RGPD : Premières actions

Le nouveau règlement Européen sur la protection des données personnelles sera là le 25 Mai prochain.

Médiatisé notamment par l’ampleur des sanctions pouvant aller jusqu’à 4% du CA mondial (ou 20 millions d’Euros) du fautif, nous n’écrirons pas un énième article sur le contenu, vous le connaissez certainement mais plus sur les premières actions que vous pourriez entreprendre. Vous verrez, c’est rempli d’opportunités !

1.Cartographier les traitements concernant les données personnelles

Voila une bonne occasion de reprendre la main sur les données Client au sein de votre organisation et votre système d’information. Une opportunité également de basculer encore plus votre entreprise vers le customer centrisme !

2.Revoir les contrats de vos prestataires / fournisseurs de données

La notion de co-responsabilité des traitements impose à vos prestataires de prendre soin des données de vos clients. Assurez-vous de signer l’addendum idoine avec vos prestataires. L’occasion de remettre le nez dans les contrats, cela ne peut pas faire de mal…

3.Sécuriser vos frontaux client et vérifier les dispositifs de consentement

Commencez par le plus critique, vérifiez vos sites Web, sont-ils bien en Https ? avez-vous appliqué les derniers patchs de sécurité critiques ? Etes-vous conforme sur les optin (pas de pré-cochage) et la pose de cookies ? Sur vos communications y a-t-il bien un lien de désabonnement et une adresse de réponse ? Vos mentions légales sont-elles à jour ?

confiance-client
Profitez de RGPD pour renforcer la confiance entre vos clients et votre marque

4.Nommer un DPO 

Pas besoin de dédier une ressource à plein temps pour commencer. Votre CIL actuel ou votre RSSI peuvent endosser ce rôle. Néanmoins, je vous conseille de spécialiser ce poste afin de suivre au mieux tous les chantiers (juridique, process, applicatif, data, …).

5.Mettez en place les bonnes pratiques pour vos nouveaux projets

Bien sûr il faudra éponger la dette client sur votre legacy.
Profitez de RGPD pour formaliser les bonnes pratiques « privacy by design » & « security by default ».  N’utilisez que les données personnelles nécessaires au traitement. Chiffrez et sécurisez les échanges contenant de la donnée personnelle, assurez vous de ne pas « sortir » des données personnelles hors UE (ou alors dans des pays bénéficiant d’accords spécifiques), anonymisez les données personnelles (sur vos environnements hors production aussi), vérifiez que vos prestataires remplissent également ces items.

6.Mettez-vous en capacité de répondre aux nouveaux droits

Vous aurez surement à faire face à plus de demandes de « droit à l’oubli ».
Assurez-vous de mettre en place du process (avant de l’automatiser) visant à supprimer (anonymiser) les données personnelles de vos clients dans votre SI.

La portabilité des données consiste à remettre à votre client un fichier intelligible contenant les données transmises volontairement par la personne (dans le cadre d’un formulaire par exemple) ou collectées du fait de son activité (l’historique des achats par exemple).

Cela exclut les données générées par le traitement des données brutes initiales ce qui permet de protéger le savoir-faire des sociétés qui traitent ces données.

NB : dans ces deux cas, pensez à bien vérifier l’identité du demandeur 🙂

7.Lancez les actions d’audit plus approfondies 

Diligentez les audits nécessaires : intrusion, fraudes sur vos dispositifs.
Revoyez vos processus internes.

 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :