Comment conformer votre entreprise au RGPD : 6 conseils pratiques qui fonctionnent

Le RGPD est entré officiellement en vigueur. L’une des réglementations plus strictes à ce jour, le but du RGPD est d’assurer la sécurité et la légalité de la collecte, du traitement et du stockage des données personnelles des citoyens européens. Il n’y a donc rien d’étonnant à ce que le PID (peur, incertitude et doute) soit en développement rapide.

Pour vous aider à vous préparer pour le RGPD, et éviter la panique quand les auditeurs frapperont à votre porte, nous avons contacté plusieurs entreprises et posé la question suivante : quelles mesures votre organisation a-t-elle prises pour se conformer avec le RGPD, et quels conseils vous pouvez donner à ceux qui sont en à peine au démarrage ? Nous avons reçu beaucoup de réponses utiles, parfois même surprenantes, et nous sommes très désireux de partager les 6 réponses les plus marquantes.

Jose Romero, Stratège Numérique Senior 

Overit, Agence de marketing numérique multiservices (Albany, New York, États-Unis)

Le RGPD a des incidences importantes pour notre entreprise, ainsi que pour nos clients, dont beaucoup sont des entreprises internationales qui s’appuient sur de fréquentes communications auprès de prospects, de clients et autres parties prenantes dans l’UE. Le consentement est important, donc nous avons commencé à en parler avec nos clients en leur apprenant la manière d’obtenir le consentement approprié des utilisateurs dont ils gèrent les données, ou qu’ils prévoient de contacter dans un futur proche.
En interne, notre équipe a commencé à préparer en triant nos listes de contacts pour enlever tous les enregistrements d’individus avec lesquels nous n’avons plus de relations, et mettre à jour les enregistrements de ceux qui ont évolué vers de nouvelles positions et ont toujours envie que nous les écoutions. Cela comporte, mais sans exclusivité, les liaisons inactives, les liaisons perdues, les contacts refusés, les adresses désengagés et les listes de médias.

Nous avons également initialisé le processus de refonte de notre politique de confidentialité sur notre site Internet et la révision de notre mode de collecte des adresses, et nous continuons à travailler à l’amélioration de notre communication globale avec les intervenants aussi bien nationaux qu’internationaux.

Ce n’est pas la première fois que nous avons dû renforcer nos procédures en matière de conformité internationale. Dans le passé, nous avons dû traiter avec le CASL (Canadian anti-Spam Law), et prendre des précautions, et je suis certain que ce ne sera pas la dernière fois. En règle générale, les modifications législatives à l’étranger ont tendance à donner le ton pour l’industrie, en conséquence notre intention n’est pas de seulement nous conformer aux LCAS ou RGPD, mais de nous assurer que notre marque explore de manière responsable et proactive les modifications, au plan international, de la législation en matière de marketing et de vie privée.

Karolina Rut, Spécialiste en Communication

Sparkbit, entreprise offrant des logiciels de développement, de sous-traitance et des services de consultance informatique IT consulting services (Varsovie, Pologne)  

L’entrée en vigueur du RGPD occasionne de grands changements pour les PME comme la nôtre. En premier lieu, nous avons consulté un avocat spécialisé dans la protection des données personnelles, afin de mieux comprendre ce qu’implique la loi RGPD, et comment notre société doit procéder pour s’y conformer. Ensuite, nous avons commencé à analyser les données dont nous disposons, qui peut y accéder, comment elles sont protégées, et quels sont les risques de malversation des données.
Nous avons préparé une liste très détaillée de chacun des documents contenant des données sensibles et indiqué comment elles sont stockées (copie imprimée, sur le disque dur d’un ordinateur, dans le Cloud, etc..). Maintenant, pour gérer chaque type de données sensibles, notre objectif est de créer des règles, telles que : qui peut y accéder et à quel type de données, où doivent-elles être stockées et pendant combien de temps, quels documents doivent être imprimés et verrouillés, quels documents peuvent avoir une version numérique, etc. Nous préparons également un accord de confidentialité spécifique pour nos employés.

Dans l’immédiat, nous nous sentons prêts pour l’entrée en vigueur du RGPD. La dernière chose à faire est de créer une liste des risques potentiels pour notre organisation et les données, ainsi que les recommandations concernant leur impact et leur contrôle, afin de pouvoir les éviter.

Ruth Carter, Propriétaire/Avocate  

Cabinet d’Avocat Carter, l’entreprise de Ruth Carter, bouclier des professionnels de la parole et de l’écriture. Ruth Carter est Avocate enregistrée en Arizona et fait autorité en matière de propriété intellectuelle, de contrats d’affaires et de législation internationale (Phoenix, Arizona, U.S.A.)

Je suis une avocate internet qui conseille ses clients sur la conformité au RGPD, et je prépare ma propre entreprise pour le RGPD. Outre l’actualisation de la politique de confidentialité de la société, j’ai ajouté la double opt-in à notre liste d’envoi, et je demande à ma liste d’e-mails actuelle d’utiliser re-opt-in. Toute personne qui n’utilise pas l’opt-in, que je ne connais pas, et dont je ne peux pas vérifier la résidence sera supprimée de la liste d’envoi.

Voici mes principaux conseils pour les entreprises qui veulent se mettre en conformité :

  • Ou bien vous étudiez la loi vous-même, ou bien vous consultez un avocat ou un fournisseur digne de confiance.
  • Utilisez le double consentement pour votre liste d’e-mails.
  • N’ajoutez personne à votre liste d’e-mails sans son consentement explicite.
  • Soyez transparent sur les données que vous recueillez et la manière dont elles sont utilisées.
  • Recueillez uniquement les données dont vous avez besoin.
  • Autorisez les employés et les entrepreneurs à y accéder uniquement en fonction de leur besoin de savoir.
  • Péchez par excès de prudence ; l’amende pour enfreindre cette loi se chiffre en millions de dollars.

Hannah Whitehouse, Responsable Marketing de Contenu

Bouncezap, créateur d’un outil marketing générateur de pistes, utilisé par les entreprises pour augmenter leur taux de conversion (Londres, Royaume-Uni)

En tant que fournisseur de SaaS travaillant avec différentes entreprises, nous savons qu’il est vital de protéger les informations de nos clients. Nous avons récemment été focalisé sur la réécriture de notre politique de confidentialité, afin que nos utilisateurs et particulièrement nos clients, sachent comment leurs informations sont utilisées et que leurs données sont en sécurité. Nous utilisons un outil de génération de pistes qui analyse les campagnes de nos utilisateurs ; par conséquent, le RGPD est encore plus important pour nous : Nos utilisateurs sauront que leurs informations sont sécurisées, et ne seront pas utilisées dans nos promotions sans leur autorisation expresse.

Au cours des deux prochains mois, nous allons contacter personnellement les utilisateurs pour les informer de notre politique, en plus d’afficher clairement la nouvelle politique de gestion des données sur le site, de manière à être protégés indépendamment de la page sur laquelle les visiteurs se connectent.

Je conseille aux entreprises inquiètes à propos de la conformité RGPD de commencer dès maintenant. Demandez-vous si vous avez une politique de confidentialité ? Est-ce important sur votre site ? Est-ce imprécis ? Il est important de vous rappeler que votre politique de confidentialité et les conditions d’utilisation sont tout aussi importantes pour vous protéger que pour protéger vos utilisateurs. Enfin, utilisez la profusion de sources en ligne relatives au RGPD pour vous assurer que rien ne vous manque. La dernière chose dont vos affaires ont besoin consiste à courir çà et là juste avant la date limite, en restant non protégés.

Ian McClarty, Président

PhoenixNAP, fournisseur mondial de services informatiques, offrant des solutions progressives d’infrastructure comme service pour sites dans le monde entier. (Phoenix, Arizona, États-Unis)  

S’il n’y a qu’un seul conseil que je puisse donner à ceux qui seront touchés, c’est « Pas de panique ». Nous avons ressenti la réglementation comme une menace imminente à mettre en œuvre dans la précipitation. Toutefois, le RGPD vise à protéger les données personnelles des citoyens de l’UE, ce qui est une tâche louable. Les entreprises qui montrent que leur préoccupation principale est de mettre en place les mesures de protection des données à caractère personnel n’ont pas à se soucier de la réglementation concernant leurs activités quotidiennes ou leurs revenus.

De nombreuses exigences sont loin d’être évidentes, et les entreprises doivent utiliser leur meilleur jugement pour décider d’un plan de mise en œuvre. Par conséquent, faites de votre mieux pour vous conformer au RGPD, et ne soyez pas trop confiant dans votre préparation pour y arriver.

Toute entreprise cherchant à être préparée doit prendre les mesures minimales suivantes :

  • Étape 1 : Veiller à ce que le leadership soit présent et dirige le changement. Tout effort visant à mettre en œuvre les politiques et les procédures requises pour la conformité exige l’assentiment de tous les cadres de niveau C et la perspective que ces changements affecteront toutes les équipes à tous les niveaux.
  • Étape 2 : Conduire une analyse approfondie. Recherchez toutes les données personnelles stockées dans tous les systèmes partout. Ce n’est pas une petite tâche et ça peut prendre des mois.
  • Étape 3 : Déterminer la base du consentement de toutes les données. Une fois que vous savez quelles données vous avez, déterminez pourquoi vous les avez stockées là en premier lieu. Ce n’est pas un simple exercice pour justifier la raison pour laquelle vous « voulez » stocker les données. Au contraire, cette étape vous assure une raison juridique, justifiable de garder ces données.
  • Étape 4 : décider d’une stratégie de rétention. Vous devez déterminer combien de temps conserver les données, et ce que vous voulez en faire (effacer, archiver ou rendre anonymes) une fois que vous n’en avez plus besoin ou que vous ne pouvez plus légalement les garder.
  • Étape 5 : former le personnel. Alors que toute votre équipe de formation est bénéficiaire, au départ, vous souhaitez mettre l’accent sur le personnel de première ligne qui répond aux demandes des clients. Ensuite, formez le personnel de fin de ligne qui gère et entretient les systèmes et les logiciels de stockage des données à caractère personnel, ainsi que le personnel technique chargé de la conception, de l’architecture et de la construction de nouveaux systèmes et logiciels qui doivent être conformes aux politiques de données.

Sophie Miles, PDG et Co-fondateur

QuotesAdvisor.com, une entreprise offrant une comparaison gratuite entre les prêts personnels, les crédits hypothécaires, les crédits avec garantie, les cartes de crédit, les cartes de débit et l’assurance auto (Turin, Italie)

Nous avons décidé de ne pas demander à nos utilisateurs d’informations personnelles.  Bien que ce choix signifie perdre du terrain en ce qui concerne les outils de commercialisation, tels que la fidélité des clients et la Gestion des Relations Clients, nous avons fait quelques calculs, et en avons conclu qu’il faudrait 26 % de financement supplémentaire pour changer nos unités de stockage de données et modifier le site Web pour nous mettre en conformité avec les exigences RGPD ; nous avons simplement décidé de modifier notre site Web et de ne plus recueillir de données personnelles.

Plus précisément, nous avons décidé de retirer les formulaires de saisie des informations d’identité de base tels que nom, adresse et numéros d’identification. Par conséquent, nous pouvons concentrer nos efforts sur la base de données de nos clients, qui est beaucoup plus petite et vitale pour notre entreprise.

Notre recommandation pour ceux qui viennent juste de commencer, est de se concentrer sur la plus importante base de données. Nous avions l’habitude d’avoir des informations sur tout, mais nous avons découvert que nous n’en utilisions qu’une partie.

Réflexions finales

Il n’y a pas de formule universelle pour atteindre la conformité RGPD. Toutefois, si vous vous préparez en déterminant quelles données vous avez et celles dont vous avez réellement besoin, et en mettant en œuvre les politiques adéquates, inutile de paniquer ; non seulement vous allez survivre à l’ère RGPD, mais vous allez effectivement en bénéficier.