Le RGPD expliqué à mon Boss !

« Encore une réglementation européenne qui nous empêche de travailler ! », « Nous avons bien le temps d’ici à mai 2018 ! », « Pourquoi changer alors que nos concurrents maintiennent leurs pratiques ? », « La CNIL ? elle ne nous a jamais contrôlés en 40 ans d’existence ! elle n’a pas non plus sanctionné nos concurrents. Le risque n’est pas réel. » etc., sont autant de réponses inquiétantes sur les enjeux de cette réforme européenne.

Pour répondre à toutes ces problématiques, Gérard Haas, avocat au barreau de Paris et fondateur du cabinet Haas Avocats, spécialiste en droit des nouvelles technologies de l’information et de la communication (NTIC) apportera son analyse et ses conseils lors du salon eMarketing qui se déroulera du 10 au 12 Avril Pte de Versailles à Paris.*

Gérard Haas a aussi publié un ouvrage à ce sujet : « Le RGPD expliqué à mon Boss » aux éditions Kawa. L’occasion de livrer quelques fondamentaux du RGPD.

MyDigitalWeek : Quelle est la définition juridique de donnée personnelle ?

Gérard Haas : On entend par « donnée personnelle » toute information identifiant directement ou indirectement une personne physique (ex. un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). La personne physique, dénommée « personne concernée » être un collaborateur, un client, un adhérent ou un prospect.

MyDigitalWeek : Quelles sont les conséquences de la réglementation RGPD sur le parcours clients et leurs données ?

 Gérard Haas : De nombreuses exigences relatives aux traitements de données à caractère personnel figuraient déjà dans la loi informatique et liberté devront être prises en compte. Les principes fondamentaux de cette loi sont effets repris dans le RGPD.

Cependant, le RGPD ajoute son lot de nouveautés qu’il sera nécessaire de prendre en compte dans le parcours client:

–         le renforcement du consentement et de l’information des personnes concernées par le traitement. Le consentement doit notamment être libre, éclairé, explicite.

–         Les nouveaux droits des personnes parmi lesquels figurent:

Le droit au déréférencement des données personnelles indexées par un moteur de recherche ;

Le droit à l’effacement des données après X années (durée à déterminer à l’avance par l’entreprise).

Le droit à la limitation du traitement

Le droit à la portabilité des données

Le droit de s’opposer au profilage

MyDigitalWeek : Quels sont les fondamentaux à respecter ?

Gérard Haas : Les principes fondamentaux figurent à l’article 5 du RGPD.

. licéité, loyauté, transparence des traitements

. limitation des finalités (déterminer des finalités explicites et légitimes)

. minimisation des données (ne traiter que les données nécessaires aux traitements)

. limitation de la conservation : définir une durée de conservation ou des critères pour la déterminer.

. Sécurité du traitement : prévoir des mesures techniques et organisationnelles permettant de préserver l’intégrité et la confidentialité des données

. Responsabilité (ou accountability) : être en mesure de démontrer le respect du règlement (notamment à travers l’établissement du registre des traitements, des analyses d’impact)

Il faut également adopter une démarche privacy by design et privacy by default, c’est-à-dire prendre en compte la protection de la vie privée par défaut (par exemple au travers du paramétrage par défaut d’un outil ou d’une solution logicielle) et dès la conception (au cours des développement ou de l’élaboration de l’outil.

 MyDigitalWeek : Quelles sont les étapes à suivre ? 

Gérard Haas : Le processus de mise en conformité au RGPD suit généralement les étapes suivantes

Désigner un DPO interne ou externe qui pilotera la mise en conformité ;

Cartographier les Traitements et élaborer le registre des traitements ;

Identifier les points d’écarts à la règlementation (durées de conservation, information et consentement, mesures de sécurité…) ;

Auditer les contrats avec les sous-traitants intervenant sur les données, et négocier des avenants relatifs à la protection des données si nécessaire ;

Mettre en place les procédures internes et sensibiliser les équipes aux enjeux du RGPD

Mener les Analyses d’impact (PIA) sur les traitements à risque.

Pour en savoir plus rendez-vous aux ateliers du cabinet HAAS :

Mardi 10 Avril à 12.00 -12.45 Salle 3 Thématique : Stratégie digitale 

Comment la réglementation RGPD va améliorer la relation client et l’expérience utilisateur.

Mercredi 11 Avril à 12.00- 12.45 – Salle 2 – Thématique : Exploiter les data clients

Booster la confiance et l’expérience client en tirant parti du RGPD

Jeudi 12 avril à 14.00 – 14.45 Salle 3 Stratégie Digitale

RGPD et Marketplace : l’enjeu de la conformité