Le Règlement général sur la protection des données (RGPD) est un règlement contraignant créé par la Commission européenne. Ce règlement, qui est entré en vigueur le 25 mai 2018, a remplacé les anciennes directives de l'Union européenne sur la protection des données et diverses lois nationales.
Les entreprises concernées doivent satisfaire à plusieurs exigences concernant la manière dont elles collectent et utilisent les données personnelles des citoyens de l’UE, que ces entreprises soient ou non européennes.
Le RGPD a pour but de renforcer le droit des citoyens quant à la protection de leurs données et - à plus long terme - de simplifier les processus autour de ces données pour les organisations.
L’UE les définit comme suit :
« Les données personnelles sont toutes les informations relatives à une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »
La mise en conformité avec le RGPD implique des changements complets de vos politiques, processus et peut-être même de vos systèmes.
Si oui, vous êtes considéré comme un contrôleur de données, quel que soit l’endroit du monde où vous vous situez. En vertu du RGPD, la responsabilité principale en matière de protection des données vous incombe. Vous devez respecter plusieurs exigences.
Si oui, vous êtes considéré comme un processeur de données. Quel que soit l’endroit du monde où vous vous situez, vous devez répondre à plusieurs exigences dans le cadre du RGPD :
À présent, vous avez probablement compris l'essentiel, mais vous avez peut-être des questions. Pas de souci. Nous avons répertorié 10 des questions les plus courantes. Cliquez pour afficher les réponses.
Tout dépend si vous stockez ou utilisez des données personnelles sur des citoyens européens. Que ces citoyens soient des clients, des prospects ou des employés. Si vous avez des employés européens, vous stockez probablement leurs noms, adresses et informations bancaires. De telles données sont considérées comme des données personnelles aux yeux de la Commission européenne. Vous devez donc mettre en œuvre certaines parties du règlement, par exemple, les employés doivent donner leur consentement à l’utilisation de leurs données et ont des droits tels que le droit de rectification. Vous devez être en mesure de documenter tout cela aux autorités.
Tout dépend du type de données que vous traitez. Les données peuvent-elles être utilisées pour identifier des personnes ? Si tel est le cas, et c'est le cas pour la plupart des entreprises B2B, vous traitez des données personnelles aux yeux de la Commission européenne. Vous devez donc vous mettre en conformité dans les mêmes conditions que les entreprises B2C
La réponse est simple : Oui, vous l'êtes. Si vous traitez des données personnelles de citoyens de l’Union européenne, vous devez vous mettre en conformité, quel que soit l’endroit où vous vous situez, membre de l'UE ou non.
Non, pas nécessairement. Une première version du RGPD spécifiait effectivement que 250 employés était le nombre exact à partir duquel vous aviez besoin d’un DPD. Le règlement final ne contient malheureusement pas de directives aussi claires à ce sujet. Les DPD sont obligatoires pour toutes les autorités publiques, pour les organisations qui effectuent un traitement à grande échelle de catégories spéciales de données personnelles (telles que les données relatives à la santé), et lorsque les activités principales d’une entreprise impliquent « un suivi régulier et systématique des personnes concernées, à grande échelle ». La plupart des grands retailers répondent à cette définition. Si vous n’êtes pas sûr que ce point du RGPD s’applique à vous, nous vous suggérons de consulter un conseiller juridique.
Oui. Le RGPD définit une « limitation du stockage des données » ce qui signifie que les données personnelles ne peuvent pas être stockées plus longtemps que ce qui est nécessaire aux fins de traitement. Les données à caractère personnel peuvent être conservées pendant des périodes plus longues. Ces données doivent dans ce cas être traitées uniquement à des fins d'archivage dans l'intérêt public, ou à des fins de recherche scientifique et historique ou à des fins statistiques.
Oui. Il s’agit désormais d’un droit du consommateur appelé « droit à la portabilité des données ». Le RGPD indique explicitement : « La personne concernée a le droit de recevoir les données à caractère personnel la concernant, qu’elle a fournies à un contrôleur, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre contrôleur sans que le contrôleur auquel les données à caractère personnel ont été fournies y fasse obstacle. »
Le RGPD a certainement un impact important sur la façon dont vous faites votre marketing, sans parler des personnes que vous pouvez cibler, et ce, que vous soyez dans le secteur B2C ou B2B. Selon les exigences en matière de consentement, vous devez recueillir un consentement clair de chaque personne ciblée, qui indique clairement qu’elle accepte que vous utilisiez ses données et que vous lui adressiez des messages marketing. Auparavant, vous pouviez collecter des contacts et les placer dans votre base de données. Vous pouvez ensuite utiliser leurs coordonnées pour leur adresser des messages marketing sur des plateformes et à des fins différentes de celles pour lesquelles les données avaient été collectées à l'origine. Avec le RGPD, le consentement doit être spécifique à une opération de traitement particulière, ce qui signifie que vous ne pouvez pas demander un consentement illimité ou général pour couvrir un traitement futur. Si vous souhaitez prospecter une personne pour des fins différentes, vous devrez recueillir un nouveau consentement relatif à cet objectif spécifique. En outre, vous devez gérer correctement tous ces consentements pour pouvoir les présenter aux autorités sur demande.
Oui, mais les récepteurs de ces données doivent respecter certaines normes de protection des données. Le RGPD autorise le transfert de données personnelles vers des organisations et des pays non membres de l’UE dont la Commission européenne a estimé qu’ils offraient un niveau de protection « adéquat » ou dans certaines circonstances, par exemple en utilisant des clauses contractuelles types ou des règles d'entreprise contraignantes (BCR).
Le RGPD est également créé pour simplifier la gestion des données personnelles dans un environnement multinational et pour minimiser le risque que les entreprises soient impliquées dans des violations de données gravement dommageables. Le RGPD a remplacé dans la plupart des aspects les différentes lois nationales, dans le but d'harmoniser les règles de protection des données dans toute l'Europe. En outre, avec l’introduction d’une « autorité de contrôle » dans chaque État membre, les organisations disposent d'un seul endroit où s'adresser pour toutes les questions relatives aux données personnelles.
Le non-respect de ces règles peut entraîner d'énormes amendes. Les sanctions pour les infractions relatives au contrôle et à l’atténuation peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total. Les infractions relatives aux droits et obligations peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires.
La conformité avec le RGPD implique que les données personnelles que vous collectez, stockez et traitez soient mises à jour et accessibles. Des règles métier et des programmes de gouvernance de données clairs doivent leur être appliqués. Le Master Data Management peut vous y aider, en optimisant vos données personnelles au-delà des exigences du RGPD.
Qu’est-ce que le Master Data Management (MDM) ?
Le Master Data Management (MDM) est le principal processus utilisé pour acquérir, organiser, synchroniser, enrichir et partager les données de référence conformément aux objectifs métier et aux stratégies opérationnelles de l’entreprise.
Les données de référence peuvent être des informations sur les produits, les clients, les fournisseurs, les sites et les actifs, plus toute source d’informations supportant votre activité.
La gestion efficace des données de référence dans un référentiel central apporte une vue unique, faisant autorité, sur les informations détenues par l’entreprise. Elle élimine les inefficacités coûteuses des silos de données.
Le MDM supporte vos initiatives et vos objectifs métier grâce à des fonctions d’identification, de liaison et de syndication des informations et des contenus. Ces informations couvrent les produits, les clients, les magasins, les sites, les employés, les fournisseurs, les actifs numériques, et bien plus.
En clair, le MDM apporte la transparence des données dont vous avez besoin pour mieux gérer votre entreprise et vous conformer aux réglementations.
La solution MDM de Stibo Systems vous permet d'obtenir des informations sur plusieurs domaines de données et d'obtenir ainsi des effets de synergie.
Instaurez la confiance avec vos fournisseurs et partenaires en assurant une conformité avec les règlementations et les normes sectorielles. Fidélisez vos clients en respectant les normes de confidentialité relatives aux données.
En adoptant une bonne gouvernance de vos données, vous garantissez l'exactitude et l’actualité des données utilisées pour les décisions critiques que vous aurez à prendre. Automatisez les processus manuels sujets aux erreurs. Protégez votre entreprise des risques coûteux de la non conformité.
Fournissez les données de haute qualité en temps réel, à vos initiatives IA, IoT et de personnalisation. Différenciez votre marque. Générez plus de valeur, de succès et de retour sur investissement.
Adaptez votre organization de manière proactive en fonctions de l'évolution des marchés et des besoins des clients. Relevez les défis, intégrez rapidement les produits, ajoutez des canaux et gérez l'expansion internationale et les fusions-acquisitions.