Outils de Points de Vente.fr
  • Flux RSS

  • Suivez le flux RSS de Points de Vente.fr
  • Partager :

  • Texte :

  • Diminuer la taille du texte de Points de vente.fr
  • Augmenter la taille du texte de Points de vente.fr

- dimanche 19 août 2018 -

Connexion au site Points de Vente.fr
Abonnement au site Points de Vente.fr
fermer la fenêtre d'inscription

Pour lire l'article

- Acheter l'article :

Vous pouvez acheter l’article à l’unité !

Pour avoir accès et lire intégralement l’article, vous devez acheter des crédits.

1 article = 3 euros

- S’abonner à Points de vente :

Et accédez à tous les articles et archives que vous souhaitez !

Nous vous proposons différentes formules (Equipe, magazine papier ou numérique)
pour recevoir le magazine chez vous, ses suppléments thématiques, les archives
ainsi que la newsletter bi-mensuelle.

- Identifiez-vous :

Mot de passe oublié

          

Vidéos de points de vente


Business,Evénement

> Retour aux catégories

Evénement

  • imprimer l'article
  • Envoyer par mail

RGPD : Comment faire?
La parole à Michaël Froment, directeur et co-fondateur de Commanders Act

La date fatidique approche. Le 25 mai prochain, les entreprises devront être en conformité avec le RGPD, le Règlement général sur la protection des données. Comment faire? Par où commencer? Le point avec Commanders Act, spécialiste du tag et de la data, qui vient de publier un livre blanc sur le sujet. 

Où en sont les entreprises dans leur mise en conformité avec le RGPD?
Michaël Froment.
 Pour beaucoup d’entre elles, le RGPD (Règlement général sur la protection des données) ressemble encore à un épais dossier qui traîne sur le coin du bureau et dont l’ouverture est repoussée de semaine en semaine… Et pourtant, le temps presse : le 25 mai 2018, le RGPD entrera bel et bien en action. Avec lui, la gestion des données personnelles passe du régime de la déclaration à celui de la responsabilisation et du contrôle. Et gare à ceux qui, justement, ne prendront pas leurs responsabilités… Les amendes prévues sont lourdes : de 10 à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires mondial, selon les manquements.

Quels sont les chantiers à prioriser pour se mettre en conformité dans les plus brefs délais? 
D’abord, il faut évaluer les risques. Même en étant pressé par le temps, on ne peut échapper à ce travail fastidieux. L’objectif est d’établir une véritable cartographie des risques et un mapping précis entre les /traitements opérés et les solutions impliquées. Pour y parvenir, il faut lister les données personnelles qui sont exploitées et analyser chaque étape de leur cycle de vie sous l’angle de la sécurité. Quelle est la nature de ces données? À quelles finalités sont-elles associées? Où ces informations sont-elles stockées? Leur accès est-il sécurisé, par exemple via une authentification à double facteur? Leur contenu est-il protégé, par exemple via du chiffrement? Des sous-traitants accèdent-ils à ces données? à quelles fins? dans quelles conditions? Les opérations réalisées sur ces informations sont-elles bien historisées? Les procédures relatives à ces informations sont-elles documentées? 
Ces questions sont loin d’être superflues. Le RGPD demande aux organisations d’inscrire la protection des données personnelles dans leur mode de fonctionnement et de conception – d’où la notion de “Privacy by default” ou de “Privacy by design”. Enfin, autre impératif, il faut être en mesure de rendre compte (notion “d’Accountability”) des mesures prises et des actions menées au quotidien. C’est fastidieux, mais indispensable.

Qu’est-ce qu’une donnée personnelle? 
Selon le RGPD, il s’agit de toute information relative à une personne physique identifiable, directement ou indirectement, par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Autrement dit, un cookie est bien une donnée à caractère personnel puisqu’il permet indirectement une identification. En conséquence, avec le RGPD, les cookies ne peuvent être activés qu’en obtenant l’accord explicite de l’utilisateur une fois celui-ci informé de la finalité du service.

Doit-on restreindre, minimiser la collecte de données? 
Oui. Une bonne manière de conformer ses pratiques au RGPD consiste à s’imposer de collecter les données à hauteur des usages. En clair, il s’agit de recueillir uniquement les données indispensables au fonctionnement des services. Dans l’esprit du RGPD, une collecte excessive occasionne une prise de risques inutile. 
N’ayons pas peur des mots, équilibrer la collecte au regard des usages passe par la mise en place d’une gouvernance des données. Une gouvernance qui sera d’autant plus aisée, de la définition des principes à leur application, si les données sont centralisées au sein d’une Customer Data Platform et non essaimées dans de multiples bases et applications.
D’où l’importance du travail d’analyse évoqué précédemment. Mais il ne faut pas se contenter de documenter l’existant : il faut en profiter pour faire un grand ménage de printemps dans les données. Avec, pour objectif, ce principe de “minimisation” des données collectées prôné par le RGPD.

Comment se préparent les entreprises à cette minimisation? 
Globalement, il faut remettre à plat les modalités d’obtention des consentements. Chacun d’entre nous a sans doute commencé à recevoir dans sa boîte mail ce type de messages : “Bonjour, êtes-vous toujours intéressé par nos informations? Si oui, pour ne rien manquer, merci de confirmer votre intérêt. En cliquant ci-dessous, vous continuerez à recevoir chaque semaine, etc.” Ces mails vont se multiplier dans les semaines à venir. Pour une raison simple : le RGPD impose une collecte licite, loyale et transparente. En clair, chaque donnée doit être obtenue en échange d’un service clairement défini et présenté. Attention, précision importante : pour être considérée comme un consentement, la communication d’informations personnelles ne peut être conditionnée au bon fonctionnement d’un service – dans ce cas, le consentement ne serait plus libre mais contraint.
Concrètement, le RGPD signe clairement la mort du “soft opt-in” et autres “opt-in passif”. Plus question à l’ouverture d’un compte sur un service de pré-cocher à la place de l’utilisateur un abonnement à une newsletter d’information. À chaque finalité, son consentement ; à chaque consentement, les données strictement requises. Voilà pourquoi de nombreuses opérations de “reconfirmation” - à l’instar du message évoqué précédemment – sont en cours pour conformer les consentements au RGPD et nettoyer les bases de contacts en conséquence. Résultat, un travail de révision des formulaires s’impose. Et puisque la machine est lancée, je conseille aux entreprises d’aller plus loin et de veiller, aussi, à mettre en ligne des formulaires donnant la possibilité aux intéressés de rectifier des informations les concernant, de demander un export de ces données ou, encore, de s’opposer à un traitement.

Et les cookies? Sont-ils, eux aussi, soumis aux exigences du RGPD? 
La réponse est “oui” mais les modalités d’application exactes sont encore en gestation au sein d’un autre règlement connu sous le nom “ePrivacy”. Si le RGPD concerne la protection générale des données personnelles, ePrivacy, qui s’appuie sur les notions clés du RGPD, se concentre, pour sa part, sur les communications électroniques. Sans attendre que ce nouveau règlement se précise, il semble opportun d’abandonner la formule usuelle “En poursuivant votre navigation, vous acceptez l’utilisation de cookies” pour une description bien plus étoffée et pédagogique des finalités de ces cookies. La mise en oeuvre de cette nouvelle mécanique présente des défis techniques mais aussi organisationnels qui préoccupent, à juste titre, les équipes marketing en charge de la performance digitale. Pour les entreprises qui doivent gérer de nombreux tags sur leurs plateformes web, la solution passe, nécessairement, par le recours à un TMS (Tag management system) pensé pour la gestion des données personnelles.

Vous évoquiez les défis organisationnels. Quels sont-ils? 
Si l’évaluation des risques, la remise à plat des données utiles et des modalités d’obtention des consentements sont des étapes importantes vers la conformité au RGPD, elles ne sont pas suffisantes. Dans l’esprit du nouveau règlement, c’est en fait toute l’organisation qui doit veiller à la protection des données personnelles. Une implication qui passe par de nouveaux rôles. Le règlement prévoit, ainsi, plusieurs cas de figure pour lesquels un DPO – Data Protection Officer – s’impose. Pour faire court, vu les cas décrits, il semble incontournable pour des activités comme l’e-commerce de nommer un DPO.

Quelles sont les missions du DPO? 
Il est destiné à remplacer le Cor­respondant Informatique et Libertés (CIL). Le DPO se voit, ainsi, attribuer une mission de conseil, de coordination et de contrôle. Il lui revient, notamment, de conseiller et informer le responsable du traitement, de contrôler le respect du droit et d’être un référent pour les autorités de contrôle.
Au-delà du DPO, c’est l’ensemble des collaborateurs qui doit, désormais, être sensibilisé aux risques pris par l’organisation en cas de gestion trop légère des données personnelles. Un effort à soutenir bien au-delà de l’échéance du 25 mai 2018.

Partage d’expérience

Un livre blanc

Editeur de logiciels SaaS et spécialiste européen du tag et de la data, Commanders Act est une société européenne, née en 2010, sous le nom de TagCommander. Elle aide les équipes digitales à mieux travailler grâce aux données. Par une approche globale, elle permet aux entreprises de gérer leur transition numérique.
Afin de partager son expertise et son expérience de la mise en conformité avec le RGPD, Commanders Act publie un livre blanc “De la gestion des tags à la réconciliation des données : Comment transformer votre DMP à la GDPR”. Avec un credo : dans ce nouveau parcours de la conformité, le tag management représente, indéniablement, la case départ. Encore faut-il être en mesure d’en faire profiter sa Customer D ata Platform (CDP). Pour en savoir plus, le livre blanc est en téléchargement sur le site web de Commanders Act, après avoir renseigné votre adresse mail… 

Propos recueillis par Catherine Batteux

fermer la fenêtre d'inscription

Acheter l'article

Cet article est réservé à nos abonnés.
Pour le consulter, choisissez l’une des options suivantes :

    Paiement sécurisé par  



    Merci remplir les champs suivants :


    FIL D'INFOSFlux RSS Points de vente


    Newsletter

    inscription

    RECHERCHER

    • Consultation libre de nos archives de plus d'un an (+ de 17000 articles).
    • Formule payante pour les articles récents.

    Abonnez-vous
    dès maintenant !

    Je m'abonne à Points de Vente