Guide de conformité au RGPD : comment protéger les données personnelles de vos utilisateurs ?
Depuis quelques années, le RGPD suscite un vif intérêt et soulève de nombreuses questions, et pourtant est ce que vous savez réellement ce que c'est ? Parce que OUI, cette réglementation nous concerne tous, que nous soyons utilisateurs ou professionnels !
Qu’est-ce que le RGPD ?
Selon economie.gouv, le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union européenne (UE).
Ce texte a été mis en place pour répondre aux défis croissants posés par la numérisation de notre économie et l'essor de toutes sortes de technologies.
Les objectifs comprennent notamment :
1. Protection de la vie privée,
2. Harmonisation les lois sur la protection des données au niveau européen,
3. Adaptation de la législation aux évolutions technologiques,
4. Renforcement des droits des individus,
5. Responsabilisation des entreprises et les organisations.
Le dernier point nous intéresse particulièrement, aujourd'hui toute entreprise ou organisation est en capacité de récupérer et stocker des données, mais comment parvenir à une conformité RGPD sans faille ?
Les fondamentaux du RGPD :
La Commission nationale de l'Informatique et des libertés (CNIL) compte 5 principes :
LA FINALITÉ
Les infos qu'on amasse, c'est pour une raison précise, une finalité, et on ne les utilise pas pour autre chose ensuite. Ce qu'on fait avec ces données, ça dépend vraiment de ce qu'on voulait en faire au départ. Finalement, on les utilise juste pour ce qu'on avait prévu au départ, pas plus.
Imaginons que le site web d'une entreprise collecte des informations personnelles lorsqu'un client crée un compte sur la plateforme.
La finalité de la collecte de ces données est de permettre à l'entreprise de fournir des services de vente en ligne à ses clients, tels que le traitement des commandes, la livraison des produits et le service client.
L'entreprise collecte les données personnelles des clients (nom, adresse, adresse e-mail, numéro de téléphone, etc.) dans le but de faciliter les transactions et offrir une expérience d'achat en ligne personnalisée.
Dans cet exemple, l'entreprise n'utilise pas les informations personnelles des clients pour des activités de marketing sans leur consentement explicite.
LA PERTINENCE
On ne collecte que les infos vraiment nécessaires pour atteindre notre but.
L'idée, c'est de ne pas trop s'encombrer avec des tonnes de données. On se concentre juste sur celles dont on a vraiment besoin pour faire avancer les choses dans la bonne direction : on fait le tri !
Supposons qu'une entreprise d’e-commerce lance un nouveau service de livraison à domicile.
L'objectif principal de cette entreprise est de collecter les informations nécessaires pour livrer les produits commandés par ses clients dans les délais impartis.
Pour respecter les principes de protection de la vie privée, l'entreprise doit limiter la collecte de données uniquement à celles nécessaires à la livraison. Par conséquent, elle évite de collecter des informations superflues telles que :
- Son numéro de sécurité sociale,
- Ses opinions politiques,
- Ce qu'il fait de son samedi après-midi.
LA DURÉE LIMITÉE DE CONSERVATION
Les infos que l'on stocke doivent être identifiées et actives aussi longtemps qu'on en a besoin pour atteindre notre objectif.
Ensuite, on les détruit, on les rend anonymes ou on les archive, tout ça en suivant les règles légales sur la conservation des archives publiques.
Par exemple, la conservation des CV des candidats pour un poste dans votre entreprise ne doit pas dépasser deux ans !
Le candidat a d'ailleurs le droit de demander la suppression de ses informations, aussi une entreprise doit demander son accord si elle souhaite garder ses informations plus longtemps dans le cadre d'une future ouverture de post.
LA SÉCURITÉ
Vous devez tout faire pour que les donnés restent en sécurité et confidentielles, en vous assurant que personne non autorisé ne met la main dessus.
Si vous êtes une entreprise qui travaille dans le secteur de la santé et qui gère les dossiers médicaux électroniques de ses patients, vous êtes responsable de la sécurité et de la confidentialité des données de santé sensibles de vos patients.
On parle ici de mesures physiques (verrouillage des locaux, armoires sécurisées, ...), des mesures logiques et techniques (pare-feu, des logiciels de détection des intrusions, systèmes d'authentification), une gestion stricte des habitations et droits d'accès et l'encadrement des opérations sous-traitées.
LES DROITS DES PERSONNES
Les personnes dont les données sont utilisées doivent rester aux commandes. La loi dit que personne ne peut ramasser leurs infos à leur insu.
Ils doivent être informés à l'avance de pourquoi on le fait, qui va voir leurs données et comment ils peuvent dire non s'ils veulent.
Ces droits « Informatique et Libertés », peuvent exercer auprès de la collectivité qui détient ces informations sont :
- Le doit de voir leurs données et d'en avoir une copie,
- Le droit de corriger les erreurs,
- Le droit de dire non à l'utilisation de leurs données, sauf si c'est pour une raison légale, comme un registre d'état civil par exemple.
Qu'est-ce que je risque ?
Si après un contrôle ou alors plusieurs plaintes, la CNIL, ou son président, peuvent prononcer des sanctions auprès des responsables du traitement des données qui ne respecte ces textes.
Les sanctions peuvent aller jusqu'à 20M d'euros ou 4% du chiffre d’affaires annuel mondial.
Lorsque le non-respect RGPD ou à la loi est portés à sa connaissance, la CNIL peut :
- Faire un rappel à l’ordre,
- Ordonner la mise en conformité du traitement,
- Limiter temporairement ou définitivement un traitement,
- Suspendre les flux de données,
- Ordonner de satisfaire aux demandes des droits des personnes,
- Prononcer une amende.
6 bénéfices de la conformité RGPD pour votre entreprise :
1. Renforcer la confiance de vos clients :
En respectant le RGPD, votre entreprise démontre son engagement envers la protection de la vie privée de ses clients, ce qui renforce la confiance de vos clients et améliore leur perception de votre entreprise.
2. Amélioration de la réputation de l'entreprise :
Un bénéfice qui découle directement du précédent, c'est bien l'amélioration de votre réputation ! Une entreprise qui respecte les normes du RGPD est plus susceptible de bénéficier d'une meilleure réputation, ce qui peut se traduire par une image de marque positive et un avantage concurrentiel sur le marché.
3. Optimisation des processus internes :
La conformité au RGPD implique de revoir et optimiser vos processus internes de collecte, de stockage et de traitement des données. En plus de permettre la conformité RGPD, ce travail peut conduire à une meilleure efficacité opérationnelle et à des économies de coûts à long terme.
4. Accès aux marchés internationaux :
Comme précisé en introduction, le RGPD est texte réglementaire européen, mais c'est aussi norme largement respectée dans le monde entier, une entreprise conforme au RGPD est mieux positionnée pour accéder aux marchés internationaux et établir des partenariats avec d'autres entreprises.
5. Renforcer la sécurité :
En mettant en place des mesures de sécurité conformes au RGPD, votre entreprise réduit les risques de cyberattaques et de violation de données, ce qui protège à la fois vos données ainsi que les données de vos clients.
6. Efficacité marketing :
En se conformant au RGPD, votre entreprise peut améliorer la qualité de ses bases de données clients, ce qui permet des campagnes marketing plus ciblées et efficaces, avec un consentement clair et transparent des utilisateurs pour le traitement de leurs données personnelles.
Comment appliquer les règles du RGPD avec Mr Suricate ?
Mr Suricate est là pour assurer la conformité de votre entreprise au RGPD en maintenant sécurité et fiabilité sur vos systèmes informatiques !
Notre gamme de tests complète peut vous aider à identifier et à corriger les failles potentielles dans votre système. L'ensemble de nos tests peuvent être mis à votre service afin de respecter : finalité, pertinence, durée de conservation, sécurité des données et droits des personnes.
Prenez le contrôle de vos applications et détectez les bugs en temps réel sur vos sites web, apps mobiles et API en reproduisant vos parcours utilisateurs à intervalle régulier.