RGPD : Se préparer en 6 étapes
Le 25 mai prochain, le Règlement Général sur la Protection des Données personnelles ( RGPD ) entre officiellement en vigueur. Il doit être considéré comme une continuité de la réglementation établie par l’INPI en France (Institut National de la Propriété Industrielle). L’objectif du RGPD est d’harmoniser la réglementation européenne, de faciliter l’accès des citoyens à leurs données personnelles et de renforcer le cadre réglementaire de l’utilisation de ces données par les entreprises.
Les données de santé sont particulièrement concernées par le nouveau cadre juridique introduit par le RGPD, qui leur donne une nouvelle définition : « des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Pour exemple, elles correspondent à des informations:
Collectées lors de l’inscription de personnes en vue de recevoir des soins de santés
Obtenues suite à un examen médical spécifique
Relatives aux antécédents médicaux ou à un handicap/maladie actuelle
Découvrez les 6 grands principes de cette nouvelle réglementation européenne :
De nouvelles responsabilités des acteurs : la coresponsabilité
Le RGPD introduit la coresponsabilité du responsable de traitement des données (l’entreprise cliente) et de ses sous-traitants. Ils doivent donc se soumettre aux obligations de transparence et traçabilité, garantir la sécurité des données et en assurer la protection dès leur prise en charge.
Chacun des acteurs a donc une obligation de conseil, pour s’assurer que toute la chaîne de responsabilité est impliquée dans le respect de cette nouvelle loi. (Envoyez un mail à vos fournisseurs, confirmez le respect de la loi RGPD dans vos contrats avec vos clients, modifiez vos CGV, assurez-vous de la qualité des fichiers transmis…)
La tenue d'un registre de traitements
Il concerne toutes les entreprises réalisant du traitement de données (données clients, prospects, fournisseurs…) donc les sous-traitants également. C’est de cette façon que vous pourrez prouver que vous prenez les mesures internes nécessaires pour optimiser la protection des données en votre possession. Exemples de fiches de traitement :
Vos données d’entreprise (RH)
Chacune de vos actions commerciales ou marketing (prospection, community management…)
Chaque client
Chaque prestataire
Trouvez un exemple de registre sur le site de la CNIL : CNIL – Cartographier vos traitements de données personnelles
Consentement de l'individu
Obtenir le consentement des individus avant de leur communiquer des éléments n’est pas une nouveauté, mais le RGPD vient renforcer la réglementation :
- Les individus doivent pouvoir systématiquement donner leur consentement, préalable à la collecte de données
- Ils doivent pouvoir le retirer facilement
- Ils doivent pouvoir accéder aux informations communiquées (droit d’accès, de rectification, d’effacement) mais aussi, les faire transmettre (droit à la portabilité des données)
Les responsables de traitement doivent donc développer des procédures adaptées. Afin que la demande de consentement soit distincte, aisément compréhensible et accessible.
Cas concrets : Pour un envoi d’email, l’opt-in (c’est à dire le consentement via une case à cocher, décochée par défaut) est donc la seule méthode valide pour obtenir le consentement, accompagnée d’une phrase claire spécifiant l’utilisation des données récoltées : « Vous acceptez que [nom de votre organisation] collecte et utilise les données personnelles que vous venez de renseigner dans ce formulaire dans le but de vous envoyer des offres marketing personnalisées que vous avez acceptées de recevoir, en accord avec notre politique de protection des données ».
Prohibez l’opt-in passif (case pré-cochée).
Sur les formulaires d’inscription aux newsletters, ne demandez pas d’informations personnelles non-nécessaires au service pour lequel ils s’inscrivent (données postales)
Pour les créations de compte, vous devez désormais vous assurer d’avoir une autorisation spécifique pour chaque liste (case « je souhaite recevoir la newsletter », autre case pour « je souhaite recevoir des promotions » et pour « Je souhaite recevoir des emails ciblés en fonction de mes intérêts »)
Désignation d'un DPD
Il est recommandé quelle que soit la taille de l’entreprise de désigner un « Délégué à la Protection des Données », pour garantir la conformité de l’entreprise à cette nouvelle réglementation. Il a un rôle de conseil, de contrôle et d’intermédiaire avec la CNIL. La personne choisie pourra être désignée sur le site de la CNIL.
Cookies
La réglementation sur les cookies se durcit : l’internaute doit obligatoirement être informé, par un bandeau, des finalités des cookies, de la possibilité de s’y opposer et surtout que la poursuite de la navigation (en affichant une 2nde page, en scrollant ou en cliquant sur un élément) vaut accord au dépôt de cookie sur le terminal. De plus, chaque site doit disposer d’une solution qui décrit la finalité de chaque famille de cookies. Il est donc possible de s’y opposer, en cochant ou décochant une option.
Stockage des données personnelles
La durée de conservation des données ne doit pas dépasser 3 ans si les personnes sont passives. C’est-à-dire qu’elles ne réagissent plus à toutes vos prises de contact (pas d’ouverture de vos mails, pas de clics…). Privilégiez des solutions de mailing avec tracking des clients actifs.
En outre, pour échanger des fichiers, la recommandation est d’utiliser des solutions en Cloud et des prestataires sécurisés à des outils de transfert de fichiers dont vous ne connaîtriez pas les modalités de stockage. Surtout, le RGPD encourage cette conservation en Europe et en France. En cas de non-respect du RGPD, l’entreprise s’exposera à diverses sanctions :
En cas de manquement mineur (comme l’absence de tenue d’un registre des traitements), la sanction peut aller jusqu’à 2% du chiffre d’affaires de l’entreprise ou jusqu’à 10 millions d’euros
S’il y a une faute grave (défaut de consentement de la personne concernée par le traitement des données personnelles d’une entreprise, refus de coopérer avec la CNIL après des injonctions) la sanction est doublée.
Sachez que le pouvoir de contrôle de la CNIL est très renforcé dans le cadre du RGPD.
Le monde de la santé est déjà très réglementé. De fait, le RGPD doit être considéré comme une continuité de la réglementation en vigueur et non comme une révolution. En outre, c’est un vrai outil d’expérience client et un vrai enjeu commercial pour les entreprises. Le RGPD va vous permettre de placer l’individu au centre de votre réflexion.
Article rédigé par Anais Pascal, Chargée de communication digitale
15 mai 2018