GDPR : Reprenez la main sur vos données !

Aujourd'hui, le nouveau Règlement général pour la protection des données est sur toutes les lèvres. Et pour cause, de la multinationale à la TPE, tout le monde est concerné. Si le GDPR a de quoi effrayer, c’est aussi une occasion unique de revoir votre approche en matière de gestion des données…

Adopté par le Parlement européen le 14 avril 2016, le GDPR est sur le devant de la scène depuis près de deux ans. Son objectif ? Renforcer et harmoniser la législation en matière de protection des données personnelles au sein de l’Union européenne. Et si tout le monde en parle, c’est parce que toutes les entreprises sont concernées. Vous aussi ? Oui ! Évidemment, les grands groupes, les organismes publics ou encore les sociétés spécialisées dans la « data » sont aux avant-postes de la réforme, mais les PME devront également s’y conformer, à partir du moment où elles sont amenées à collecter et traiter les données de leurs clients, fournisseurs ou employés.

Such a big deal ?

Si l’on en fait tout un fromage (on ne compte plus les conférences et évènements sur le sujet), c’est que le GDPR impose une série de mesures en matière de collecte, de stockage, de traitement et de sécurité des données à caractère personnelle, dont voici quelques exemples : 

• La « minimisation des données » : vous ne pourrez plus « ratisser large » lors du recueil et de l’exploitation des données. Autrement dit, votre démarche doit être supportée par une finalité justifiée et clairement définie…
• Les principes de transparence et de sécurité sont aussi au cœur du GDPR. Vous devez donc, à la fois, pouvoir expliquer ce que vous faites (et pourquoi) des données récoltées, mais aussi veiller à la fiabilité de votre système informatique pour éviter toute fuite dont vous pourriez être tenu responsible.
• Le GDPR prévoit six fondements possibles sur lesquels vous pouvez justifier le traitement des données de vos clients. Parmi ceux-ci : le « consentement ». Si vous y aviez déjà recours (sur votre site Internet, par exemple), sachez que le nouveau règlement serre un peu la vis en la matière, puisque ce consentement doit, entre autres, être donné de forme univoque, en connaissance de cause et de forme explicite par les personnes visées.
• Le « droit à la portabilité » : si chaque citoyen européen avait déjà le droit d’exiger la suppression ou la rectification de ses données à caractère personnel, il peut désormais demander le transfert de certaines de ses données. Vous devez donc être en mesure de lui fournir un fichier informatique (dans un format « ouvert » communément utilisé, tel que CSV, etc.) reprenant toutes ses informations.
• Sans oublier (dans certains cas), l’obligation de désigner un data protection officer (DPO), de tenir un registre des données ou de réaliser, dans certains cas, une analyse d’impact.

Jamais trop tard pour agir !

Vous n’êtes pas encore prêt pour le GDPR ? Comme le dit l’adage « mieux vaut tard que jamais », alors lancez-vous. « Par où commencer ? », voilà toute la question.
La Fédération des entreprises de Belgique mentionne 7 recommandations incontournables (http://www.vbo-feb.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_fr_web-pdf.pdf)

1. Je fais un inventaire de tous les traitements et des données traitées ainsi que de leurs objectifs
2. Je traite les données enregistrées de manière loyale et transparente
3. J’enregistre uniquement les données nécessaires et ne les conserve pas au-delà de la période utile
4. Je prends les mesures adéquates de protection des traitements et des données
5. J’informe clairement les personnes concernées par les données
6. Je mets en place une politique de protection des données et de la vie privée en interne
7. Je désigne une personne responsable de la protection des données et de la vie privée

Mais cela reste « la théorie »… Pour la pratique, n’hésitez pas à demander conseil à un juriste (pour les aspects « respect de la réglementation ») ou à un expert (par exemple, pour le volet informatique). Des outils sont aussi à votre disposition, notamment pour réaliser un diagnostic précis de votre situation. Des applications payantes voient également le jour pour vous accompagner dans vos démarches, mais vu l’offre pléthorique, n’hésitez pas d’abord à faire appel aux conseils d’un spécialiste (consultant, avocat, etc.).

La carotte, plutôt que le bâton

La « nouveauté » du GDPR, ce sont aussi les sanctions « salées » en cas de non-respect : jusqu’à 4 % du chiffre d’affaires annuel. Mais plutôt que de craindre le « bâton », vous avez intérêt à regarder la « carotte » devant vous. En effet, comme tout changement, le GDPR est également créateur d’opportunités. À commencer par celle de (re)prendre la main sur vos données et de mettre en place une véritable gouvernance en matière de « data ». Autrement dit : réfléchir et établir un plan d’action sur la façon dont vous collectez et exploitez vos données, mais aussi sur les objectifs de votre démarche ou encore sur votre stratégie marketing (e-mailing, newsletters, etc.). Une belle opportunité d’améliorer la qualité de vos données et d’en accroître leur valeur. Le 25 mai prochain n’est donc pas uniquement une date butoir, mais bien le point de départ d’une nouvelle façon d’appréhender les données au sein de votre PME…

« Rien n’est permanent, sauf le changement » — Héraclite d’Éphèse