RGPD : quel impact sur nos usages en entreprise et pour nos clients ?

RGPD, quel bilan ?
Photo by Fernando Arcos on Pexels.com

Le RGPD a maintenant trois ans… Trois ans que le Règlement Général sur la Protection des Données garantit la protection des données personnelles. Une mise en conformité qui s’est faite parfois dans la douleur pour certaines entreprises, ou qui n’a pas encore trouvé sa pleine légitimité pour d’autres. Quoique certain.e.s en disent, le RGPD a su montrer la preuve de son bien-fondé et constitue une opportunité économique pour les entreprises. Explications.

Les données sont omniprésentes et désormais au cœur de la chaîne de création de valeur des entreprises. Bien gérées et sécurisées, elles permettent de :

  • gagner en efficacité et en compétitivité,
  • personnaliser et de conforter la relation avec les clients,
  • conquérir de nouveaux marchés, d’améliorer les produits et services
  • faciliter la collaboration et la mobilité. 

Pourquoi le RGPD est-il nécessaire ?

Plus qu’une évolution du cadre juridique français entourant la protection des données (Loi française « Informatique et Libertés » de 1978), le RGPD a permis d’harmoniser les règles en Europe. Il offre ainsi un cadre juridique unique aux professionnels au niveau européen.

Par ailleurs, sa mise en place il y a trois ans, s’est faite dans un contexte “d’urgence”, tant certaines dérives étaient constatées. Comment oublier le scandale Cambridge Analytica notamment ? Le détournement, l’analyse et la réutilisation usurpatoire de données personnelles à des fins électorales sur Facebook, ont prouvé l’utilité d’un tel règlement afin de protéger les données personnelles des utilisateur.trice.s.

Depuis 2018, le changement est significatif et visible par les internautes, qui voient les cookies bots se multiplier. En effet, la nouvelle gestion imposée par le RGPD permet aux utilisateurs de consentir au déclenchement des cookies lorsqu’ils entrent sur un site.

Le RGPD consolide ainsi les droits des personnes, via des mesures comme le droit à l’oubli ou la portabilité des données à caractère personnel. Il permet également aux acteurs en charge du traitement des données personnelles de se responsabiliser et d’améliorer la régulation des données, notamment sur la scène internationale.

RGPD : quel bilan ?

Le RGPD a prouvé son utilité. Mais a-t-il prouvé son efficacité ?

Du côté utilisateur.trice, son application reste perfectible. En cause : les cookies, ces fichiers texte stockés localement sur votre ordinateur lors de vos visites de pages Web. Ceux-ci se révèlent essentiels à l’utilisation d’Internet et contribuent à améliorer la sécurité de vos titres de compétence.

Dans la plupart des cas, il s’agit de cookies de session, c’est-à-dire d’éléments appelés à être supprimés dans un certain laps de temps. Mais ils peuvent malheureusement aussi être persistants et demeurer actifs au-delà de la fermeture de Safari, Mozilla, Chrome ou Microsoft Edge…

De plus, on constate que l’usage du RGPD est mécanique. Que celui ou celle qui a déjà lu attentivement les conditions d’utilisation stipulées par le RGPD, lève la main ! Nous l’avons tous fait… cliquer sur le bouton “accepter” afin de pouvoir accéder plus rapidement au site car la fenêtre envahit toute la home page, au risque malheureusement d’exposer ses données personnelles.

Ainsi, les « tracking cookies » ou cookies de suivi, sont devenus un réel casse-tête pour ceux.celles qui apprécient leur vie privée en ligne. Que doit-on accepter ? Que risquons-nous ? De quoi, minimiser les effets du RGPD.

Du côté entreprise, l’application du RGPD peut s’avérer complexe également.

En effet, comment trouver le juste équilibre entre l’expérience utilisateur.trice, l’optimisation du site internet vitrine de sa société et la sécurité des données ? L’enjeu principal pour les entreprises est d’éviter de perdre des clients potentiels, qui pourraient être lassés d’accepter les conditions d’utilisation.

Pour contourner ce manque de fluidité constaté sur certaines plateformes très sécurisées, certains continents misent sur la reconnaissance faciale.

Alors que les Américains et les Chinois l’envisagent très sérieusement, les Européens demeurent assez réticents face à cette idée, pour des raisons évidentes de sécurité et de cadre juridique.

Au regard de ce contexte, nous risquons de voir un usage d’Internet à deux vitesses. D’un côté l’essor de nouvelles pratiques pour le rendre plus fluide en contournant le cadre juridique; de l’autre, un usage un peu plus poussif des plateformes européennes…

Les bonnes pratiques RGPD adoptées chez 4SH

Voici les 4 actions principales menées chez 4SH pour mettre l’entreprise en conformité aux règles de protection des données. Ces actions doivent évidemment perdurer dans le temps pour être efficaces.

Action #1 : Nous avons recensé nos fichiers

Le registre listant nos traitements de données nous permet d’avoir une vision d’ensemble. Nous avons identifié les activités principales de notre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paie, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.). 

Dans notre registre, nous avons créé une fiche pour chaque activité recensée, en précisant : 

  • l’objectif poursuivi (la finalité – exemple : la fidélisation client) ; 
  • les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ; 
  • qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ; 
  • la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive). 

Le registre a été placé sous la responsabilité du dirigeant de l’entreprise et du DPO. 

Action #2 : Nous avons fait le tri dans nos données 

Pour chaque fiche de registre créée, nous avons vérifié que : 

  • les données que nous traitions étaient nécessaires à nos activités ; 
  • nous ne traitions aucune donnée dite « sensible ». Si c’était le cas, nous vérifiions que nous avions le droit de les traiter 
  • seules les personnes habilitées ont accès aux données dont elles ont besoin ; 
  • nous ne conservons pas nos données au-delà de ce qui est nécessaire. 

Action #3 : Nous respectons le droit des personnes

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont nous traitons les données (clients, collaborateurs, etc.).

À chaque fois que nous collectons des données personnelles, le support utilisé (formulaire, questionnaire, etc.) comporte des mentions d’information. Nous nous assurons que l’information comporte notamment les éléments suivants : 

  • pourquoi nous collectons les données (« la finalité » ; par exemple pour initier une relation commerciale) ; 
  • ce qui nous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à nous, de notre « intérêt légitime ») ; 
  • qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ; 
  • combien de temps nous les conservons 
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ; 
  • si nous transférons des données hors de l’Union européenne (préciser le pays et l’encadrement juridique qui maintient le niveau de protection des données). 

Pour éviter des mentions trop longues au niveau de notre formulaire en ligne, nous avons, par exemple, donné un premier niveau d’information en fin de formulaire et renvoyé à notre Notice d’information RGPD sur notre site internet. Nous avons ainsi répondu à l’obligation de transparence.

A titre informatif, des exemples de mentions sont disponibles sur le site internet de la CNIL.

Permettre aux personnes d’exercer facilement leurs droits

Les personnes dont nous traitons les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Nous sommes dans l’obligation de leur donner les moyens d’exercer effectivement leurs droits. 

Action #4 : Nous sécurisons les données de nos clients

Bien sûr le risque zéro n’existe pas en informatique. A ce titre, nous avons décidé chez 4SH de prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Nous sommes en effet tenus d’assurer la sécurité des données personnelles que nous détenons.

Garantir l’intégrité de notre patrimoine de données nécessite de minimiser les risques de pertes de données ou de piratage. Les mesures que nous avons prises, informatiques ou physiques, dépendent de la sensibilité des données que nous traitons et des risques qui pèsent sur les personnes en cas d’incident. Différentes actions ont été mises en place : mises à jour de nos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de nos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Cet article a été publié dans 4SH Data.

Emilie Sébert
Directrice marketing & commerciale
%d blogueurs aiment cette page :