À 3 mois du mandat B2B en Allemagne, la préparation de la réforme pose question
Le mandat B2B en Allemagne, prévu pour le 1er janvier 2025, marque une étape clé dans l’harmonisation européenne de la…
Découvrez nos offres pour OD et PDP en marque blanche : témoignage de fulll Visionner le replay
Le Règlement général sur la protection des données, ou RGPD, désigne une réglementation prise à l’échelle européenne et applicable à toutes les entreprises opérant dans l’UE à compter du 25 mai 2018. Objectifs : harmoniser les législations européennes en la matière et renforcer la confiance des individus dans la gestion de leurs données à caractère personnel. Le tout, en encadrant l’utilisation des données clients par les sociétés basées physiquement, ou non, sur le territoire. Un enjeu stratégique important pour les entreprises, puisque d’importantes sanctions financières sont prévues en cas de manquement (jusqu’à 4 % du chiffre d’affaires mondial d’une société).
Cette nouvelle législation passe par le renforcement des obligations professionnelles en matière de traitement des données personnelles. Contrairement à la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le RGPD n’impose pas de déclaration préalable systématique. Les entreprises doivent être en mesure de prouver à tout moment qu’elles respectent les règles de protection des données, notamment par la tenue d’un registre recensant leurs traitements automatisés.
Sont considérées comme personnelles par le RGPD toutes les données qui concernent une personne physique identifiée ou identifiable : identité, mais aussi adresse e-mail d’un contact, coordonnées, adresse IP… Toutes les entreprises gérant de la donnée à caractère personnel et disposant notamment de bases de données clients sont donc concernées et doivent entrer dès à présent dans une phase de transition.
Sous les notions de « Privacy by design » ou « Privacy by default » se cache la nécessité de considérer la protection des données dès la conception d’un projet. Ce dispositif implique également que seules les données nécessaires pour atteindre les objectifs de l’entreprise – clairement communiqués – doivent être collectées et traitées.
La conception de nouveaux systèmes d’information (SI) va donc devoir être modifiée pour entrer en compliance avec le RGPD, et certains SI existants devront être intégralement repensés.
Pour favoriser l’application des mesures au sein de l’entreprise, le RGPD a créé la fonction de délégué à la protection des données ou Data protection officer (DPO). Un DPO doit obligatoirement être désigné dans :
● les organismes du secteur public ; ● les entreprises effectuant un suivi personnel de manière systématique, régulière et à grande échelle ; ● les entreprises exploitant des données jugées sensibles.
Les entreprises a priori non visées par l’obligation ont également tout intérêt à nommer un DPO dans leur organisation, pour montrer qu’elles ont pris la mesure des enjeux liés à la protection des données.
Sur le même sujet : Et si le RGPD était une opportunité pour les marketeurs ?
Désigné sur la base de connaissances en droit et protection des données personnelles, le DPO endosse le rôle de chef d’orchestre de la gouvernance des données au sein de l’entreprise. Il a pour missions :
● d’informer et de conseiller le responsable du traitement des données personnelles, les employés qui procèdent au traitement ou le sous-traitant en charge sur leurs obligations réglementaires ; ● de dispenser des conseils sur l’analyse d’impact relative à la protection des données ; ● d’être le contact référent pour l’autorité de contrôle chargée d’inspecter les entreprises.
Outre la désignation d’un DPO, le RGPD prévoit une obligation de notification en cas de violation de données. Une mesure qui incombe non seulement au responsable du traitement des données, chargé de communiquer ces informations à l’autorité de protection des données dans les meilleurs délais (au plus tard dans les 72 heures, si possible), mais également au sous-traitant qui a l’obligation de notifier cette faille au responsable de traitement.
Pour tout nouveau projet impliquant un traitement des données à caractère personnel susceptible d’exposer ls personnes à un risque élevé au regard de leurs droits et libertés, le responsable de traitement doit préalablement déterminer si celui-ci impactera la vie privée des personnes concernées. Le cas échéant, ils doivent prouver que le projet est conforme au principe de « Privacy by design ». On notera ici que c’est au responsable de traitement de réaliser ce travail préalable, avec le concours du DPO et du sous-traitant.
Le RGPD stipule également que les données traitées par une entreprise peuvent être récupérées à la demande des personnes concernées. Puis elles peuvent, le cas échéant, être transmises à un tiers.
Pour répondre à d’éventuelles demandes d’accès aux données, les entreprises doivent donc prévoir la restitution de l’ensemble des informations recueillies sur un individu sous un format numérique facilement exploitable. Ces sociétés, qui peuvent être par exemple des pharmacies, banques ou assurances, sont dès lors tenues de transmettre à la personne ou à un autre responsable de traitement la totalité du dossier en format non crypté.
Cette mesure établie avec la loi « Informatique et liberté » de 1978 a été explicitée et renforcée dans le RGPD. En cas de collecte de données à caractère personnel, il est rappelé que le consentement du client doit être libre, spécifique, informé et sensibilisé. Ce consentement vaut pour une finalité définie et ne peut être attribué pour un ensemble d’applications, si proches soient elles.
À lire également : RGPD : quand le « consentement » chamboule le marketing
Pour sécuriser le fonctionnement des entreprises, les procédures de collecte et de traitement des données personnelles vont donc devoir être régularisées, ce qui représente un investissement lourd pour les directions marketing notamment.
Avec le RGPD, le client redevient maître de ses données et de l’utilisation qui peut en être faite par des tiers. Pour être en conformité avec ces contraintes, les entreprises B2B comme B2C vont donc devoir passer en revue leurs process pour s’assurer qu’elles respectent les obligations en matière de traitement des données à caractère personnel, de consentement et de restitution de informations collectées.
Le mandat B2B en Allemagne, prévu pour le 1er janvier 2025, marque une étape clé dans l’harmonisation européenne de la…
Depuis l’annonce du 15 octobre concernant l’abandon du développement du PPF, la DGFIP et son partenaire l’AIFE intensifient les réunions…
Depuis plusieurs années déjà, le e-commerce bouleverse les chaînes logistiques… Et cette tendance n’est pas prête de s’arrêter. En 2020,…
Travaillez avec nos équipes pour concevoir et mettre en œuvre la Supply Chain qui accompagnera votre croissance, adaptée à vos spécificités métier.