RGPD : Se préparer en 6 étapes

RGPD : Se préparer en 6 étapes

Le 25 mai prochain, le Règlement général sur la protection des données personnelles, le RGPD si souvent mentionné ces derniers temps, entre officiellement en vigueur. Il doit être considéré comme une continuité de la réglementation en vigueur. Son objectif est d’harmoniser la réglementation européenne, de renforcer l’accès des citoyens à leurs données personnelles tout en renforçant le cadre réglementaire de l’utilisation de ces données par les entreprises, encore plus responsabilisées.

Les données de santé sont particulièrement concernées par le nouveau cadre juridique introduit par le RGPD, qui leur donne une nouvelle définition : « des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Pour exemple, elles correspondent à :

  • Des informations collectées lors de l’inscription de personnes en vue de recevoir des soins de santé,
  • Des informations obtenues suite à un examen médical spécifique,
  • Des informations relatives aux antécédents médicaux ou à un handicap/maladie actuelle

Découvrez les 6 grands principes de cette nouvelle réglementation européenne :

1 – De nouvelles responsabilités des acteurs : la coresponsabilité

  • Le RGPD introduit la coresponsabilité du responsable de traitement des données (l’entreprise cliente) et de ses sous-traitants, qui doivent se soumettre aux obligations de transparence et traçabilité, garantir la sécurité des données et en assurer la protection dès leur prise en charge.
  • Chacun des acteurs a donc une obligation de conseil, pour s’assurer que toute la chaîne de responsabilité est impliquée dans le respect de cette nouvelle loi. (Envoyez un mail à vos fournisseurs, confirmez le respect de la loi RGPD dans vos contrats avec vos clients, modifiez vos CGV, assurez-vous de la qualité des fichiers transmis…)

2 – La tenue d’un registre de traitements

Il concerne toutes les entreprises réalisant du traitement de données (données clients, prospects, fournisseurs…) donc les sous-traitants également. C’est de cette façon que vous pourrez prouver que vous prenez les mesures internes nécessaires pour optimiser la protection des données en votre possession.

Exemples de fiches de traitement :

  • Sur vos données d’entreprise (RH)
  • Sur chacune de vos actions commerciales ou marketing (prospection, community management…)
  • Sur chaque client
  • Sur chaque prestataire

Trouvez un exemple de registre sur le site de la CNIL :
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

3 – Consentement de l’individu

Obtenir le consentement des individus avant de leur communiquer des éléments n’est pas une nouveauté, mais le RGPD vient renforcer la réglementation :

  • Les individus doivent pouvoir systématiquement donner leur consentement, préalable à la collecte de données
  • Ils doivent pouvoir le retirer facilement
  • Ils doivent pouvoir accéder aux informations communiquées (droit d’accès, de rectification, d’effacement) et les faire transmettre (droit à la portabilité des données)

Les responsables de traitement doivent donc développer des procédures adaptées, pour que la demande de consentement soit distincte, aisément compréhensible et accessible.

Cas concrets :

  • Pour un envoi d’email, l’opt-in (c’est à dire le consentement via une case à cocher, décochée par défaut) est donc la seule méthode valide pour obtenir le consentement, accompagnée d’une phrase claire spécifiant l’utilisation des données récoltées : « Vous acceptez que [nom de votre organisation] collecte et utilise les données personnelles que vous venez de renseigner dans ce formulaire dans le but de vous envoyer des offres marketing personnalisées que vous avez acceptées de recevoir, en accord avec notre politique de protection des données ».
  • Prohibez l’opt-in passif (case pré-cochée).
  • Sur les formulaires d’inscription aux newsletters, ne demandez pas d’informations personnelles non-nécessaires au service pour lequel ils s’inscrivent (données postales).
  • Pour les créations de compte, vous devez désormais vous assurer d’avoir une autorisation spécifique pour chaque liste (case « je souhaite recevoir la newsletter », autre case pour « je souhaite recevoir des promotions » et pour « Je souhaite recevoir des emails ciblés en fonction de mes intérêts »).

4 – Désignation d’un DPD

Il est recommandé quelle que soit la taille de l’entreprise de désigner un « Délégué à la Protection des Données », pour garantir la conformité de l’entreprise à cette nouvelle réglementation. Il a un rôle de conseil, de contrôle et d’intermédiaire avec la CNIL. La personne choisie pourra être désignée sur le site de la CNIL :
(https://www.cnil.fr/fr/designez-en-ligne-votre-delegue-la-protection-des-donnees-aupres-de-la-cnil)

5 – Cookies

La réglementation sur les cookies se durcit : l’internaute doit obligatoirement être informé, par un bandeau, des finalités des cookies, de la possibilité de s’y opposer et surtout que la poursuite de la navigation (en affichant une 2nde page, en scrollant ou en cliquant sur un élément) vaut accord au dépôt de cookie sur le terminal. De plus, chaque site doit disposer d’une solution qui décrit la finalité de chaque famille de cookies et permet ainsi de s’y opposer, en cochant ou décochant une option.

6 – Stockage des données personnelles

La durée de conservation des données ne doit pas dépasser 3 ans si les personnes sont passives, c’est-à-dire qu’elles ne réagissent plus à toutes vos prises de contact (pas d’ouverture de vos mails, pas de clics…). Privilégiez des solutions de mailing avec tracking des clients actifs.
De plus, pour échanger des fichiers, la recommandation est d’utiliser des solutions en Cloud et des prestataires sécurisés à des outils de transfert de fichiers dont vous ne connaîtriez pas les modalités de stockage. Surtout, le RGPD encourage cette conservation en Europe et en France.

En cas de non-respect du RGPD, l’entreprise s’exposera à diverses sanctions :

  • En cas de manquement mineur (comme l’absence de tenue d’un registre des traitements), la sanction peut aller jusqu’à 2% du chiffre d’affaires de l’entreprise ou jusqu’à 10 millions d’euros,
  • En cas de faute grave (défaut de consentement de la personne concernée par le traitement des données personnelles d’une entreprise, refus de coopérer avec la CNIL après des injonctions) la sanction est doublée.
  • Sachez que le pouvoir de contrôle de la CNIL est très renforcé dans le cadre du RGPD.

Le monde de la santé est déjà très réglementé. De fait, le RGPD doit être considéré comme une continuité de la réglementation en vigueur et non comme une révolution.
De plus, c’est un vrai outil d’expérience client et un vrai enjeu commercial pour les entreprises car le RGPD va vous permettre de placer l’individu au centre de votre réflexion.