Découvrez les outils pratiques pour devenir 100 % conforme mais aussi réfléchir à l’opportunité stratégique que représente l’exploitation de ses données pour toute entreprise quelle que soit sa taille et son secteur d’activité.
Sommaire
- Une opportunité commerciale
- Une occasion de se pencher sérieusement sur la sécurité informatique
- Une porte d’entrée de la transformation numérique
- 5 clés pour aborder le RGPD dans le bon sens et en faire un levier de performance
« En utilisant notre site, vous acceptez l’utilisation de cookies. Cliquez sur OK ». Cette formule que nous connaissons tous est une traduction concrète de l’application du Règlement Général pour la Protection des Données (RGPD). Depuis le 25 mai 2018, les entreprises doivent être en conformité avec ce règlement sous peine de sanctions pouvant être très lourdes. Pourtant, peu d’entreprises respectent l’ensemble des obligations du RGPD, surtout dans le commerce. La plupart voient ce règlement comme une contrainte supplémentaire de l’Union Européenne et ont tendance à bâcler leur mise en conformité avec l’objectif minimal d’éviter des sanctions. Si la mise en conformité ne nécessite pas de grands moyens pour la plupart des entreprises dont le coeur d’activité ne concerne pas l’exploitation des données, cette contrainte réglementaire peut être envisagée comme une formidable opportunité de se pencher sur la transformation numérique de l’entreprise et ses opportunités.
Une opportunité commerciale
Le commerce repose sur la confiance. Pouvoir assurer à ses clients que ses données personnelles sont correctement traitées et sécurisées constitue la base d’une relation commerciale. A l’avenir, il est possible que le respect des données personnelles devienne la norme dans les relations commerciales.
3 entreprises expliquent comment le RGPD est devenu une opportunité !
Etre une entreprise « privacy friendly » constituera donc un véritable atout commercial à mettre en avant. Par ailleurs, le fait de remplir les obligations du RGPD permettra à l’entreprise de continuer à répondre aux appels d’offre. Enfin, une bonne connaissance des données collectées peut améliorer les actions marketing et même ouvrir de nouvelles perspectives de produits et de services. N’oublions pas que les données sont « l’or noir » de l’économie numérique. Pour se donner une chance d’exploiter ce potentiel, encore faut-il le connaître !
Une occasion de se pencher sérieusement sur la sécurité informatique
Si les données constituent une valeur, elles sont d’autant plus vulnérables dans un système d’interconnexion d’ordinateurs et de smartphones. Les différents flux d’information de la société peuvent créer des failles de sécurité permettant des pertes ou des vols de données. Or l’article 32 du RGPD stipule que les entreprises doivent prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cela signifie concrètement que les entreprises ont une obligation de sécuriser les données personnelles qu’elles collectent.
Elles doivent notamment recenser leurs différentes façons de traiter des données : sur quels matériels, logiciels, canaux de communication, supports ? Mais aussi identifier les sources de risque, les impacts potentiels sur les droits et libertés des personnes concernées (usurpation d’identité, disparition de données, etc.) et les menaces réalisables (piratage, vol, perte de données, vandalisme, observation des données sur un écran, etc.).
Cette obligation est l’occasion rêvée pour réaliser un audit de la sécurité informatique de l’entreprise. Cette prise de conscience peut être salutaire quand on sait que la cybersécurité n’est pas toujours assurée dans les TPE/PME. En effet, près de 40% des TPE ont déjà subi une cyber-attaque (hameçonnage, malware, logiciel de rançon) et la majorité n‘ont pas encore adopté des pratiques adéquates. Par exemple, près des deux-tiers ne changent pas de mot de passe tous les six mois, ce qui les rend plus vulnérables. Par ailleurs, plus de 60% ne disposent pas de la triple protection minimale que constitue l’installation conjointe d’un anti-virus, d’un pare-feu et d’un anti-spam. Enfin, le RGPD propose un concept intéressant pour toute nouvelle action de l’entreprise comportant un volet de collecte et traitement de données personnelles : la sécurité dès la conception ou « privacy by design ». Autrement dit, la conception même des actions concernant les données intègre dès le départ les exigences du RGPD. Plus besoin d’y revenir ensuite et ce qu’on fait pour la sécurité des données est fait pour la sécurité toute entière de l’entreprise !
Une porte d’entrée de la transformation numérique
En abordant la question des données, on se rend compte que cette question agit comme un véritable révélateur de la transformation numérique des entreprises. L’obligation qui leur est faite de se mettre en conformité est donc une très bonne occasion d’amorcer ou d’accélérer sa transformation numérique. Le côté « obligation » est d’abord un excellent prétexte pour mettre en mouvement le collectif de travail, souvent réticent au changement. Ensuite, le sujet de la donnée est stratégique car il est au coeur de l’activité de l’entreprise. En abordant la transformation numérique par les données, on peut toucher à de nombreux aspects de la transformation digitale : le développement commercial et la sécurité bien sûr, mais aussi l’organisation du travail, le marketing, la communication ou le recrutement.
5 clés pour aborder le RGPD dans le bon sens et en faire un levier de performance !
L’obligation RGPD concerne presque toutes les entreprises, petites ou grandes car la manipulation de données personnelles n’est pas une question de taille. C’est l’occasion pour les TPE /PME de s’y mettre et de bénéficier des nombreux moyens de formation et d’information mis à disposition par de nombreux acteurs pour faciliter cette mise en conformité. Nous vous proposons donc de suivre un pas à pas pratique :
1 • Je m’informe sur le RGPD et j’organise le chantier dans l’entreprise
Avant de passer à l’action, il est important de bien comprendre le RGPD pour mieux cibler son action et s’organiser. De nombreuses ressources existent : articles, fiches pratiques, formations en ligne gratuites. Ensuite il est important d’identifier au sein de l’entreprise la personne qui pilotera le chantier de mis en conformité. Selon la taille de votre entreprise, cela peut être le chef d’entreprise lui-même ou un salarié ayant déjà des compétences dans la gestion des données. Par exemple issu de la direction informatique. Ce choix est important car cette personne devra poursuivre sa mission au delà de la mise conformité et pourra jouer un rôle plus étendu sur la transformation numérique de l’entreprise. Dans certains cas, le RGPD prévoit la nomination, au sein de l’entreprise, d’un délégué à la protection des données.
2 • Je recense mes données
Il est d’abord important de situer son entreprise par rapport au RGPD car il est probable de déjà remplir, sans le savoir, différents points du règlement. Pour se situer, il est utile de tester son degré de conformité. Ensuite, un travail de recensement et de tri est nécessaire. C’est l’état des lieux des données personnelles. Pour ce travail j’utilise un registre qui sera le document support à mon recensement et qui contiendra un ensemble de fiches pour chaque activité concernée. Chacune de ces fiches devra préciser l’objectif de la collecte, les catégories, qui accède à cette collecte et la durée de stockage.
3 • Je trie, je priorise les données et j’informe mes clients
Ce recensement me permet d’identifier différents niveaux d’intérêt de données et différents niveaux d’impact sur les droits et les libertés des personnes. Une fois vos différentes fiches réalisées il vous faut prioriser vos données en vérifiant si celles-ci sont nécessaires à votre activité, si certaines données sont « sensibles », qui accède à vos données dans l’entreprise et quelles données vous pouvez supprimer.
Cela vous fera gagner de l’espace de stockage ! Enfin, vous devez informer vos clients à chaque fois que vous collectez des données personnelles. Cette information peut prendre différentes formes : formulaires en ligne, page dédiée sur votre site, conditions générales d’utilisation ou de service.
- Comment informer les personnes et assurer la transparence ?
- Utilisation de cookies et autres traceurs de données personnelles
4 • Je sécurise les données
La sécurité des données est indispensable pour répondre au RGPD mais aussi pour assurer le bon fonctionnement de votre entreprise en minimisant le risque de perte de données ou de piratage. Il constitue un véritable chantier avec différents volets : installer des logiciels de protection (pare-feu, antivirus, anti-spam), sauvegarder ses données, sécuriser ses mots de passe, vérifier si ses données n’ont pas été dérobées, etc.
- Sécurité informatique : 12 bonnes pratiques
- Guide de la sécurité des données personnelles
- Choisir son mode de sauvegarde
- Sécuriser son site web
- Je me protège contre les rançongiciels
5 • J’exploite les données
Bien souvent, les entreprises n’ont jamais pris le temps de prendre connaissance des données qu’elles collectent ou qu’elles pourraient collecter. Ni de la valeur et des services qu’elles pourraient créer. Fichier clientèle, base de données, sites web, réseaux sociaux : la cartographie des données que vous effectuer pour la mise en conformité RGPD est une opportunité pour mieux exploiter les données que vous collectez au niveau commercial, pour connaitre vos clients, leurs habitudes, leur besoins. C’est peut-être l’occasion pour vous de penser à vous équiper d’un logiciel de relation client !
- Avez-vous besoin d’un logiciel de Gestion de la Relation Client ?
- Notice – Gestion de la Relation Client [Fiche pratique]
- Comment choisir un logiciel CRM ? [Vidéo]
