Mai 2018 approchant à grande vitesse, on parle actuellement beaucoup du GDPR. Comprendre le General Data Protection Regulation (Règlement général sur la protection des Données). Le règlement met en avant le concept de Privacy By Design. Il va pousser les entreprises à adopter une logique qualitative plutôt que quantitative concernant la gouvernance de la data.
De nombreuses directions semblent s’en inquiéter, du DRH au Directeur Marketing, ou encore du DSI ou Responsable Commercial. Et elles ont bien raison car la mise en conformité va avoir une dimension organisationnelle forte avec de nouveaux processus à mettre en place et d’anciens à adapter !
1. Avoir une vision globale des données dans l’entreprise
Avec une définition très large du traitement des données (collecte, accès, stockage, manipulation, ….) la plupart des entreprises sont concernées par la nouvelle réglementation. De plus, tous les services sont potentiellement impactés : direction marketing, service client, équipes commerciales, ressources humaines, service juridique, direction des systèmes d’information, service facturation…
Toute démarche de mise en conformité va donc commencer par le recensement de toutes les données présentes dans l’entreprise, au travers des différents services afin d’entamer une rationalisation de la gouvernance des données. Il est donc important de sensibiliser sa direction pour débuter.
2. Adapter la gestion du consentement et de la transparence
Le règlement impose que le consentement soit désormais explicite et éclairé. L’entreprise devra donc formuler de manière simple et compréhensible la demande de collecte en précisant l’utilisation qui en sera faite.
Concrètement, cela oblige les entreprises à revoir la formulation des consentements, à mettre en conformité les formulaires de collecte, à encadrer les activités de profilage, etc. Bien souvent, les services Marketing et Commercial devront travailler ensemble afin de revoir leur plan de collecte.
3. Créer et adapter les processus internes
L’un des objectifs du nouveau règlement est de renforcer le contrôle des citoyens européens sur leurs données personnelles. Ces droits vont obliger les entreprises à créer et mettre en place des procédures et des outils permettant aux utilisateurs d’exercer leurs droits. Qu’il s’agisse de l’accès aux données personnelles, leur modification, leur suppression ou encore les procédures de gestion des incidents et de notification !
La création et la formalisation de ces processus impliquent une discussion transverse au sein de l’entreprise. Afin de récupérer les informations disséminées dans les différents services, et également de travailler avec la DSI pour étudier les questions d’extraction et de format.
A cela s’ajoute le processus d’assurance avec les prestataires pour lequel le Clusif suggère notamment des clauses types pour les contrats de sous-traitances.
En conclusion, le RGPD impacte donc bien l’ensemble de l’entreprise au niveau de son organisation et de ses processus. Afin d’entrer plus en détail sur certains services, vous pouvez accéder aux articles spécifiques :
- Services Marketing ou Commercial : Gestion du consentement
- Direction des systèmes d’informations : Quels impacts sur le SI ?
- Ressources humaines : RGPD et RH : quels impacts ?
- Opérateur de Marketplace : [Article à venir]