Le Règlement Général sur la Protection des Données (RGPD) s’appliquera en mai 2018 à toute entreprise qui collecte, traite et stocke des données personnelles. C’est-à-dire, toute donnée dont l’utilisation peut directement ou indirectement identifier une personne. Ce règlement a donc un impact direct sur la manière dont les données personnelles sont collectées et stockées.
Il est important de s’intéresser dès à présent au détail des obligations qui s’imposeront lors de la collecte des données. Et plus particulièrement des données collectées en ligne sur nos prospects et nos clients.
Ce type de collecte est qualifié de « collecte directe » par le règlement.
En effet, la GDPR intègre une différenciation entre la collecte directe et la collecte indirecte. La collecte directe représente les données que l’entreprise collecte directement auprès de ses salariés, clients et fournisseurs. Alors que la collecte indirecte représente l’achat ou location d’un fichier de données personnelles pour de la prospection commerciale, par exemple. Quelle que soit la nature de la collecte, les exigences du RGPD sont les mêmes.
Quelques changements sont donc à anticiper afin de respecter le règlement à partir de mai 2018.
1. Recenser les données collectées et identifier celles à caractère personnel
Il est important de commencer par savoir quelles sont les données que vous avez déjà recueillies sur vos clients et prospects. Ensuite il faut recenser la manière dont ces données sont récoltées. Quels sont, par exemple, les formulaires présents sur votre site et les informations récupérées pour chacun d’entre eux.
2. Limiter la collecte des données personnelles au minimum nécessaire
Les entreprises devront s’assurer que seules les données nécessaires à la finalité de la collecte soient réellement collectées. Toute donnée collectée devra donc pouvoir justifier de son intérêt et être conservée uniquement le temps nécessaire.
3. Obtenir et conserver le consentement éclairé et informé des individus
En vertu du GDPR, les entreprises ont l’obligation d’obtenir un consentement explicite, éclairé et accordé librement. Cette notion implique une plus grande transparence sur l’utilisation et la raison de la collecte ainsi qu’une plus grande obligation d’information sur les conditions particulières du traitement des données personnelles. Il est aussi obligatoire pour les entreprises d’être en capacité de prouver que le consentement a bien été donné par l’utilisateur.
4. Sécuriser et protéger les données collectées
Pour une entreprise – et plus particulièrement pour les PME – le prix d’une donnée personnelle va possiblement augmenter car elle sera dans l’obligation de documenter toutes les mesures et procédures utilisées afin d’assurer la protection des données stockées. Les obligations de sécurité impliquent de se protéger contre les risques de perte, de vol, de divulgation ou de compromission.
Pour conclure, la collecte des données personnelles se devra désormais d’être justifiée, transparente et sécurisée dans un soucis de respect de la vie privée des citoyens européens.