etre-efficace

echouer

[Loi] : Qui a peur du méchant RGPD ?

RGPD : Règlement général sur la protection des données
RGPD : Règlement général sur la protection des données
C'est le 25 mai que vous devrez vous conformer à cette nouvelle directive européenne : le Règlement Général sur la Protection des Données (RGPD). Elle s'inscrit dans le cadre de la protection des données et n'est ni plus ni moins qu'un renforcement de la loi Informatique et Liberté du 6 janvier 1978. J'ai donc rencontré un expert formateur sur cette question, je l'ai interviewé et voici ce qu'il en ressort.

Du bon sens, rien que du bon sens

D'abord, c'est fou tout ce qu'on lit ou entend au sujet du RGPD. Beaucoup d'informations anxiogènes. Certains semblent découvrir que, oui, il y a des lois qui protègent les utilisateurs ! En fait, il y a bien longtemps qu'on demande aux entreprises un minimum d'éthique concernant les données collectées. C'est juste que, pour la plupart, elles s'en fichent royalement. Et c'est particulièrement vrai dans le domaine de la vente en ligne.

Prenons un exemple simple : le double optin. Déjà, il y a plus de 10 ans, on recommandait (voire obligeait) les webmarchands à adopter le double optin. Qui consiste juste à demander à l'internaute s'inscrivant sur un site à valider son inscription par email. Sur Zerudi, on a mis en place cette procédure dès 2005 ! On a gagné en qualité de fichier. Le faites-vous ? Sur Zerudi, oui car on vous l'impose ! Mais sinon ?

Mais aussi de la transparence, rien que de la transparence

Alors, dans les faits, qu'est-ce qui vous attend ? Si vous êtes client de Zerudi, bonne nouvelle : on est pas mal dans les clous depuis longtemps. Et on va juste renforcer ce qu'on nous demande de renforcer.
S'agissant des données que vous collectez via la plateforme, la première bonne nouvelle c'est que ces données ne se baladent pas d'un service à l'autre. Tout est sécurisé en interne : c'est l'avantage d'avoir développé nos propres solutions. Vous êtes moins bien loti si vous utilisez plusieurs services en les combinant : un autorépondeur externe qui arrive sur votre blog sur lequel vous faites du webmarketing ou de la pédagogie par exemple. Sur Zerudi, une seule base de données, sécurisée par les normes en vigueur.
En fait, ce qu'on vous demande au départ, c'est déjà de faire preuve de bonne foi et un maximum de transparence pour vos prospects, clients, utilisateurs. Si le RGPD enterre la déclaration CNIL, ce dernier organisme se trouve renforcé car c'est lui qui sera amené à contrôler. En fait, dès le 25 mai vous devenez responsable des données et votre travail consiste à montrer que vous suivez les directives.

Ce qui est renforcé

Les droits des utilisateurs sont renforcés. L'enjeu ? Renforcer la sécurité des données que vous collectez. En gros, ce qui permet d'identifier un citoyen : son adresse IP, email, nom, prénom etc. On distingue évidemment les données sensibles des données non sensibles. Dès le 25 mai, une personne inscrite chez vous possède ces droits :
  • la portabilité : un client doit pouvoir récupérer toutes ses données pour les utiliser comme il veut
  • la limitation du traitement : stocker n'est pas utiliser. Vous devez demander l'autorisation d'exploiter les données.
  • l'oubli : un client peut vous demander l'effacement des données le concernant
  • l'information : vous devez être explicite et dire clairement ce que vous faites des informations que vous collectez. Vous devriez créer une page qui explique clairement tout ça
  • l'accès aux données : pour rectifier, modifier
  • l'opposition : le client peut s'opposer à toute exploitation
  • la communication : il doit être tenu au courant s'il se passe quelque chose avec ses données, comme par exemple un piratage de votre site.

En pratique

En fait, ce qui vous est demandé, c'est juste de l'éthique. De faire les choses bien. C'est sûr, si vous êtes un(e) fan d'affiliation, d'emailing de masse "incontrôlé", ou toute autre méthode un peu borderline qu'on retrouve notamment dans le webmarketing, vous allez devoir revoir certaines pratiques.
Par exemple, on vous demande de ne collecter que ce qui est nécessaire : un prénom, un email ça peut suffire sur une inscription. Parfois vous aurez besoin d'un numéro de téléphone : tant que la collecte est justifiée, il n'y a pas de problème. L'enjeu sera ensuite de sécuriser tout ça. La fin de l'amateurisme ? Youpi !

Les étapes pour être dans les clous

1) Désigner un responsable

S'agissant de Zerudi et de tout ce que ça implique, le responsable, c'est vous. Vous n'êtes pas à la tête d'une multinationale et vous traitez probablement un nombre restreint de données. Je veux dire, par rapport à des mastodontes comme Facebook, votre base de données est ridicule. Tant mieux ! En cas de contrôle vous êtes l'interlocuteur de la CNIL.

2) Cartographier les traitements de données personnelles

C'est là que vous avez un petit peu de travail à faire : répondre aux questions qui, quoi, comment, pourquoi, jusqu'à quand et où ? L'idée c'est de produire ce document qui vous permet de vous poser les bonnes questions et d'adapter votre collecte à vos besoins réels. En cas de contrôle ce document sera mis en concurrence avec vos pratiques. Vous devez le produire lors d'un éventuel passage de la CNIL.

3) Gérer les risques

Pas de panique si vous êtes sur Zerudi ! Vous utilisez nos services et on vous fournira les notions essentielles à produire le cas échéant. Cette étape consiste à mesurer les impacts sur la protection des données. Bon, dans les faits, ça concerne surtout les données à risque. Notamment sur la santé, la religion, les orientations politiques etc. Par exemple, vous devez vous assurer que les données sont détruites à partir du moment où il n'y a pas de réponse de tel ou tel prospect. Ce sont des choses que nous automatisons sur Zerudi et vous allez évidemment en profiter.

4) Revoir vos CGV et autres mentions légales

Toutes ces démarches doivent être communiquées à vos prospects. Le mieux est de créer une page sur laquelle vous expliquez ce que vous faites des données. Et de mettre vos CGV et mentions légales en conformité. Si vous êtes utilisateur de Zerudi, pas de panique : on va le faire pour nous et le partager avec vous !

En conclusion

Attention aux discours alarmistes. Des tas de personnes vont vous dire que la fin du monde est proche. Que vous ne pourrez plus travailler si vous ne passez pas par leurs services. Dans les faits, c'est un peu plus subtile : le RGPD est plutôt une aubaine pour tous les vrais pros qui savent qu'un client, c'est sacré. Vous pouvez mettre en avant que vous êtes conforme ou que vous tendez vers cette conformité.
N'oubliez pas non plus que les premiers visés par ce règlement sont les entreprises qui collectent des informations pour les revendre : Facebook, Google et autres consorts sont les premiers visés (même s'ils ne risquent pas grand chose vu leur puissance). Mais des tas de sites collectent et partagent vos données sans que vous le sachiez vraiment. Tant que vous travaillez en interne, que vous êtes transparent, soucieux de faire les choses bien, vous n'avez aucun souci à vous faire.

Et si je ne respecte rien de tout ça ?

Si vous pensez être au-dessus des lois, vous risquez une amende : 20 millions d'euros ou 4% du CA mondial de votre entreprise. Bon, vous imaginez bien que si vous faites 10 000 ou 100 000 euros de CA, il y a peu de chances qu'on vous réclame 20 millions d'euros. Mais vous risquez quand même d'avoir des problèmes. Faites juste les choses bien et faites le de bonne foi. On vous pardonnera des erreurs, mais pas de la mauvaise foi.

Les ressources

Cet article est inspiré de plusieurs sources :
Vous pouvez aussi télécharger le guide officiel :
Cliquez sur l'image pour accéder au guide
Cliquez sur l'image pour accéder au guide

Voir aussi

Nos experts Zerudi

Ils ont choisi de nous faire confiance et d'utiliser l'application Zerudi pour concevoir leur site de formation complet. Tous les experts ci-dessous ont pu éprouver la puissance de notre solution et s …

[DevBlog] Créer une solution SaaS en solo : L'infrastructure

Souvent on parle de Startup, de disruption, ou encore de FrenchTech. Des mots qui font bien mais qui ne veulent plus trop rien dire (vous vous rappelez du 2.0 ?) La réalité derrière ces mots à la mode …

Devenez expert transmédiatique, partie 2

Lors d'un précédent billet, nous avons partagé avec vous les premiers sites de formation créés à travers le projet Zerudi. Nous vous avons également rappelé que, dans l'idéal, avant de vous lancer dan …

Vos réactions (1)

Coucou Vincent, excellent résumé !
Merci et 'viva Zérudi'

par Christophe Bardone , il y a 7 ans
Nouveau commentaire


Flux RSS des commentaires

etre-efficace

echouer