Bien comprendre le sujet du RGPD
Quelles solutions mettre en place dans ma structure ?
23 mai, 2018 par
Bien comprendre le sujet du RGPD
INFORUM, Elsa Kopp

Odoo CMS - une grande photo

Le RGPD nous concerne tous !

Cet article vise à informer, et vous faire partager notre expérience de la mise en œuvre du RGPD. C'est également une synthèse de ce que vous pourrez trouver sur internet pour vous aider dans cette démarche. Nous avons pour cela, inclus des exemples concrets liés au monde du pressing et une démarche adaptée aux TPE/PME. 

1. Définition rapide du sujet 

Qu'est-ce que le RGPD ?

Le RGPD, c’est le Règlement Général sur la Protection des Données, un règlement de l’Union Européenne qui constitue le texte de référence en matière de protection des données à caractère personnel.
Source Wikipédia

A quoi sert-il ?

Dans notre activité professionnelle, pressing, blanchisserie, entretien textile, nous avons besoin de constituer des fichiers concernant nos clients et prospects. Pour la facturation, pour restituer les vêtements aux bons clients, savoir où les livrer, les prévenir lorsque leurs commandes sont prêtes…

Le RGPD sert à renforcer et harmoniser la protection des données personnelles que vous avez collectées pour des personnes vivant dans l’Union Européenne.


Quand ?

Adopté par le parlement le 14 avril 2016, il devient applicable dans toute l’Europe le 25 mai 2018.

Qui est concerné et où ?

Tout le monde ! De l’entreprise artisanale à la multinationale, pour autant qu’elle soit responsable d’effectuer un traitement sur des données à caractère personnel d’un individu au sein de l’Union Européenne.

Pourquoi le faire ?

L’objectif de ce règlement est de responsabiliser les entreprises qui gèrent des données à caractère personnel, de permettre aux individus d'exercer leurs droits et d’augmenter la sécurité des traitements de données.

Devenir conforme au RGPD, c’est aussi faire grandir sa société en améliorant ses processus internes, en s’assurant que les données conservées sont utiles, à jour et protégées.

A savoir que les sanctions prévues peuvent être lourdes de conséquences en cas de non-conformité (4 % du chiffre d’affaires annuel ou 20 millions d’euros !).

Comment faire ?

Plusieurs sources existent pour vous aider à vous mettre en chemin vers la conformité RGPD :
- La CNIL propose un guide sur le sujet
Et d’autres sources peuvent également vous aider :
- La CMA
- La CPME

2. Les "bonnes raisons" de se mettre en conformité  

La CNIL s’est associée à BPI France pour créer un vrai guide pratique à destination des TPE et PME : Guide avec fiches pratiques téléchargeables

Le ton est donné dès les premières lignes avec la citation d’Isabelle Falque-Perrotin, présidente de la CNIL, qui se montre rassurante :

“Il faut en finir avec l’alarmisme sur le RGPD ! Avec ce guide, nous voulons montrer aux PME que se mettre en conformité c’est facile, en adoptant simplement de bons réflexes. A l’heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c’est aussi utile à l’entreprise. Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai.”

Concernant Inforum, nous sommes convaincus des avantages qu’implique la mise en œuvre de ce règlement et les interprétons de cette manière :

1. Il permet de renforcer la confiance. En prouvant que les données qui vous sont confiées sont traitées de manière rigoureuse et responsable.

2.  Il améliore votre efficacité commerciale. Et oui, ce n’est pas un scoop, avoir une base de 20 000 clients ne vous sert à rien si vous ne la maintenez pas à jour ! Téléphones obsolètes, noms mal orthographiés, fiches en doubles, clients de passage ou ayant déménagé. Un fichier mis à jour est avant tout une base de prospection saine et efficace !

3. Minimiser les données « utiles ». Une entreprise gère une quantité de données toujours croissante. Et si vous ne gardiez que ce qui vous sert encore ? Le RGPD vous permet de vous poser 2 questions fondamentales : ai-je vraiment besoin de collecter ces données pour l’objectif poursuivi ? Mes données sont-elles toujours à jour et toujours en adéquation avec l’objectif de la collecte ?

4. Il vous aide à sécuriser les données internes de l’entreprise. Et oui, vos données aussi ont de la valeur ! Les protéger au même titre que vous vous assurez du bon fonctionnement de vos moyens de production est vital. Pas encore convaincu ? Posez-vous une question simple : quel impact un vol de données aurait-il sur mon entreprise, en termes d’image, de concurrence déloyale ou autre ?

5. Rassurez vos clients ! Vous le savez, dans un pressing, le simple fait de demander un numéro de téléphone suffit parfois à éveiller la méfiance de vos clients, bien que vos intentions soient louables. Mettre en avant votre démarche responsable vous aidera dans ces situations.

3. Les deux termes clés à comprendre

Le RGPD vous demande de vous assurer de la sécurité des données personnelles faisant l’objet d’un traitement au sein de votre entreprise.


Qu'est-ce qu'une donnée personnelle 

Toute donnée attachée à une personne physique identifiée ou identifiable est une donnée personnelle.

Pourquoi identifiable ?
Une personne peut être identifiée directement via son prénom et son nom par exemple. Mais également indirectement, via un numéro de téléphone ou un numéro de sécurité sociale voire d’un croisement de données.

Exemple : vous avez des vêtements de femme et une adresse enregistrée. Dans ce cas, même si vous n’avez aucune identification directe (nom, prénom), vous pourriez identifier la personne.

Qu'est-ce qu'un traitement de donnée personnelle ?

La réponse est simple : c’est ce que vous faites des données ! Cela recouvre les opérations de collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication, rapprochement...

Chaque traitement doit avoir un but identifié, et dans cette logique, nous ne pouvons pas collecter des données « au cas où » elles serviraient plus tard.

Exemples :
- Le nom d’un client est une donnée personnelle. 
- La collecte et la conservation de ce nom dans une fiche, dans le but de permettre la restitution des articles au bon client, est un traitement.

QUID de la fiche client ? La « fiche client », par exemple, peut être un fichier informatique mais aussi une fiche papier. Rien ne vous oblige ici à vous informatiser ! Mais toutes les données personnelles sont concernées quel que soit le support utilisé.


4. Passer à l'action... en plusieurs étapes !

Voici la démarche que nous suivons chez Inforum pour nous mettre en conformité avec le RGPD (en réalité notre parcours est plus long, mais nous présentons ici les étapes pouvant être adaptées à vos entreprises) :

ETAPE 1 - Recenser et cartographier les données :

Recensement des activités de traitement de l’entreprise. Exemple : gestion de la paie, formation, gestion des prospects, des clients...

Création d’une fiche par activité recensée, comprenant :
- Le but de chaque traitement (ex : fidéliser mes clients)
- La dénomination des données utilisées (ou les « catégories », ex : nom, date de naissance…)
- La liste des personnes ayant accès aux données
- La durée de conservation des données 

Ce registre est placé sous la responsabilité du gérant. Et vous trouverez un modèle simple à utiliser en suivant ce lien.

ETAPE 2 - Faire le tri !

Pour chaque traitement, posez-vous les questions suivantes :

  • Ai-je vraiment besoin de toutes ces données ?

Exemple : ne conservez pas la date de naissance de vos clients si vous ne vous en servez pas pour leur faire une offre le jour de leur anniversaire, dans un traitement dont l'objectif est la fidélisation de vos clients.

  • Est-ce que je gère des données « sensibles » ?

Exemple : opinions politiques, religieuses, philosophiques, appartenance syndicale… Voir page 53 du guide de la CNIL/BPI pour plus d’informations.
Dans ce cas, il faut s’assurer de conduire une « analyse d’impact » ou bien de se passer de ces données.

  • Est-ce que seules les personnes habilitées ont accès aux données ? Ont-elles accès uniquement à ce dont elles ont besoin ?

  • Est-il vraiment nécessaire de conserver si longtemps cette donnée ? Pourquoi ?

C’est aussi le moment d’en profiter pour s’améliorer et faire le ménage !


ETAPE 3 - Respecter le droit des personnes 

On en vient finalement aux finalités du règlement. Pour respecter les droits des personnes dont vous traitez des données personnelles, vous devez systématiquement les informer à chaque collecte, sur chaque support utilisé (mention d’information sur questionnaire, formulaire, comptoir...) :

  • Pourquoi effectuez-vous cette collecte ?
    Pour retrouver les articles, pour informer vos clients en cas de problèmes...
  • Ce qui vous autorise à le faire ? 
    Consentement de la personne, respect d’une obligation légale ou votre « intérêt légitime ». 
    Dans la plupart des cas, vous chercherez à obtenir le consentement de la personne.

  • Quelle durée de conservation ?
    5 ans à partir de la dernière commande, par exemple.

  • Qui a accès aux données ?
    En particulier si vous en faites un usage interne, ou si un prestataire est susceptible de traiter les données (marketing externalisé par exemple).

  • Comment les personnes peuvent-elles exercer leurs droits ?
    Indiquez par exemple une adresse de courriel, une adresse postale, un site internet, et demandez à ce que la personne s’adresse à un service ou une personne en particulier.

  • Enfin, précisez si les données seront transférées en dehors de l’Union Européenne.

L’objectif est d’être clair, concis et transparent. Si les mentions vous paraissent trop longues, vous pouvez faire un premier résumé, puis renvoyer à une politique de confidentialité plus complète. 
La transparence est une obligation.

+ Vous devez également leur permettre d’exercer facilement leurs droits :
Les droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement constituent les droits que vous devez garantir.
  • Utilisez tous moyens qui vous paraissent suffisants : du simple numéro de téléphone à l’adresse de courriel en passant par un formulaire dédié sur votre site internet. 

  • Assurez-vous de créer une procédure qui vous permettra de traiter ces demandes. 

  • Et n’oubliez pas, il n’y a pas que les données personnelles de vos clients qui sont concernées, pensez également à celles de vos salariés par exemple.

ETAPE 4 - Sécuriser vos données ! (dernière étape) 

Il est temps de penser à la sécurisation de vos données. Quelques questions simples à vous poser :

  • Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ? Si j’utilise des fiches papier, sont-elles mises en sécurité ? 

  • Les accès aux locaux sont-ils sécurisés ? 
    Posez-vous la question de l’accès à vos fiches papier ou à votre ordinateur en dehors des horaires d’ouverture. 

  • Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ? 
    Le but est de ne voir que ce dont nous avons besoin ! Regardez si votre outil informatique vous permet d’adapter le profil des employés par exemple (vendeur, administrateur...).

  • Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ? 
    - Les fiches papier peuvent être détruites par erreur : sont-elles copiées quelque part ?
    - L’informatique peut subir une panne : ai-je mis en place une sauvegarde journalière ? Que faire en cas de panne matérielle ?

5. Références et liens utiles

  • Adoption du projet de loi par le parlement Français : LIEN

  • Le RGPD au journal officiel du parlement Européen : LIEN 

  • Le RGPD dans un format plus digeste avec un champ de recherche (proposé par la société ALGOLIA) : LIEN

  • Guide de préparation en 6 étapes de la CNIL : LIEN

  • Guide CNIL / BPI pour les TPE / PME : LIEN

Texte Odoo et bloc d'image
Odoo image et bloc de texte

6. INFORUM dans tout cela...

Nous sommes comme vous, concernés par ce règlement et résolument convaincus des avantages de sa mise en œuvre pour notre qualité de service. Nous espérons que ce petit guide vous permettra d’aborder sereinement cette nouvelle étape réglementaire. Une de plus dans notre métier qui, il faut le dire, n’est pas en reste de ce point de vue ! Mais nous ne sommes pas les seuls !

Sachez également que nos outils et services disposent déjà de fonctions pour vous aider dans cette tâche de mise en conformité.

GestiClean V10 et Brooclean vous permettent par exemple de :
- Contrôler l’accès aux données personnelles par des mots de passe 
- Gérer des profils pour vos salariés 
- Archiver, modifier et anonymiser les données personnelles de vos clients 
- Réaliser des sauvegardes ou des exports

Par ailleurs, toutes les données que vous nous confiez sont intégralement gérées par nos soins au sein de l'Union Européenne (serveurs situés en France et en Belgique).

Odoo CMS - une grande photo
Bien comprendre le sujet du RGPD
INFORUM, Elsa Kopp 23 mai, 2018
Partager ce post
Étiquettes
Archiver