RGPD : Ce qu’il faut savoir

Le règlement général sur la protection des données (RGPD) est établi par l’Union Européenne et est entré en vigueur en mai 2018.

I. Champs d'action du RGPD

Le RGPD concerne tous les organismes qui traitent des données personnelles au sein de l'Union européenne, que l’organisation soit ou non établie sur ce territoire à partir du moment où elle traite des données qui en sont issues elle est soumise à ce règlement. Celui-ci concerne également les sous-traitants qui traitent les données personnelles même s'ils ne sont pas les destinataires finaux de ces informations.

Autrement dit, peu importe la nature ou le rôle de l’organisme dès lors qu’il est question de données personnelles certaines règles en matière de RGPD sont à prendre en compte.

II. Traitement des données personnelles

“Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé. [...] Un traitement de données doit avoir un objectif, une finalité, c’est à dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.” - CNIL

III. Protection de la vie privée

La collecte des données personnelles doit être transparente et dans le respect de la vie privée des personnes concernées. Chaque personne doit être informée des données qui lui sont collectées, de l’utilisation, des accès, de la durée et également connaître les modalités à suivre pour exercer leur droit.

Celui-ci concerne le droit à l’oubli, la rectification d’une erreur, la preuve de son accord, etc.

La récolte des données doit être explicitement annoncée et ne doit pas prendre part à de la tromperie ou à de quelconques techniques frauduleuses.

Pour faciliter la collecte des données et optimiser le parcours des usagers, il est pertinent de penser à l’expérience utilisateur en apportant une réponse efficace grâce au design. Une telle approche permet de garantir le respect du RGPD et la poursuite d’interaction avec l’internaute.

IV. Dans le cas d'une violation

Dans le cas d’une violation de données personnelles de façon accidentelle, illicite, détruite, perdues, altérées, divulguées ou tout autre situation, l'organisme à un devoir de protection. Toutes violations doivent être signalées à la CNIL dans les 72 heures. Si la violation représente un risque pour les personnes à qui appartiennent les données, elles doivent en être informées rapidement.

La gouvernance des données permet de limiter les risques et de garantir la sécurité et la responsabilité de l’entreprise dans la gestion des données qu’elle a en sa possession en délimitant le champ d’action des différents collaborateurs.

Pour plus de renseignements sur des directives spécifiques : CNIL

V. RGPD by Design

Enjeux

Comme précisé plus haut, la collecte des données doit se faire en toute transparence avec l’utilisateur, il doit être en capacité de donner son accord et de comprendre les intentions d’utilisation de ses données personnelles. L'enjeu du RGPD pour les entreprises est de respecter la vie privée et la sécurité de ses utilisateurs en établissant une relation de confiance, dans le but de récolter les données nécessaires à son activité.

Une approche by design de la RGPD offre de nouvelles opportunités sur la collecte des données et également sur leur traitement.

Customer Centric

Concernant la collecte des données, il faut penser à l’expérience utilisateur, comment va-t-il pouvoir accepter de donner délibérément ses informations personnelles sans se sentir contraint ou agressé. Le but est d’établir une relation de confiance en proposant un parcours utilisateur fluide et cohérent.

Voici une liste non-exhaustive de quelque process à mettre en place :

• Proposer un parcours utilisateur simple avec seulement les informations essentielles à remplir en optimisant les étapes de collecte.
• Proposer un accès facile au règlement de la gestion des données spécifiques à l’organisme pour que l’utilisateur puisse facilement exercer ses droits.
• Ne pas imposer la récolte des données non nécessaires pour l’utilisation.
• Expliquer la perte de fonctionnalité en cas de désaccord sur la récolte de données.

Finalement, la collecte des données doit être transparente, compréhensible et concise.

Définir ses objectifs

Optimiser le traitement des données est un réel atout, c’est un gain de temps pour l’analyse, cela permet de diminuer les données stockées ainsi que de garantir la bonne maîtrise des règles du RGPD. Plusieurs actions peuvent être envisagées, en voici quelques exemples :

• Définir au préalable d’un projet les données nécessaires pour ne pas être submergées.
• Anonymiser les données récoltées.
• Centraliser les données sur un même support.
• Établir des processus d’analyse spécifiques selon les objectifs.
• Protéger les accès aux données.

Le processus de traitement doit être pensé au travers des objectifs souhaités. Le but est de limiter la récolte des données à ce qui est nécessaire, ce qui, en plus, simplifie l'analyse.

Finalement

Le règlement général sur la protection des données peut présenter quelques contraintes au premier abord au travers de conditions spécifiques sur la récolte et le traitement des données personnelles des utilisateurs, qui sont des éléments indispensables à l’activité. En réalité, une bonne maîtrise des objectifs business combinées à une approche par le design permet d’optimiser les démarches en simplifiant les processus de récolte des données et de leur traitement en se limitant à ce qui est uniquement nécessaire. Une approche by design du RGPD permet de garantir la sécurité et la vie privée des utilisateurs en plus d’être un levier d’efficacité pour la gestion des données.