Après les grandes lignes du RGPD, et avant de passer au concret, voici 5 points qu’il est important de considérer avant de se lancer. Cela vous permettra de comprendre l’esprit du RGPD et surtout de commencer à vous préparer.
1. Identifier les données personnelles que vous avez
Pour être conforme au RGPD, tous les traitements de données personnelles que vous effectuez devront faire l’objet d’une cartographie qui doit détailler chaque flux de contacts (nous l’aborderons concrètement dans un prochain article). Il est donc nécessaire de:
Commencer par identifier tous les traitements qui utilisent des données personnelles dans votre organisation.
Par exemple :
- Pour la facturation : détail des clients (nom, adresse…)
- Pour la gestion également : les prestataires et fournisseurs (nom, adresse…)
- Pour votre newsletter ou l’abonnement à votre blog : les abonnées à la liste (adresse mail, prénom…)
- …
Faîtes bien le tour de tout ce qui peut contenir des données personnelles chez vous, n’hésitez pas à aller voir chaque acteur de votre organisation, salariés, collaborateurs ou associés si vous en avez. Il faut lister TOUT ce qui utilise des données personnelles.
2. Utilités des données
Une fois la liste complète, retenez que pour le RGPD, toute possession de données personnelles doit être utile à quelque chose.
Si une donnée personnelle ne vous sert à rien : vous devez simplement la supprimer.
3. Le délai
Bon, ce point là n’est pas vraiment nouveau, mais rares sont ceux qui le respectent dans la réalité, et je crois que c’est celui dont la mise en place pose le plus de souci :
Toute donnée personnelle doit avoir un délai de conservation.
Une donnée personnelle ne peut pas être conservé de manière indéfinie dans le temps ; toute collecte de donnée doit être assignée d’un délai. Par exemple, la durée maximale de conservation d’un client inactif est de 10 ans (obligation légale oblige). La durée maximale de conservation d’un prospect inactif est de 3 ans.
Abonnez-vous !
pour être informé des prochaines publications du blog
Ce formulaire est conforme au RGPD, en savoir plus
Cela veut dire par exemple que si une personne s’abonne à votre blog, ce n’est pas à vie. Si elle est inactive, par exemple si elle ne clique dans aucun de vos mails pendant 3 ans : ses données devront être supprimées. Au même titre, si un client passe une unique commande sur votre e-commerce, puis plus rien, il ne devra plus être dans votre base 10 ans plus tard.
4. Obligation de portabilité
Un autre point nouveau du RGPD, est l’obligation de portabilité des informations personnelles.
C’est-à-dire qu’une personne peut vous demander de récupérer la totalité des informations que vous possédez sur elle, ou de les transférer à un tiers (un concurrent par exemple). Vous aurez alors obligation de vous exécuter sous un délai maximum de 30 jours.
5. Information et transparence
Pour finir, ne pas oublier que le RGPD vise à rendre transparentes la gestion et l’utilisation des données personnelles.
Il faut donc prévoir d’informer clairement, lors de la collecte de donnée, pourquoi elles le sont et dans quel but. La CNIL publiera des modèles avant la mise en application du RGPD, il faudra donc simplement penser à mettre à jour vos supports.
Vous devez également garantir la sécurité des données personnelles. C’est-à-dire ne pas les stocker dans un endroit qui n’est pas sûr, ne pas en faire de copie, et ne pas les transférer à un tiers (prestataire par exemple) sans contrôle… et encore une fois, supprimez les données qui n’ont pas d’utilisation effective.
Cela implique pour certains de faire un peu de ménage, et de modifier leur façon de gérer ces données… dans le cadre de la prospection notamment.
Lire l’article suivant > Qui est le responsable ?
