Ne perdez plus le fil grâce à nos articles

Nous décortiquons les meilleures pratiques pour vous !

Le blog des réseaux sociaux, de l'internet et de la mobilité.

Pour ne rien manquer, abonnez vous à notre flux RSS ou à notre Newsletter.

Flux RSS : Souscrire

  • Frank

    Connaissez vous la loi du 25 mai 2018 ?

    Classé dans web-marketing,Blog

    Source: consultez les informations sur la CNIL

    Frank Peirone


    Le nouveau règlement européen sur la protection des données (RGPD), entrera en vigueur le 25 mai 2018. Connaissez vous bien cette loi et ce que cela va changer au quotidien ? Cette loi vise à responsabiliser les entreprises et leurs sous-traitants concernant le traitement des données personnelles

    Identifier tous les traitements de données personnelles

    La déclaration obligatoire à la CNIL, lorsque vous récoltez des données personnelles à des fins marketing, disparaît au profit d’un registre de traitements des données. L’entreprise doit garantir, à tout moment, la conformité, la sécurité et la confidentialité des données qu'elle récolte. Cela implique la tenue d'un registre détaillant l'exploitation des données par l'entreprise.

    Il faudra donc y recenser et y faire figurer tous les traitements de données personnelles au sein de l’entreprise. Les traitements correspondent à la collecte, le stockage, l’utilisation, le partage ou encore de destruction des données. Les données personnelles correspondent à des personnes physiques identifiables. En sont exclues les personnes morales (les entreprises)

    Les sous-traitants d'une entreprise sont également impactés par la loi. Pare exemple, si vous faites appel à une entreprise qui traite l'envoi d'un mailing à vos clients, il faudra qu'elle soit en mesure de prouver que le fichier reste confidentiel et sécurisé soit dans les termes soit dans les faits.

    Lutter contre les risques impactant la vie privée des utilisateurs

    Une autre point essentiel du règlement concerne l’identification des traitements à risques pour la vie privée des personnes. Du moment où les données relèvent de la vie privée : couleur de peau, pratique sexuelle, âge, etc, l'entreprise devra établir une étude d’impact sur la vie privée afin d'évaluer les risques et de garantir une sécurité maximale sur la vie privée des personnes.

    Les principes de privacy by design et by default deviennent la norme.

    La norme privacy by design doit garantir le plus haut niveau de confidentialité et sécurité des données dès la conception d’un nouveau process ou service requérant un ou plusieurs traitements de données personnelles.

    Privacy by default est un principe qui consiste à assurer la protection de la vie privée des utilisateurs du produit ou service : droit à la portabilité des données, à la modification et à l'effacement des données ainsi que l’obligation du consentement pour le traitement des données. Les paramètres de confidentialité maximale doivent désormais être pré-cochés. Il est néanmoins laissé la possibilité à l’utilisateur de modifier les paramètres de confidentialité (localisation, par exemple), tout en le notifiant des dangers encourus par ce changement.

    Hacking 2903156 1280

    Désigner un Data Privacy Officer (DPO)

    Pour que l’entreprise se mette en conformité au RGPD, elle doit désigner un DPO ou Correspondant Informatique & Libertés qui sera garant au sein de l'établissement de l'application des principes de la loi. Si le DPO est obligatoire pour les administrations, les entreprises traitant massivement des données et celles qui traitent des données sensibles, il est néanmoins fortement recommandé pour toutes les entreprises en tant qu'interlocuteur privilégié de la CNIL. Le DPO peut être un membre du personnel (attention toutefois qu'il ne soit pas en conflit d'intérêt avec son propre poste commercial / DPO par exemple) mais ce service peut être externalisé.

    La transparence, le respect des droits des personnes est de mise

    Les utilisateurs doivent systématiquement pouvoir donner leur accord ou pouvoir refuser. Ils doivent également être informés de façon claire et intelligible de l’utilisation qui sera faite de leurs données. Pas de cases pré-cochées, l’entreprise devra être capable de prouver à tout moment le consentement d’une personne

    De nouveaux droits en matière de données à caractère personnel

    Le droit à la portabilité et le droit à l’oubli offre la possibilité aux utilisateurs de disposer quand il le souhaite de toutes les données collectées par l’entreprise à leur sujet. Ils peuvent ainsi demander leur destruction ou les obtenir afin de les transmettre, s’il le souhaite, à une entreprise tierce.

    L’obligation de notification en cas de violation de la vie privée

    En cas de violation de la vie privée, les entreprises sont tenues de le notifier dans un délai de 72h maximum à la CNIL ainsi qu'aux personnes dont les données auraient été soumises à une violation. De plus, les utilisateurs pourront demander réparation des préjudices matériels et moraux engendrés par cette dernière

    Comme toute nouvelle règlementation, le RGPD peut paraître comme un ensemble de contraintes. Cependant, la mise en conformité représente un enjeu stratégique pour l’entreprise. Elle contribue à renforcer le capital confiance de la marque vis-à-vis de ses clients, prospects, partenaires, salariés. Elle est aussi l’occasion de renforcer la sécurité des données de l’entreprise qui constitue aujourd’hui un véritable patrimoine immatériel. Et indéniablement celles qui mettront en avant leur compliance, bénéficieront d’un avantage concurrentiel.