GDPR : les conseils de Matthieu Huet, Responsable juridique d’iAdvize, pour s’y préparer

Le Règlement général sur la protection des données, communément appelé RGPD ou en anglais GDPR, a été approuvé par le Parlement Européen le 14 avril 2016 et sera directement applicable dans l’ensemble de l’Union européenne à partir du 25 mai 2018. Cette nouvelle réglementation renforce la protection des données personnelles de tous citoyens européens et oblige les entreprises à l’adopter, au risque de se voir infliger de lourdes amendes. Afin d’aider les entreprises à mieux le comprendre et à s’y préparer, nous avons interviewé Matthieu Huet, Responsable juridique et expert GDPR chez iAdvize.

Pour aller plus loin : [Podcast] GDPR: What is it exactly? How can you prepare to be compliant? An interview of Matthieu Huet

Peux-tu nous expliquer ce qu’est le GDPR et, en quelques mots, quel est son impact sur la protection des données des citoyens européens ?

L’objectif principal du GDPR est de protéger les citoyens contre la violation de la vie privée et des données dans un monde de plus en plus axé sur les données, aujourd’hui très éloigné de celui que la directive actuelle de l’UE régissait quand elle a été établie. Même si les principes clés de la confidentialité des données restent fidèles à la directive précédente, de nombreux changements sont proposés aux politiques réglementaires tels que de nouveaux droits, des droits renforcés et de nombreuses nouvelles obligations ou exigences aussi bien pour les responsables du contrôle que du traitement des données à caractère personnel.

Qu’en est-il des personnes qui ne résident pas dans un pays membre ?

Cette nouvelle régulation s’applique au traitement des données personnelles des personnes qui se trouvent dans le territoire de l’UE. Cela signifie qu’elle ne concerne pas seulement les citoyens ou résidents européens, mais qu’elle s’applique dès que le traitement des données est lié à des biens, des services ou les comportements d’un individu au sein de l’UE.

Quelles sont les exigences et les dates à retenir pour les entreprises ?

Il y a beaucoup de nouvelles exigences pour les entreprises. D’abord le principe de responsabilité est une nouvelle obligation très explicite : elle exige du responsable du traitement des données et de ses sous-traitants de démontrer et de documenter leur conformité avec le GDPR.

En ce qui concerne le consentement, les personnes concernées devront l’exprimer plus clairement. Pour elles, ce sont des droits renforcés tels que l’accès aux données, leur rectification, leur restriction ou le droit à l’oubli. Concernant la date d’application, c’est celle du 25 mai 2018 qu’il faut retenir. C’est-à-dire demain.

Qui est concerné par cette régulation ?

Presque chaque entreprise dans le monde, dans la mesure où elles font des affaires dans l’Union Européenne. Même si vous n’utilisez pas une technologie SaaS, si vous traitez les données personnelles de vos employés par exemple, vous devrez être conforme au GDPR.

Selon toi, pourquoi est-il important que les entreprises soient en conformité avec le GDPR ?

S’assurer que la vie privée de ses clients reste privée fait partie de la responsabilité sociale de chaque entreprise. C’est très important ! Les autorités chargées de la protection des données seront en droit d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial, le montant le élevé étant retenu. C’est assez persuasif.

Ces derniers mois, tu as travaillé pour faire en sorte qu’iAdvize soit en conformité avec le GDPR. Quels conseils donnerais-tu aux entreprises qui sont dans la même démarche ?

Je conseillerais de créer une taskforce interne, avec des collaborateurs provenant de tous les départements de l’entreprise : la R&D évidemment, mais aussi des responsables juridiques, IT ou encore RH. La première étape consisterait à évaluer l’impact sur la vie privée et à identifier le type de données personnelles traitées par l’entreprise, l’emplacement des serveurs, etc.

Il faut donner à ce groupe de travail une liberté totale sur ces sujets. Puisque le GDPR exige que le Data Protection Officer (DPO) agisse de manière indépendante et sans instruction de la part de son employeur sur la manière dont il exécute ses tâches, il est important qu’ils aient toute liberté de travailler sur le sujet dès le début.

Quelles bonnes pratiques donnerais-tu aux entreprises pour qu’elles soient prêtes avant le 25 mai 2018 ?

Elles doivent commencer par revoir la façon dont elles travaillent avec leurs fournisseurs de services, s’assurer qu’ils se conforment eux-mêmes au GDPR et que les accords de traitement des données sont correctement signés et mis en place. En ce qui concerne le principe de responsabilité, il convient de définir de nouvelles règles internes de gestion des données personnelles et de documenter les moyens techniques et organisationnels mis en place.

Chez iAdvize, nous travaillons avec des responsables Marketing et Ecommerce. Que doivent-ils savoir au sujet du GDPR ?

D’abord, ils doivent savoir que le GDPR s’applique aux activités marketing. Le texte ne fait aucune distinction entre une adresse email personnelle et professionnelle. Le GDPR va réellement changer la façon dont les commerçants communiquent avec leurs clients. Les responsables marketing doivent donc réfléchir à de nouvelles façons d’informer leurs clients de leurs activités de marketing entrant et sortant, en mettant par exemple un process de double opt-in. Il est également très important de conserver les souscriptions des clients et utilisateurs. La preuve du consentement doit pouvoir être apportée.

Au-delà des entreprises, qu’en est-il des utilisateurs ?

Leurs droits sont renforcés. Ils auront accès à une information claire et compréhensible de la manière dont les sites web utilisent leurs données personnelles.

Selon toi, quel sera l’impact des exigences du GDPR sur l’expérience utilisateur en ligne ?

Je suis intimement convaincu que l’impact sera positif. Bien que le GDPR impose de nouvelles obligations aux responsables de la collecte et du traitement des données personnelles, il est clair que cela ne doit pas desservir l’expérience des utilisateurs.

On verra très bientôt émerger des Centres de conformité GDPR qui permettront de rassembler l’ensemble des informations liées sur le site Internet de manière accessible et transparente pour les utilisateurs. iAdvize est très engagé sur ces questions. Nous pensons que les interactions en temps réel ont un rôle à jouer pour que l’accès à ces nouvelles exigences reste humain, fluide et conversationnel.

RGPD : l'état des lieux pour les eCommerçants et les Marketers

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *