D’après une étude du cabinet Forrester, seules 26% des sociétés européennes étaient en janvier 2018 conformes au RGPD ! La majeure partie des entreprises sont dans le flou et ne comprennent pas réellement ce qu’est le nouveau règlement sur la protection des données, qu’est-ce que la collecte des données à caractère personnel et en quoi consiste le traitement de ces données et ce qu’il faut faire… ?
Le RGPD, qu’est-ce c’est en deux mots ?
Le RGPD n’est pas nouveau, c’est la continuité de la loi « Liberté et Informatique ». Ce prolongement a pour objectif d’améliorer et d’augmenter la protection des données à caractère personnel. Le but étant que toutes les entreprises européennes se responsabilisent davantage et prennent en considération la sécurité des données.
Qu’est-ce qu’une donnée à caractère personnel ?
C’est toutes les informations qui permettent d’identifier un individu.
- Adresse email
- Nom
- Prénom
- Numéro de téléphone
- Une adresse postale
- Une adresse IP
- N° d’immatriculation
Mon entreprise est petite (PME/ TPE, start-up, indépendant) suis-je concerné ( e ) par le RGPD ?
La réponse est OUI ! A partir du moment où vous êtes une entreprise européenne et que vous avez dans vos fichiers, des données à caractères personnels de clients, de prospects, de fournisseurs, d’employés vous êtes concernés par le RGPD. Autrement dit cela concerne 99% des entreprises.
Une entreprise est par essence une machine à collecter des données, même si vous avez une très petite entreprise, à partir du moment où vous avez des clients vous êtes concernés. Car vous devez enregistrés un nom, un prénom, une adresse email ou encore un numéro de téléphone pour conserver le lien que vous avez vos clients.
A quel moment mon entreprise collecte et fait du traitement de données à caractère personnel ?
Votre entreprise collecte et traite tous les jours des données à caractère personnel. On parle de « collecte de données à caractère personnel » lorsqu’ une entreprise récupère par le biais de différentes actions commerciales et ou marketing des données à caractère personnel.
Quelques exemples concrets de collecte et de traitement de données liés au RGPD dans une entreprise
1er exemple : Mathieu, gérant d’une TPE spécialisée dans le matériel et l’outillage de jardinage pour particuliers et professionnels. Mathieu vend au quotidien du matériel. Dès lors qu’il vend à ses clients un de ses produits et services, Mathieu se doit d’éditer des documents où se trouvent des données à caractère personnel de ses clients (devis et factures) qui sont gérés dans son logiciel de gestion commercial. A partir du moment ou Mathieu vend un produit, il collecte des données à caractère personnel pour conserver un lien avec son client.
Et le traitement de données dans tout ça ?
Le traitement des données répond à la question suivante : « Qu’est-ce que Mathieu fait des données qu’il a collecté lorsqu’il a vendu un de ses produits à ses clients ? »
Mathieu récolte les données de ses clients dans le but de pouvoir communiquer et de conserver une relation privilégiée avec eux. On parle ici d’un traitement de gestion de clientèle.
Qu’est-ce qui va changer pour Mathieu avec la mise en place du RGPD ?
Mathieu ainsi que toutes les autres entreprises se doivent d’utiliser au 25 Mai 2018, des logiciels de gestion / logiciels de CRM / logiciels de Paie conformes au RGPD qui assurent la sécurité des données à caractère personnel des clients et répondent aux différents critères de la loi.
2ème exemple : Anna est chargée de communication pour l’entreprise dans laquelle elle travaille. Elle est en charge de la bonne gestion du site et de la mise à jour de contenu du site internet de l’entreprise. Pour collecter des données à caractère personnel des internautes, elle a mis en place plusieurs formulaires : « Demande de devis » et « Etre rappelé gratuitement » etc. Chaque semaine, des individus laissent leurs données à caractère personnel : Nom, prénom, adresse email et numéro de téléphone dans le but d’être contacté par l’entreprise d’Anna.
Et le traitement des données dans tout ça ?
Le traitement des données répond à la question suivante : « Qu’est-ce qu’Anna fait des données qu’elle a collectées via le site internet de l’entreprise ? »
Elle recueille toutes ces données, les classes dans un fichier sécurisé et fournis les informations des prospects au responsable commercial de l’entreprise qui se chargera de contacter le prospect. La collecte et le traitement des données à caractère personnel a pour finalité : La gestion de la prospection.
Qu’est-ce qui va changer pour Anna avec la mise en place du RGPD ?
A compter du 25 Mai 2018 : Anna devra tenir à jour un fichier disponible au téléchargement sur le site de la CNIL nommé : Le registre des activités de traitement. Anna devra également rajouter sur chaque formulaire de contact se trouvant sur le site internet de l’entreprise une phrase expliquant dans quel but elle collecte des données à caractère personnel.
Si Anna dispose d’un formulaire de contact pour s’inscrire à la newsletter de l’entreprise, Anna doit mettre à jour ses différents formulaire. Par exemple pour le formulaire d’inscription à la newsletter voici le texte à rajouter selon la CNIL pour être conforme :
« Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par la société X. Nous recueillons vos données à caractère personnel dans le seul but de vous envoyer la newsletter de l’entreprise. Vos données sont conservées pendant 3 ans et sont destinées au service marketing de l’entreprise X située à l’intérieur de l’Union Européenne. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant : Le service Marketing par email : [adresse email de l’entreprise] Nous vous informons de l’existence de la liste d’opposition au démarchage téléphonique « Bloctel », sur laquelle vous pouvez vous inscrire ici : https://conso.bloctel.fr/»
Sous chaque formulaire, Anna, devra expliquer aux internautes le but de cette collecte de données et quelle est la finalité (traitement) de cette collecte.
3ème exemple : Jules est responsable commercial pour une start-up strasbourgeoise. Pendant 3 jours son entreprise est présente au salon de l’innovation. Lors de ce salon Jules, laisse à disposition des personnes qu’ils rencontrent des fiches à remplir dans le cas où ces personnes auraient un projet susceptible d’être réalisé par la start-up de Jules. Sur ces fiches d’identification, Jules demande aux prospects de laisser leurs données. Dans ce cas, on parle également aussi de collecte de données à caractère personnel.
Et le traitement dans tout ça ?
Le traitement des données répond à la question suivante : « Qu’est-ce que Jules fait des données qu’il a collecté lors du salon de l’Innovation ? »
Comme dans l’exemple précèdent, Jules va recueillir toutes les fiches d’identification, il va classer et inscrire les données collectées lors de l’événement dans son registre d’activité des données imposé par la CNIL et va utiliser ces différentes données pour contacter les personnes rencontrées lors de l’événement. Le traitement est donc la gestion de la prospection clientèle lors de ce salon.
Comme dans le premier exemple, à partir du moment où on collecte et traite des données on se doit de tenir à jour le registre des activité de traitement.
4ème exemple : Anaïs est chargée de relation clientèle dans une entreprise familiale. Elle doit travailler sur des enquêtes de satisfaction client qui seront envoyées par email aux clients de l’entreprise dans le but de recueillir des retours qualifiés des clients.
Pour pouvoir identifier les différents clients qui vont répondre à l’enquête de satisfaction de l’entreprise, Anaïs récupère les noms, prénom, email, nom de la société de la base de données clients.
Et le traitement dans tout ça ?
Le traitement des données répond à la question suivante : « Qu’est-ce que Anaïs fait des données qu’elle a récolté ? »
Au travers de cette enquête de satisfaction, Anaïs va donc collecter des données à caractère personnels dont le traitement final sera la consultation dans le but d’utiliser les retours clients pour une évolution et ou amélioration des services de l’entreprise.
5ème exemple : Sarah est Community manager au sein d’une agence de communication strasbourgeoise. Pour le compte de ses clients, Sarah est amenée à réaliser plusieurs actions de Marketing Digital qui ont pour objectif la collecte de données à caractère personnel.
Entre le responsable de traitement (client) et le sous-traitant (prestataire, ici Sarah pour l’agence de communication) , une clause de sous-traitance liées au traitement des données à caractère personnel a été mis en place.
Cette Clause de sous-traitance définit les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel. On peut trouver des exemples de clause de sous-traitance certifiée par la CNIL sur le site de la CNIL.
Le client de Sarah, souhaite réaliser un jeux concours sur les réseaux sociaux pour toucher un maximum de personne lors du lancement de son nouveau produit. Sarah est aux commandes de ce nouveau projet. Elle va pour le compte de son client mettre en place sur les différents réseaux sociaux le jeu concours. Pour participer à ce jeu concours, les internautes doivent remplir un formulaire d’identification en laissant leurs données à caractère personnel : Nom / prénom / adresse email et numéro de téléphone.
Au travers de ce jeu concours, Sarah et son client collectent des données.
Dans ce cas, qui est responsable du traitement des données ?
C’est Sarah pour le compte de son client qui est chargée du traitement des données. L’objectif du traitement des données et l’utilisation de ces données pour le tirage au sort du vainqueur du jeu concours. Le traitement des données peut également être pour une finalité tiers telle que : la prospection commerciale.
Car, Sarah peut avoir mis en place dans le formulaire du jeu concours une clause avec comme question « Est-ce que vous acceptez que vos données à caractère personnels soient utilisées également dans le but de recevoir nos nouvelles offres commerciales. » si le client de Sarah l’a demandé. Dans ce cas, l’internaute a le droit de choisir et de dire « non, je ne souhaite pas recevoir d’offres commerciales. »
Il existe beaucoup d’autres exemples qui montrent à partir de quel moment une entreprise collecte et traite des données à caractère personnel, en espérant que ces exemples vous aident déjà comprendre et savoir si vous faites partis des 99% des entreprises concernées par le RGPD !
Vous trouverez toutes les informations relatives au RGPD sur le site de la CNIL et si vous avez d’autres questions concernant le RGPD n’hésitez pas à nous contacter, on se fera un plaisir de répondre à toutes vos interrogations.