Le secteur du retail est en pleine transformation digitale, ce qui conduit au développement des magasins connectés. Ces derniers collectent diverses données afin de s’ouvrir à de nouvelles opportunités financières.
Cependant, le RGPD entrera en vigueur à partir du 25 mai 2018 afin d’unifier la protection des données personnelles au sein de l’union européenne.
Nous allons donc voir dans cet article comment les magasins connectés vont devoir prendre en compte la mise en place de ce nouveau règlement.
Magasins connectés et RGPD : domaine d’application ?
Les magasins connectés sont concernés par le nouveau règlement du fait de la collecte de données concernant leurs clients, fournisseurs et salariés. Ils doivent donc être acteurs de leur mise en conformité afin d’assurer la confiance et en dégager un avantage concurrentiel.
Afin de proposer des offres spécifiques à leurs clients, les magasins connectés collectent des informations sur les besoins de leurs clients : préférences, caractéristiques/informations personnelles (taille, âge etc.).
Puis, ces données sont stockées dans les bases de données des magasins, analysées/utilisées, éventuellement transférées à des tiers ou supprimées.
Magasins connectés et RGPD : quels impacts ?
1. Au niveau de la collecte dans des formulaires pour recueillir des données clients, par exemple :
• Détailler de manière transparente l’utilisation des données et fournir une information transparente de l’utilisation des données (article 13).
• Minimiser aux données strictement nécessaires. Ai-je réellement besoin de cette donnée ?
• Obtenir le consentement des utilisateurs sur les traitements réalisés. S’adapter en fonction des données recueillies ou des individus concernés. Par exemple, porter une attention particulière selon l’âge des personnes (données sensibles sur les mineurs).
2. Pour l’utilisation :
• Traiter la donnée pour la raison de sa collecte
• S’assurer de la mise à jour des données et du respect des droits des individus. Exemple : désinscription d’une newsletter.
• Être vigilant sur l’utilisation de géolocalisation marketing, le profilage et les manipulations illicites. Exemple : ventes de données.
• Encadrer les lives chats et autres échanges entre les magasins et leurs clients par un modérateur.
3. Le stockage, transfert et suppression :
• Mettre en place un cadre contractuel adapté avec ses sous-traitants (stockage des données, traitement, respect du droit des individus etc.). Cela passe par des échanges avec les partenaires et l’ajout d’annexes RGPD aux contrats.
• Respecter les périodes de conservation/archivage des données. Exemple : conservation de coordonnées pour emailing 3 ans à compter de la collecte par le responsable de traitement ou du dernier contact émanant du prospect
4. Les mesures organisationnelles et de sécurité
• Mettre en place un modèle de gouvernance avec des référents internes permettant d’adopter le privacy by design et l’accountability chers au RGPD.
• Etre prêt à notifier dans les 72h une brèche de sécurité à la CNIL ainsi qu’aux utilisateurs en cas de risque avéré.
• Respect des droits des individus (extraction, rectification, suppression etc.)
• Sécuriser l’accès physique aux infrastructures et logique des SI.
Magasins connectés et RGPD : les étapes de la mise en conformité
La démarche de mise en conformité peut être réalisée en 2 étapes :
1. Audit de l’organisation
• Interview des personnes traitant des données personnelles.
• Cartographie dans le registre d’activités des traitements (article 30).
• Réalisation d’un rapport de diagnostic avec recommandations qui découlent des risques identifiés.
2. Remédiation
• Construction d’un plan d’actions détaillé.
• Pilotage de la mise en conformité juridique, SI et organisation.
Pour conclure, les magasins connectés sont évidemment concernés par la conformité RGPD. Ils vont devoir mettre en place des solutions spécifiques pour protéger les données de leurs clients afin d’en dégager un atout marketing.