RGPD : comment les marchands vont devoir traiter leur data
L'entrée en vigueur du Règlement général sur la protection des données (RGPD) se rapproche pour les entreprises. Date limite : le 25 mai 2018. Ce règlement européen organise la collecte, l'enregistrement, la structuration, la conservation, la modification ou encore la destruction des données. En somme, tout traitement de la data à caractère personnel est touché dès lors qu'il s'agit d'un résident européen, où que soit situé le siège de la société. "Les e-commerçants sont particulièrement concernés car ils traitent beaucoup de données, notamment pour personnaliser la relation en ligne, à partir de l'historique de navigation, de la localisation, de l'adresse IP, du panier d'achat ou encore des informations issues des réseaux sociaux. Tenir un registre d'activité de ces traitements (RAT) deviendra obligatoire pour eux", commence Florence Bonnet, expert en protection des données et directeur chez TNP Consultants.
Ce registre des activités de traitement doit être tenu à disposition des autorités
Défini par l'article 30 du RGPD, ce registre des activités de traitement doit être tenu à disposition des autorités en cas de contrôle. Il précise la finalité du traitement. Par exemple, ce peut être l'envoi de newsletters ou une campagne marketing par SMS. Le nom et les coordonnées du responsable du traitement sont à inscrire. Tout comme la description des catégories de personnes concernées. Il peut s'agir notamment de clients, de prospects, de patients, d'adhérents, d'enfants ou de personnes âgées. Ce registre référence également les catégories de data à caractère personnel traitées. C'est-à-dire "toute information qui se rapporte à une personne identifiée et identifiable, comme le nom, un numéro d'identification, la localisation, des éléments sur son identité physique, psychique, économique, culturelle et sociale", rappelle Gérard Haas, avocat spécialisé en nouvelles technologies et RGPD. Par ailleurs, le RAT doit enregistrer d'éventuels transferts de données vers un pays tiers ou une organisation internationale. Enfin, dans la mesure du possible, la description des mesures de sécurité adoptées et les délais prévus pour l'effacement de données doivent être précisés.
Mis à jour au fur et à mesure du temps, ce registre sera tenu sous forme écrite, y compris électronique. Il est obligatoire pour toutes entreprises de plus de 250 salariés. Cependant, les sociétés plus petites sont également concernées si elles traitent de données sensibles. Par exemples relatives à la religion, à la santé, à la sécurité sociale, à la biométrie ou à la politique. Ou encore, si le traitement est régulier. Autant dire que presque tous les e-commerçants doivent tenir un registre.
Un outil de pilotage de la protection des données
Tenir un tel registre assure une meilleure connaissance, améliore la gestion et permet de piloter la stratégie en terme de protection des données. "Il permet aux marchands de faire un point sur leur data : qu'ai-je en main ? Quel traitement ? Quelle base juridique ? Depuis combien de temps ? Sont-elles appropriées ? Faut-il en supprimer ?", liste Florence Bonnet. Bien renseigné, ce document permet aussi de gérer les demandes des internautes qui voudraient récupérer leurs informations, comme le permettra RGPD. Autre utilité : les sociétés ont le nouveau devoir de notifier dans les 72 heures aux clients une faille de sécurité comme un piratage informatique. Le registre des activités de traitement peut faciliter cette notification le cas échéant.
"La complexité de ce règlement a été sous-estimée"
"Les entreprises commencent seulement à comprendre l'ampleur de la tâche. La complexité de ce règlement a été sous-estimée", déplore Florence Bonnet. 10% d'entre elles ne savent pas encore dans combien de systèmes sont conservées les données personnelles qu'elles collectent, selon une étude OnePoll réalisée pour Citrix sur près de 500 décisionnaires informatiques de société de plus de 250 salariés en France. 15% avouent même perdre en partie la main sur la data.
Qui pour s'en occuper ?
Le responsable du traitement doit tenir ce registre. "Dans une petite structure, ce peut être un DPO. Cependant, dans les grandes sociétés, il faut que la structure soit gérée par des opérationnels qui connaissant la durée et les informations", précise Florence Bonnet. Laure Landes-Gronowski, avocate associée pôle IT & Data privacy chez Avistem, a écrit en janvier 2017 un tutoriel pour aider à l'élaboration d'un tel registre. Ce guide recommande de :
- Cartographier et auditer les traitements mis en œuvre au sein de l'entité
- Réaliser une trame de registre
- Définir une méthodologie interne pour la tenue du registre
- Déterminer la ou les personne(s) en charge de la tenue du registre
- Formaliser une aide pour les collaborateurs en vue de la rédaction
- Insérer chaque traitement identifié
- Mise à jour régulière
En parallèle de ce registre, les entreprises ont une autre obligation liée à la data. "Il faut pouvoir prouver à posteriori la trace du consentement qui justifie un traitement", explique Marc Schillaci, fondateur et PDG d'Oxatis, qui propose une solution pour les marchands en ligne de TPE/PME. La traçabilité du consentement doit exister de bout en bout, de l'accord jusqu'au retrait. Par exemple, un client accepte de recevoir des mails promotionnels. Ce sera noté avec la date, son nom, son prénom ou encore son adresse IP. Si le client retire ce consentement, il faut aussi en conserver cette trace. Face à un tel chantier, "les marchands doivent traiter en priorité le cas des newsletters. Puis, dans un second temps, la question des cookies qui est encore plus colossale", prévient Marc Schillaci.
Et aussi :
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.