RGPD : quels impacts pour l'entreprise

Pourquoi RGPD modifie t'il les process de l'entreprise?

Conseil - formation en ligne - RGPD : Impacts pour l'entreprise

En quoi consiste RGPD? 

Le RGPD, Règlement Général sur la Protection des Données, est un règlement européen qui vise à protéger les données personnelles de toutes les personnes résidant dans l'Union Européenne.Le RGPD est entré en vigueur le 25 mai 2018, remplace une directive de 1995 qui concernait les traitements de données.
Cette réglementation permet enfin de fixer un cadre clair aux principes du "permission marketing" qui vise à mieux respecter les consommateurs, en l'occurence les citoyens résidents sur l'ensemble du territoire de l'UE.
En France le respect du RGPD est assuré par la CNIL qui se charge des contrôles dans les entreprises. La CNIL, la Commission Nationale de l'Informatique et des Libertés n'est donc plus seulement une instance conseillère, elle a le pouvoir de vous sanctionner.

Principes essentiels du RGPD

Le RGPD pose 5 principes essentiels qui ont des impacts sur l’ensemble des processus de relation d’une entreprise. S’agissant de la collecte et de l’exploitation des infos à caractère personnel, ces impacts ne sont pas limités à la seule activité digitale des entreprises (marketing automation, site internet, collecte numérique de données) mais concernent l’ensemble des processus vis à vis des client/prospects/des partenaires/des prestataires/des salariés:● Les données collectées doivent avoir une finalité;● Les personnes doivent donner leur accord éclairé;● Les données ne peuvent être conservées indéfiniment (notion d'effacement);● L’entreprise qui collecte agit en tant que « responsable du traitement »;● L’information des citoyens est renforcée.

Les données collectées doivent avoir une finalité

L’entreprise qui collecte des données ( le responsable du traitement) doit être capable d’expliquer quelles sont les données collectées, l’objectif de cette collecte et sa finalité mais aussi de justifier ou sont hébergées les données collectées.

Pour les entreprises de plus de 250 salariés, un registre de traitement des données précisant l’ensemble de ces éléments est obligatoire. Il est largement conseiller pour les plus petites entreprises car en cas de contrôle il sera de toute manière indispensable de vous justifier sur les infos personnelles collectées..
Ce travail de recensement est l’occasion pour l’entreprise de faire une analyse de l’ensemble de ces process et processus de collecte de données afin d’optimiser sa stratégie marketing et web marketing.

La réglementation accorde d’ailleurs de nouveaux droits aux personnes. Droits :
● A la limitation du traitement des données● A la portabilité;● Au droit au refus de profilage;● Au refus de décisions automatisées.
Les droits existants sont conservés. Droits :
● D’accès;● De rectification des données;● D’opposition au traitement des données● A l’oubli.

Les personnes doivent donner un accord éclairé

La pratique marketing reste majoritairement de collecter la donnée puis de l’exploiter sans l’accord formel du client.
La loi LEN (21 juin 2004) fixait déjà des règles visant à imposer une autorisation explicite de l’internaute, personne physique, pour utiliser son adresse email à des fins de prospection (principe de l’opt-in).

RGPD va plus loin. Une entreprise doit maintenant demander son accord au client pour exploiter ses données.
Ceci passe par la nécessité d’une question dont le réponse est OUI ou NON, le non voulant dire que le consommateur refuse que ses données soient utilisées en dehors du strict usage pour lesquelles elles ont été collectées ( l'exécution du contrat).

En outre le client peut à tout moment changer de décision. Il acceptait et maintenant refuse ou l’inverse.
Il doit donc lui être précisé comment faire pour formuler son changement d’avis.

Les impacts sur les processus de vente et de marketing sont nombreux. A minima vos formulaires et questionnaires sont concernés de même que votre message concernant la collecte de cookies sur un site internet.

Illustration

Les données ne peuvent être conservées indéfiniment

L’entreprise qui collecte doit indiquer quelle est la durée de conservation des données et mettre en place des processus de purges de données.
Ce point est souvent l’occasion d’une remise à plat significative des processus commerciaux et de gestion d’une entreprise.

En particulier, le processus de purge peut poser de nombreuses questions. Comment :
● Fixer une durée « raisonnable » de conservation de données?● Fixer le principe de l'intérêt légitime?● Prendre en compte les éventuelles copies de fichiers qui peuvent être gérées directement par les commerciaux d’une entreprise voire par les équipes marketing, RH ou du contrôle de gestion?● S’assurer que les éventuels sous traitants qui par exemple administrent le CRM respectent les règles de purge fixées dans l’entreprise?● Gérer la purge de dossiers papiers lorsque ceux ci sont indispensables dans le workflow de l’entreprise?● Optimiser les impacts organisationnels?
Ce point amène souvent le chef d’entreprise, au delà de RGPD, à découvrir qu’il a de réels risques opérationnels et que de nombreux collaborateurs ont un accès facile aux données clients, prospects, … de l’entreprise.

L’entreprise qui collecte agit en tant que « responsable du traitement »

Très concrètement cela veut dire que l’entreprise qui utilise les services de sous traitants ou de prestataires pour la gestion des données doit s’assurer qu’ils respectent les processus de collecte, de mise à jour et de purge qui sont fixées par l’entreprise vis à vis de son client.

En outre RGPD fixe comme principe que les données collectées doivent être hébergées dans un des pays de l’Union Européenne puisque seuls ces pays sont tenus au respect de la réglementation sur la protection des données personnelles.

Ceci impose donc de fixer avec chaque partenaire des règles précises et de vous assurer que ces règles sont respectées.
Pour différents services cela peut aussi vous contraindre à changer de partenaire dès lors que celui –ci n’est pas en mesure de vous assurer qu’il héberge les données dans la zone UE (CRM, marketing automation, gestion RH, …).

L’information des citoyens est renforcée

Vos mentions légales et conditions générales de vente doivent indiquer :● Les données collectées;● Celles qui sont obligatoires pour vous permettre d’assurer le service et pour l'exécution du contrat;● Celles qui sont facultatives;● Qui est l’interlocuteur de l’entreprise pour les aspects liés à la collecte des données (DPO ou délégué à la protection des données personnelles);● Quel est le processus pour faire respecter ses droits.● 
La réglementation fixe en outre des délais stricts pour informer les clients et autorités en cas de fuite de données dans l’objectif de protéger au maximum les personnes concernées.

En synthèse : La politique de protection est une opportunité pour l’entreprise

RGPD doit vous conduire à revoir vos process internes voire à les digitaliser afin de mieux maitriser le flux d’informations que votre entreprise collecte.Vis à vis de vos prospects, clients, partenaires et salariés c’est aussi l’occasion de prouver votre engagement à établir une relation commerciale basée sur la confiance et le respect mutuel.La politique de protection est un chantier qui concerne l’ensemble des directions de votre entreprise et qui touche à des processus parfois installés depuis des années, il est pertinent de vous faire accompagner afin de disposer d’un état des lieux et de plan d’actions précis.

Article rédigé par Francois Mathieu et mis à jour le 05 Mai 2021

Autre(s) article(s) sur le même thème