Le nouveau règlement Européen sur la protection des données personnelles sera là le 25 Mai prochain.
Médiatisé notamment par l’ampleur des sanctions pouvant aller jusqu’à 4% du CA mondial (ou 20 millions d’Euros) du fautif, nous n’écrirons pas un énième article sur le contenu, vous le connaissez certainement mais plus sur les premières actions que vous pourriez entreprendre. Vous verrez, c’est rempli d’opportunités !
1.Cartographier les traitements concernant les données personnelles
Voila une bonne occasion de reprendre la main sur les données Client au sein de votre organisation et votre système d’information. Une opportunité également de basculer encore plus votre entreprise vers le customer centrisme !
2.Revoir les contrats de vos prestataires / fournisseurs de données
La notion de co-responsabilité des traitements impose à vos prestataires de prendre soin des données de vos clients. Assurez-vous de signer l’addendum idoine avec vos prestataires. L’occasion de remettre le nez dans les contrats, cela ne peut pas faire de mal…
3.Sécuriser vos frontaux client et vérifier les dispositifs de consentement
Commencez par le plus critique, vérifiez vos sites Web, sont-ils bien en Https ? avez-vous appliqué les derniers patchs de sécurité critiques ? Etes-vous conforme sur les optin (pas de pré-cochage) et la pose de cookies ? Sur vos communications y a-t-il bien un lien de désabonnement et une adresse de réponse ? Vos mentions légales sont-elles à jour ?
4.Nommer un DPO
Pas besoin de dédier une ressource à plein temps pour commencer. Votre CIL actuel ou votre RSSI peuvent endosser ce rôle. Néanmoins, je vous conseille de spécialiser ce poste afin de suivre au mieux tous les chantiers (juridique, process, applicatif, data, …).
5.Mettez en place les bonnes pratiques pour vos nouveaux projets
Bien sûr il faudra éponger la dette client sur votre legacy.
Profitez de RGPD pour formaliser les bonnes pratiques « privacy by design » & « security by default ». N’utilisez que les données personnelles nécessaires au traitement. Chiffrez et sécurisez les échanges contenant de la donnée personnelle, assurez vous de ne pas « sortir » des données personnelles hors UE (ou alors dans des pays bénéficiant d’accords spécifiques), anonymisez les données personnelles (sur vos environnements hors production aussi), vérifiez que vos prestataires remplissent également ces items.
6.Mettez-vous en capacité de répondre aux nouveaux droits
Vous aurez surement à faire face à plus de demandes de « droit à l’oubli ».
Assurez-vous de mettre en place du process (avant de l’automatiser) visant à supprimer (anonymiser) les données personnelles de vos clients dans votre SI.
La portabilité des données consiste à remettre à votre client un fichier intelligible contenant les données transmises volontairement par la personne (dans le cadre d’un formulaire par exemple) ou collectées du fait de son activité (l’historique des achats par exemple).
Cela exclut les données générées par le traitement des données brutes initiales ce qui permet de protéger le savoir-faire des sociétés qui traitent ces données.
NB : dans ces deux cas, pensez à bien vérifier l’identité du demandeur 🙂
7.Lancez les actions d’audit plus approfondies
Diligentez les audits nécessaires : intrusion, fraudes sur vos dispositifs.
Revoyez vos processus internes.
Société de Conseils en Transformation Digitale, Organisations, Processus, Marketing, CRM & Systèmes d'Informations 