Le futur règlement général sur la protection des données a fait couler beaucoup d’encre, même si tout n’est pas exact. John Paterson, PDG de Really Simple Systems CRM, examine les faits et donne des conseils pratiques aux propriétaires de petites entreprises, aux utilisateurs de CRM et aux administrateurs :
Le règlement général sur la protection des données (RPD) doit entrer en vigueur le 25 mai 2018. Il est conçu pour protéger la vie privée des citoyens européens, garantir que leurs données personnelles ne sont pas exportées en dehors de l’UE et leur donner le contrôle de l’utilisation de ces données.
Bien que le droit au respect de la vie privée dans le cadre de la surveillance gouvernementale ait déjà été inclus dans la législation, l’avènement d’Internet a permis aux grandes entreprises de mener, en fait, une surveillance de masse. GDPR exporte effectivement la notion européenne du droit à la vie privée à toute entreprise qui collecte des données personnelles sur les citoyens de la CE, en l’assortissant de sanctions sévères en cas de non-respect.
Ce que GDPR implique pour les propriétaires de petites entreprises
Consentement
À partir du 25 mai 2018, les organisations, quel que soit le pays où elles sont basées, devront obtenir le consentement explicite de tout citoyen de l’UE avant de pouvoir leur envoyer des e-mails ou des SMS publicitaires. Cela signifie qu’il n’y aura plus de case d’acceptation pré-collée, mais une case non cochée qui informera de ce qui se passera si vous la cochez. Vous pouvez également demander un double consentement en envoyant un courriel de confirmation dans lequel la personne clique sur un lien pour donner son consentement.
Vous devez également pouvoir indiquer comment et quand le consentement a été donné afin de fournir une preuve si l’organisme de réglementation (au Royaume-Uni, il s’agit du bureau du commissaire à l’information) reçoit une plainte.
Violations de données
En vertu du règlement, vous ne disposez que de 72 heures pour signaler à l’autorité de contrôle toute violation de données. Vous devez ensuite informer les personnes concernées de la violation « sans délai indu », le délai dépendant du risque probable de préjudice pour cette personne.
Amendes et sanctions
L’amende maximale pour une infraction a été fixée à 20 millions d’euros ou jusqu’à 4 % des recettes mondiales, le montant le plus élevé étant retenu. Dans la pratique, l’organisme de régulation n’est pas susceptible de faire quoi que ce soit si une seule personne se plaint, à part peut-être envoyer une lettre d’avertissement. Les sanctions sont prévues pour les entreprises qui abusent de manière flagrante et répétée du GDPR.
Droit à l’effacement
Les particuliers peuvent demander que les données que vous détenez sur eux soient effacées. Il existe quelques exceptions à cette règle, mais dans la pratique, la plupart des entreprises doivent s’y conformer. Vous devez vous y conformer sans délai, et certainement dans un délai d’un mois.
Portabilité des données
Les particuliers peuvent demander une copie des données que vous détenez sur eux. Cela s’applique aux données qu’ils vous ont fournies et comprendrait également les courriers électroniques stockés par eux, ainsi que leur historique d’achat et de paiement.
Protection des données
Si vous détenez des données à caractère personnel, vous avez un devoir de vigilance quant à la sauvegarde de ces données. Cela implique de limiter l’accès aux seules personnes qui en ont besoin pour faire leur travail et de veiller à ce que les données soient conservées en toute sécurité.
Conformité américaine et européenne
L’un des principaux domaines d’intérêt pour les entreprises sera de savoir si les organisations américaines cherchent à se mettre en conformité avec la GDPR. Comme il n’existe actuellement pratiquement aucune loi sur la protection des données, les États-Unis adoptent un point de vue très différent de celui de l’UE. Il semble probable que si une entreprise américaine utilise des centres de données basés en Europe, cela suffira pour se conformer, bien que les tribunaux américains cherchent actuellement à forcer les entreprises américaines à remettre les données stockées localement.
Marketing B2B
GDPR ne fait aucune distinction entre les communications B2B et B2C. Autre texte législatif, le nouveau règlement sur la vie privée en ligne remplacera l’actuelle directive sur la vie privée en ligne et est conçu pour apporter de la clarté aux communications électroniques, c’est-à-dire aux courriels et aux SMS. Comme le GDPR est un règlement et non une directive, il deviendra automatiquement une loi dans toute la CE le 25 mai 2018. Toutefois, chaque État membre devra promulguer la législation permettant la protection de la vie privée en ligne. Cela donne à chaque pays une certaine latitude quant à la formulation exacte et pourrait établir une distinction entre le B2B et le B2C.
Notre liste de contrôle du GDPR
- Nommer un responsable du traitement des données qui devrait rapidement se familiariser avec la législation
- Faites une liste de tous vos systèmes qui contiennent des données à caractère personnel, par exemple votre système de gestion de la relation client, de comptabilité, de ressources humaines, les bases de données de contacts dans les clients de messagerie électronique comme Outlook et les feuilles de calcul
- Faites une liste de tous vos processeurs de données, ces systèmes externes que vous utilisez et qui contiennent des données personnelles. Assurez-vous qu’ils ne détiennent des données que dans la CE et qu’ils sont, ou seront, conformes au GDPR. Si vous travaillez dans un secteur réglementé, obtenez un certificat ou un contrat garantissant la conformité
- Commencez dès maintenant à saisir les consentements des nouvelles enquêtes
- Déterminez comment vous allez obtenir les consentements des contacts de votre base de données existante d’ici au 25 mai 2018
- Rédiger une procédure de gestion des notifications d’infraction, tant pour l’organisme de régulation que pour les contacts eux-mêmes. Si une infraction se produit, vous n’aurez pas le temps de réfléchir à la meilleure façon de procéder ; faites-le donc prévoir à l’avance
- Revoir et mettre à jour les avis de confidentialité et les conditions générales de votre site web
