RGPD: comment traiter les données personnelles en B2B?
Publié le 1 février 2018
Le 25 mai 2018 entrera en vigueur le RGPD, nouvelle réglementation européenne encadrant le traitement des données à caractère personnel. À moins de 6 mois de l’échéance, il est temps de se pencher sur les contraintes qui s’imposeront prochainement à toutes les structures. Décryptage des obligations et changements structurants à prévoir pour les entreprises B2B.
Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données, ou RGPD, désigne une réglementation prise à l’échelle européenne et applicable à toutes les entreprises opérant dans l’UE à compter du 25 mai 2018. Objectifs : harmoniser les législations européennes en la matière et renforcer la confiance des individus dans la gestion de leurs données à caractère personnel. Le tout, en encadrant l’utilisation des données clients par les sociétés basées physiquement, ou non, sur le territoire. Un enjeu stratégique important pour les entreprises, puisque d’importantes sanctions financières sont prévues en cas de manquement (jusqu’à 4 % du chiffre d’affaires mondial d’une société).
Cette nouvelle législation passe par le renforcement des obligations professionnelles en matière de traitement des données personnelles. Contrairement à la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le RGPD n’impose pas de déclaration préalable systématique. Les entreprises doivent être en mesure de prouver à tout moment qu’elles respectent les règles de protection des données, notamment par la tenue d’un registre recensant leurs traitements automatisés.
Sont considérées comme personnelles par le RGPD toutes les données qui concernent une personne physique identifiée ou identifiable : identité, mais aussi adresse e-mail d’un contact, coordonnées, adresse IP… Toutes les entreprises gérant de la donnée à caractère personnel et disposant notamment de bases de données clients sont donc concernées et doivent entrer dès à présent dans une phase de transition.
Privacy by design/by default : réfléchir en amont à la protection des données à caractère personnel
Sous les notions de « Privacy by design » ou « Privacy by default » se cache la nécessité de considérer la protection des données dès la conception d’un projet. Ce dispositif implique également que seules les données nécessaires pour atteindre les objectifs de l’entreprise – clairement communiqués – doivent être collectées et traitées.
La conception de nouveaux systèmes d’information (SI) va donc devoir être modifiée pour entrer en compliance avec le RGPD, et certains SI existants devront être intégralement repensés.
Désignation d’un DPO
Pour favoriser l’application des mesures au sein de l’entreprise, le RGPD a créé la fonction de délégué à la protection des données ou Data protection officer (DPO). Un DPO doit obligatoirement être désigné dans :
● les organismes du secteur public ;
● les entreprises effectuant un suivi personnel de manière systématique, régulière et à grande échelle ;
● les entreprises exploitant des données jugées sensibles.
Les entreprises a priori non visées par l’obligation ont également tout intérêt à nommer un DPO dans leur organisation, pour montrer qu’elles ont pris la mesure des enjeux liés à la protection des données.
Sur le même sujet : Et si le RGPD était une opportunité pour les marketeurs ?
Désigné sur la base de connaissances en droit et protection des données personnelles, le DPO endosse le rôle de chef d’orchestre de la gouvernance des données au sein de l’entreprise. Il a pour missions :
● d’informer et de conseiller le responsable du traitement des données personnelles, les employés qui procèdent au traitement ou le sous-traitant en charge sur leurs obligations réglementaires ;
● de dispenser des conseils sur l'analyse d'impact relative à la protection des données ;
● d’être le contact référent pour l’autorité de contrôle chargée d’inspecter les entreprises.
Notification des failles de sécurité et d'atteinte à la sécurité informatique
Outre la désignation d’un DPO, le RGPD prévoit une obligation de notification en cas de violation de données. Une mesure qui incombe non seulement au responsable du traitement des données, chargé de communiquer ces informations à l’autorité de protection des données dans les meilleurs délais (au plus tard dans les 72 heures, si possible), mais également au sous-traitant qui a l'obligation de notifier cette faille au responsable de traitement.
L’analyse d’impact sur la vie privée
Pour tout nouveau projet impliquant un traitement des données à caractère personnel susceptible d'exposer ls personnes à un risque élevé au regard de leurs droits et libertés, le responsable de traitement doit préalablement déterminer si celui-ci impactera la vie privée des personnes concernées. Le cas échéant, ils doivent prouver que le projet est conforme au principe de « Privacy by design ». On notera ici que c’est au responsable de traitement de réaliser ce travail préalable, avec le concours du DPO et du sous-traitant.
Droit à la portabilité des données personnelles
Le RGPD stipule également que les données traitées par une entreprise peuvent être récupérées à la demande des personnes concernées. Puis elles peuvent, le cas échéant, être transmises à un tiers.
Pour répondre à d’éventuelles demandes d’accès aux données, les entreprises doivent donc prévoir la restitution de l’ensemble des informations recueillies sur un individu sous un format numérique facilement exploitable. Ces sociétés, qui peuvent être par exemple des pharmacies, banques ou assurances, sont dès lors tenues de transmettre à la personne ou à un autre responsable de traitement la totalité du dossier en format non crypté.
Obligation d’informer le client sur la finalité du recueil de ses données
Cette mesure établie avec la loi « Informatique et liberté » de 1978 a été explicitée et renforcée dans le RGPD. En cas de collecte de données à caractère personnel, il est rappelé que le consentement du client doit être libre, spécifique, informé et sensibilisé. Ce consentement vaut pour une finalité définie et ne peut être attribué pour un ensemble d’applications, si proches soient elles.
À lire également : RGPD : quand le « consentement » chamboule le marketing
Pour sécuriser le fonctionnement des entreprises, les procédures de collecte et de traitement des données personnelles vont donc devoir être régularisées, ce qui représente un investissement lourd pour les directions marketing notamment.
Avec le RGPD, le client redevient maître de ses données et de l’utilisation qui peut en être faite par des tiers. Pour être en conformité avec ces contraintes, les entreprises B2B comme B2C vont donc devoir passer en revue leurs process pour s’assurer qu’elles respectent les obligations en matière de traitement des données à caractère personnel, de consentement et de restitution de informations collectées.
Source image à la Une : Flickr Creative Commons – Franck Buschman
