Le 26 novembre 2018, Delight a organisé un événement à Paris en son siège, en association avec le cabinet d’avocats Spring Legal pour faire un premier point sur le RGPD, six mois après sa mise en application en Europe : quelles sont les premières mesures essentielles à prendre ? Où sont les risques et les points faibles ? Quel chemin reste-t-il à parcourir ?

Les représentants du cabinet Sping Legal ont ouvert la discussion en souhaitant dédramatiser l’entrée en vigueur du RGPD. Si cette nouvelle réglementation paraît contraignante, l’ancienne Loi informatique et Libertés de 1978 contenait déjà 70% du RGPD. Par ailleurs, le RGPD revêt une notion d’avantage commercial : si on veut continuer à ce que les consommateurs donnent leurs informations, il faut leur promettre de la confiance. Derrière le RGPD se cache également l’idée que si les entreprises respectent un certain nombre de règles, elles pourront développer et étendre leur modèle.

6 mois de RGPD : le bilan

Depuis le 25 mai 2018, 32 000 organismes ont nommé des Délégués à la Protection des Données Personnelles.

Le nombre de plaintes a également augmenté depuis la mise en place du RGPD, avec deux organismes qui ont particulièrement attiré l’attention de la CNIL. D’abord, la Quadrature du Net qui mène une action de groupe pour dénoncer les pratiques du recueil du consentement qui consiste à dire : soit vous acceptez tout, soit vous n’acceptez rien et vous êtes exclus du service. Ensuite, Max Shcrems, qui dès le 26 mai a déposé une plainte contre les GAFA, en cours d’étude et jugé solide par la CNIL.

La CNIL a déjà effectué plusieurs contrôles, basés sur des articles de presse évoquant le travail de la data de certaines entreprises, et des plaintes. Des contrôles inopinés ont également été réalisés dans certains secteurs comme le recrutement, les agences immobilières et les services de stationnement payant. La CNIL a annoncé qu’elle tiendra compte de la dynamique installée en entreprise pour se conformer au RGPD jusqu’en mai 2019 en cas de contrôle.

Les avocats de Spring Legal sont également revenus sur un cas de mise en demeure de la CNIL contre Vectory. Cette société collecte des données sur les smartphones des clients d’un grand magasin, et les met en relation avec un profil publicitaire en fonction de leur géolocalisation. Pour la CNIL, la phrase de consentement n’était pas assez claire malgré sa précision : le texte était trop long, et il existait trop de conditions pour que la confiance et la transparence puissent être de mise. Cette mise en demeure permet ainsi d’affiner le texte de loi : la notion de consentement ne repose pas tant sur ce qui est dit que sur ce que l’autre va comprendre.

Finalement en 6 mois, c’est surtout une prise de conscience à laquelle on a assisté. Mais au milieu de cet afflux d’informations, il y a eu beaucoup d’idées reçues et d’acteurs qui se sont positionnés en tant qu’experts sur ce sujet.

Plan de mise en conformité – Quelle est la marche à suivre ?

Les avocats de Spring Legal ont poursuivi en donnant un plan de conformité à suivre pour les entreprises du spectacle vivant, et démontré que cette compliance peut être réalisé facilement et rapidement.

1 – Cartographiez des flux de données : quelles données collectez-vous et pourquoi ?

Les entreprises doivent se poser la question des données collectées et dans quelles finalités, que ce soit en interne et en externe. Par exemple, un responsable des Ressources Humaines va gérer les bulletins de paie et les données personnelles des employés, et une entreprise de spectacle vivant va faire de la prospection commerciale et recueillir des données sur ses spectateurs pour leur offrir une réduction sur le 3ème spectacle acheté. 

2 – Triez ses données

Le RGPD implique le principe de minimisation : il n’est possible de collecter des données que pour un but précis. Pour une réduction sur l’achat d’un billet, une entreprise n’a besoin que d’un nom, prénom, email par exemple.

3 – Informez les personnes de sa base de données, si nécessaire

Si les personnes qui constituent une base ont été informées de la finalité de la collecte de leurs données, qu’elles y ont consenti et qu’une trace de ce consentement existe, il n’y pas de démarches à faire. 

4 – Documentez  

Après ce travail d’analyse et d’audit, on rentre dans un travail de suivi avec la mise en place de registres, qui vont lister les données personnelles collectées et les finalités du traitement.

6 points de vigilance à avoir

1- Le registre de traitement

La CNIL propose un modèle vierge et gratuit avec des catégories qui permettent de suivre la collecte et le traitement des données personnelles en interne.

Il faut remplir :

  • Activité de l’organisme : quel est l’objectif de la collecte et du traitement ? (prospection commerciale, gestion de la clientèle, etc.)
  • Responsable de traitement (la personne morale à l’initiative du traitement)
  • Finalité principale (envoi d’emailing commerciaux, gestion de la billetterie, etc.)
  • Finalité secondaire (gestion des impayés, campagnes d’abonnement, gestion des devis, etc.)
  • Mesures de sécurité (nom des logiciels par exemple)
  • Descriptions des données (état civil, email, données clients, etc.)
  • Durée de conservation

Les entreprises sont autonomes dans ce suivi du registre, et doivent maîtriser eux-mêmes les référentiels.

En ce qui concerne les cartes de visites : elles ne doivent pas être gardées et être rentrées dans un registre et une base de données.

A noter que la réflexion sur la finalité des données permet également de positionner son entreprise de façon très concrète. Nettoyer ses données permet également de mieux l’exploiter et de gagner du temps.

2 – Que fait-on de sa base de données qui existait avant le 25 mai 2018 ?

La base de données est au même titre que sa marque, son nom de domaine, ou ses droits d’auteurs, un atout immatériel qui représente de la valeur pour une entreprise.

Concernant les acquisitions de base de données auprès de tiers, il existe un véritable enjeu, et dans ce cas, une campagne de requalification peut être réalisé. Si la personne dit non, il faut la sortir de la base, si elle ne répond pas, il est possible de lui renvoyer un mail, mais à terme, on considérera qu’elle a dit non, et si la personne dit oui, elle reste dans la base.

3 – Le formulaire de consentement

Le formulaire de recueil de données personnes constitue le point d’entrée des clients ou des prospects. Attention, aucune case ne doit être pré-cochée : le consentement n’est pas valable si la personne est induite, il faut qu’elle fasse la démarche active d’autoriser la collecte de ses données.

4 – L’archivage des données

Une entreprise ne peut conserver ad vitam aeternam les données personnelles qu’elle a collectées, et la durée de conservation n’est pas la même pour tous les types de données. La CNIL a mis en place des référentiels selon les finalités exploitées par l’entreprise.

5 – La sécurisation de son système d’information

La sécurisation de son système revient à mettre en place une hygiène d’entreprise sur la sécurité informatique. La CNIL a mis en place une charte informatique qui permet de décrire tous les process.

6 – Obligation des sous-traitants

Le sous-traitant désigne l’entreprise qui va exercer une mission et collecter et traiter des données dans le cadre d’une mission pour le compte du responsable de traitement. Ce dernier est responsable du sous-traitant : il convient de définir dans le contrat de sous-traitance les contours de sa mission. Par ailleurs, le responsable de traitement doit prouver qu’il a contrôlé et vérifié que le sous-traitant était compliant avec le RGPD.