Dans nos deux précédents blogs, nous avons vu quel était l’esprit du RGPD et les dispositions que vous devez prendre pour vous mettre en conformité avec la loi applicable le 25 mai. Et dont les dispositions sont connues depuis plus de deux ans. Et dont l’amende est de 10 millions d’Euros ou 2% du chiffre d’affaires mondial.
Vu comme cela, RGPD = NKVD (l’organe soviétique de la réalisation des ordonnances du pouvoir central). Mais la réalité est moins dure. D’abord parce que vous avez un peu de temps, l’organisme de régulation est bien consciente que vous avez davantage besoin d’être aidé que pénalisé. Ensuite parce que vous pouvez facilement opérer les premiers changements.
La CNIL se veut rassurante et conciliante
La CNIL continue à faire le gendarme. Elle n’a prononcé que 14 sanctions en 2017, autant dire que les entreprises n’ont pas une cible dans le dos. D’autant que sa Présidente vient d’insister sur la poursuite, voire l’intensification de son effort de pédagogie et de simplification. La CNIL a même dénoncé une sorte de « marketing de la peur ». Sa Présidente assure que son objectif est « d’accompagner la montée en apprentissage des acteurs pour que ceux-ci se mettent en conformité et non gérer un tableau de chasse des sanctions ».
Bon d’accord mais concrètement ?
« Pour la plupart des PME c’est facile car elles ne collectent que peu de données » affirme la Présidente de la CNIL. Le RGPD vise plutôt les multinationales qui gèrent d’énormes BDD. Pour les petits, les enjeux sont moindres, les risques, et donc les contraintes, plus faibles. Mais il est indispensable de s’organiser. Voici comment, en 3 points :
1/ En nommant un délégué de protection des données
C’est la première des 6 étapes décrites dans le précédent blog. Pour qu’un dossier avance, il faut un responsable qui soit investi de cette mission. Ce sera également un geste favorable vis-à-vis de l’autorité et le signe que vous vous êtes mis en mouvement.
2/ En rendant vos bases de données Opt-in
Une adresse opt-in, c’est un internaute qui a explicitement manifesté l’envie de recevoir des informations de votre part. Avant les adresses étaient opt-out, c’est-à-dire qu’elles n’étaient pas opposées à leur réception.
La différence c’est une simple case. Avant il fallait la décocher pour ne plus recevoir de mails, aujourd’hui, l’internaute devra la cocher pour que vous ayez le droit de continuer à lui en envoyer. Cela vaut également si vous récoltez des adresses sur votre site en proposant de s’inscrire à une newsletter par exemple.
3/ En définissant votre consentement
Le consentement doit porter sur chaque catégorie d’information que vous lui proposez d’envoyer. Vous devrez ainsi avoir autant de consentements que de catégories. A vous de les déterminer en fonction de vos communications existantes ainsi que de votre activité.
Si le RGPD est une montagne, escaladez là étape par étape. Trouvez votre rythme et ne lâchez rien !!!