception. Il s’agit de la protection dès la conception et par défaut.

Là encore difficile de se passer du service informatique.

La mise en place du RGPD oblige de fait à définir la provenance des données, leur lieu de stockage, qui a le droit d’y accéder et à quelles informations. En outre, en cas de demande de droit à l’oubli il faut supprimer toutes tes données de la personne.

Et je pourrais continuer ainsi car finalement le service informatique doit avoir une action transversale dans le cadre du RGPD.

Autre obligation et non des moindres, il lui appartient de notifier toute intrusion à l’autorité de contrôle dans un délai maximal de 72h. Il s’agit de la notification de violation de données personnelles. Le piratage doit être d’une gravité suffisamment importante pour faire l’objet d’une notification.

En résumé, information, organisation et protections informatique des données constituent autant de tâches à gérer en association avec le service informatique.

Conclusion

A moins de deux mois de l’entrée en vigueur du RGPD les experts estiment que la conformité ne concernera que 30% des entreprises françaises . Au vu de l’impact organisationnel engendré, s’attaquer à ce chantier et y affecter les ressources humaines et financières nécessaires devient une priorité. Le RGPD concerne 100% des entreprises et une bonne partie, voir la totalité, de leur personnel.