Wiklog - Le sur-mesure informatique accessible à tous

RGPD au-delà du règlement une opportunité

Rédigé par Stéphane Hervy le 4 juin 2018

En tant que consommateur, le RGPD se manifeste surtout depuis sa mise en place le 25 mai dernier par la réception de mail indiquant une mise à jour de leur conditions générales de ventes et autres chartes de respect de la vie privée. Ce n’est là que la partie émergée de l’iceberg, et ces sociétés, « marchandes » pour la plupart, se mettent simplement en règle vis-à-vis de ce nouveau règlement européen.

Pour autant, toutes structures connues des services de l’état se doit de se conformer à ce règlement. Ainsi, les associations, les entreprises, les sociétés, les collectivités territoriales, etc. ont pour obligation d’être en conformité du RGPD, seuls les particuliers, et dans le cadre d’un usage privé, n’y sont pas soumis

Maintenant que le décor est posé, voyons ce qu’il y a dans la partie immergée de cet iceberg et ce qui vous concerne en tant que professionnel.

Alors oui, disons-le tout de suite qui dit nouveau règlement, dit nouvelles sanctions et certains ne se privent pas de le brandir comme argument purement commercial. Je préfère au contraire voir le verre à moitié plein et brandir le RGPD comme une réelle opportunité pour les professionnels.

Que faire des données en ma possession ?

Donc dans cet article, je ne jouerai pas la carte de la « peur du gendarme » puisque pour la très grande majorité des professionnels concernés, la mise en place du RGPD se révèle en réalité assez simple et nécessite juste quelques nouvelles habitudes dans la relation avec un client (au sens consommateur).

Mais avant cela, un petit rappel sur ce qu’est une donnée à caractère personnel ; c'est toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement. (1)

Ainsi, dès que vous possédez une information de ce type vous devez vous conformer au RGPD. Vous allez me dire : « mais c’est la base du commerce que d’avoir des fichiers clients et d’avoir des informations sur eux pour les servir au mieux ». Et vous avez raison ! Le RGPD ne vous l’interdit pas, il vous oblige simplement à informer personnellement chacun de vos clients que vous avez ces informations, de lui expliquer pourquoi vous les avez et quelles en sont la finalité.

Et c’est là que l’opportunité arrive, faire un peu de ménage dans son fichier client pour qu’il soit de meilleure qualité et se poser la question de savoir si toutes les informations que j’ai sur lui me servent vraiment. En effet, à quoi bon avoir de l’information si vous n’en faites rien et à quoi bon avoir un fichier client si les informations ne sont plus à jour.

Et maintenant, on ne peut plus rien faire ?

Ça c’était pour les données déjà en votre possession, voyons maintenant, comment collecter de nouvelles données clients. Là encore, vous allez voir qu’il n’y a rien de bien compliqué, juste quelques nouvelles habitudes à prendre :

  • Premièrement, fini les formulaires à rallonge, fini de collecter des informations inutiles ;
  • Deuxièmement, on explique pourquoi on collecte ces informations, quelles en sont les finalités ;
  • Troisièmement, on recueille le consentement éclairé du client.

Pour le premier point cela relève au final du bon sens, à quoi bon collecter pour collecter, si ce n’est donner une mauvaise impression à votre client ? L’exemple classique est celui des applications mobiles gratuites qui vous demande des autorisations parfois abusives, à quoi bon autoriser l’accès à vos contacts pour une application lampe torche ? Pour autant, en professionnel que vous êtes, vous pourriez parfaitement me dire « il s’agit de son modèle économique pour prospecter de nouveaux clients et se faire un peu de publicité » et vous auriez parfaitement raison et c’est ce à quoi servent les deuxième et troisième point ; informer de la finalité et recueillir le consentement.

Registre des traitements, DPO, DPIA

Le registre des traitements est la vraie nouveauté induite, à mon sens, par le RGPD. Si auparavant, vous deviez (normalement) déclarer à la CNIL la constitution d’un fichier clients et obtenir son autorisation pour l’exploiter, aujourd’hui ce n’est plus le cas. En effet, le postulat est inversé. Vous constituez votre fichier client librement, votre seule contrainte est le répertorier dans un registre dans lequel vous devez faire figurer l’ensemble vos traitements et les données utilisées. Ce registre vous sera demander lors d’un éventuel contrôle.

Nommer un DPO (Data Protection Officer : délégué à la protection des données) n’est obligatoire que pour les organismes publics et les sociétés manipulant des données personnelles à grande échelle. Donc, a priori, pas de nécessité pour les commerçants et artisans de nommer un DPO mais il est toujours utile de se renseigner plus précisément.

Le DPIA (Data Protection Impact Assessment : l’analyse d’impact relative à la protection des données) est principalement a mené dans le cas de détention des données à caractères personnels dites sensibles. Pas de réponse systématique, la CNIL fourni des précieuses informations à ce sujet (2).

Et la CNIL dans tout ça ?

La CNIL est l’organisme français garant de l’application de du RGPD en France. Derrière ce rôle de contrôle, elle se veut aussi (dans un premier temps en tout cas) bienveillante et accompagnatrice. Elle fourni ainsi sur son site de très nombreuses ressources pour la mise en place du RGPD dans votre organisme.

Par contre, et c’est bien là le seul point alarmiste de l’article (ou plutôt de mise en garde), la CNIL ne sera surement plus à l’avenir dans la bienveillance. En effet, elle devra rendre des comptes régulièrement auprès de ses homologues du G29 (6 fois par an environ) et la volonté de ce G29 est bien de faire en sorte que le règlement soit appliqué et donc que les sanctions le soient aussi. Attention, l’image de la CNIL sanctionnant rarement est peut-être finie !

Sources :
(1) https://www.cnil.fr/fr/cnil-direct/question/492
(2) https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-dpia