La RGPD est le sujet brulant de l’année 2018. Il s’agit du nouveau Règlement Général sur la Protection des Données. De nombreux acteurs sensibilisent (plus ou moins bien) leurs clients du fait qu’ils agissent en qualité de « sous-traitant ». C’est le cas notamment des solutions d’emailing.
En attendant notre atelier complet à ce sujet, voici l’essentiel à savoir sur la RGPD. C’est votre première étape de sensibilisation.
[heading style= »modern-2-blue » size= »18″]Une vraie réforme[/heading]
Cette mesure était destinée à remédier à la politique des grandes entreprises de préférer payer une amende plutôt que de respecter les contraintes de protection des données à caractère personnel. D’où la mise en oeuvre de ce nouveau règlement européen dont l’application est :
- Mondiale
Dès lors que vous avez des prospects ou des clients situés en Union Européenne, vous êtes régi par la RGPD. Quelque soit votre lieu géographique. idem pour les prospects et clients de vos clients. - Globale
Elle ne concerne pas que les entreprises. Même si vous êtes Youtubeur ou Bloggeur et que vous ne vendez rien, vous êtes tenu de respecter le présent règlement. - Renforcée
Il fait mention de manière plus explicite la notion de Protection mais aussi de Sécurité (et des responsabilités qui en découlent).
[heading style= »modern-2-blue » size= »18″]Des amendes dissuasives et effectives[/heading]
Finit les possibilités de recevoir une simple remontrance. En cas de contrôle, l’autorité se basera sur le texte qui mentionne la marche à suivre pour déterminer l’amende qui sera désormais effective, proportionée et dissuasive. Jusqu’à 10M€ pour les petites entreprises comme les nôtres. Ce sont 12 critères précis, écrits dans le règlement, qui vont servir de référence de calcul.
[heading style= »modern-2-blue » size= »18″]SG Autorépondeur sera conforme ?[/heading]
En qualité de « sous-traitant », la conformité RGPD est notre cheval de bataille à plusieurs niveaux.
- Au niveau de la solution que nous vous proposons.
- Au niveau des documents modèles que nous pourrons fournir à nos clients pour les aider dans leur mise en conformité.
C’est pour cela que Sébastien Gourrier, fondateur de SG Autorépondeur, a suivi lui-même une formation spécialisée sur le sujet pendant 2 jours intensifs avec près de 400 pages à digérer. Le texte du règlement fait une centaine de page à lui seul. Sébastien Gourrier s’est formé auprès d’un docteur en droit reconnu pour son expertise « Informatique et Libertés » depuis plusieurs années. Ce dernier était au plus proche des négociations au sein du cabinet du premier ministre français lors de la création de la RGPD.
Nous avons choisi la meilleure référence connue pour ne rien laisser passer au sujet de ce règlement. Nous avons étudié de nombreux cas d’école.
Sébastien a ainsi reçu l’attestation de formation CIL/DPO (Correspondant Informatique et Libertés/Délégué à la Protection des Données) afin de bien maîtriser cette mise en conformité au sein de ses entreprises et celle de ses clients.
[heading style= »modern-2-blue » size= »18″]Votre plan de de conformité en 4 points[/heading]
Point n°1, le choix de vos sous-traitants !
Désormais, vous serez responsable de la gestion de vos données. Que cette gestion soit effectuée par vos soins, ou par vos sous-traitants (et les sous-sous-traitants). Et c’est à vous qu’il revient de vous assurer de la conformité RGPD de vos prestataires (Autorépondeur, Plateforme de e-learning, outil de webinaire, système de paiement, système de facturation, etc).
Et comme certains prestataires font appel à d’autres, vous devez vous assurer que la chaine de traitement entière est confirme RGPD.
Par exemple, SG Autorépondeur maîtrise l’envoi de vos emails. C’est notre métier. Nous le faisons avec nos serveurs, en France. Pas de risque de transfert de données hors Union Européenne. Ce qui vous sera plus difficile de vérifier pour certains outils de marketing tout en un.
Autre exemple, nous assurons la gestion de l’envoi de vos SMS, mais ce n’est pas nous qui sommes en relation avec les opérateurs. Nous passons par un prestataire français (à Marseille) et nous nous assurons de leur conformité RGPD. Et nous devons informer noir sur blanc dans nos mentions légales le nom de ce prestataire pour que vous puissiez vous aussi vous assurer de sa conformité (c’est votre devoir).
Point n°2, votre registre…
La fausse bonne nouvelle, c’est qu’il n’est plus nécessaire de faire de déclaration à la CNIL. Car cela est remplacé par le fait de tenir un registre. On peut lire le texte dans tous les sens, on constate que la tenue d’un registre concerne finalement tout le monde. Au sein de l’atelier que nous allons organiser, nous vous montrerons à quoi cela ressemble. Ce n’est pas si compliqué mais il y a des points importants pour chaque « traitement » et leurs « finalités ». Nous vous montrerons un exemple d’une de nos fiches de registre.
Point n°3 : Vos mentions légales !
Nous constatons que de nombreux utilisateurs de SG Autorépondeur sont en illégalité par rapport à leurs mentions légales (absentes ou incomplètes). Ce sera plus contraignant. Il a des mentions à ajouter. Notamment le nom de vos prestataires, les finalités de vos traitements de données à caractère personnel, la notion de transfert des données hors UE si vous êtes concerné, ce que nous déconseillons fortement car le risque de perdre la conformité est assez élevé.
Point n°4 : Vos procédures
Nous mettons actuellement en place 3 types de procédures dans notre entreprise en ce concerne la RGPD.
- Les procédures de sensibilisation (par rapport à nos collaborateurs, nos sous-traitants, nos clients).
- Les procédures de vérification (car l’on doit s’assurer de la conformité constamment).
- Les procédures d’urgence (en cas de violation des données).
[heading style= »modern-2-blue » size= »18″]Précisions sur les outils hors Union Européenne[/heading]
Certains outils de marketing que vous utilisez directement ou qui sont utilisés par vos prestataires (même français) mettent désormais en péril votre conformité RGPD dès lors que les données sont transitées dans un pays hors Union Européenne.
En effet, non seulement le transfert ne peut avoir lieu que sur un pays avec un « niveau juridique suffisant » (réévalué tous les 4 ans). Et l’outil en question doit présenter les garanties suffisantes à vous proposer ses services (ou qu’il soit dans le monde).
De plus, le niveau de protection des DCP ne doit alors pas être compromis pour le responsable de traitement (vous), le sous traitant (l’outil que vous utilisez) et les transferts ultérieurs.
[heading style= »modern-2-blue » size= »18″]Conclusion[/heading]
- Privilégiez les outils de marketing localisés en Union Européenne et qui n’externalisent rien hors Union Européenne.
- Assurez-vous de la bonne conformité des outils et des services que vous utilisez dans votre entreprise.
- Considérez ce sujet comme sérieux. C’est une vraie réforme qui se veut effective et dissuasive.
Vous pouvez accéder à notre guide de mise en conformité RGPD en 4 étapes ici : http://rgpd.jeveuxvoir.fr
Le contenu de cet article n’engage en aucun cas la responsabilité de son auteur. Toutes informations issues de ce document est à considéré comme un divertissement pédagogique. Pour la mise en conformité de votre entreprise, vous êtes invité à vous entourer d’un conseil juridique compétent et accrédité.