mardi 6 mars 2018

Je connais déjà tout sur le RGPD: non merci, pas besoin de vous

Félicitations! Soyez bien attentifs aux petits détails pour la mise en ordre car le soucis avec le RGPD, c'est que beaucoup de personnes pensent "savoir" ou "être en conformité", alors que c'est tout le contraire.

Exemple: Votre téléphone mobile respecte-t-il le RGPD? Quid de vos backups? De vos clients e-mails? Quid de vos fournisseurs et sous-traitant?

Je vous joins une petite brochure d'illustration. Je précise que je ne suis pas là pour distiller de la peur: je tiens juste à profiter de cet échange afin que vous soyez pleinement sécurisé à ce niveau.

A bientôt peut-être.

lundi 5 mars 2018

Je suis en ordre: j'ai mis des mentions RGPD sur mon site Internet

RGPD est très complexe. J'espère de tout coeur que vous avez bien pensé à tout.

Prenons le cas d'un formulaire sur un site web, qui transmet ce qui a été saisi par e-mail à un employé de l'entreprise, employé qui saisit ces informations dans un CRM. Ensuite, cet employé inscrit la personne qui a complété le formulaire à une newsletter et réalise des rapports d'activité dans un fichier Excel (qui contient les coordonnées de la personne qui remplit le formulaire du site web).

En cas de demande d'effacement des données, comme le permet RGPD, il faudra:

  • SITE WEB: effacer les coordonnées de la personne dans la base de données du site web et dans tous les backups du site web
  • E-MAIL: effacer l'e-mail qui provenait du site web, ainsi que les coordonnées de la personne qui auront pu se stocker automatiquement le carnet d'adresse du logiciel e-mail. Si vous avez 20 collaborateurs, il faudra aussi vérifier les carnets d'adresse e-mail des 20 collaborateurs
  • MOBILE: si vous avez 20 collaborateurs, il faudra aussi leur demander d'effacer de leur smartphone les coordonnées de la personne qui a demandé cet effacement RGPD
  • CRM: effacer les coordonnées de la personne dans la base de données du logiciel CRM et dans tous les backups du logiciel CRM
  • NEWSLETTER: effacer les coordonnées de la personne dans la base de données du système de newsletter et dans tous les backups du système de newsletter
  • EXCEL: effacer les coordonnées de la personne dans tous les documents bureautiques et dans toutes les copies de sauvegarde des documents bureautiques


On estime qu'une demande d'effacement RGPD, peut demander pour certaines entreprises jusqu'à 170 heures de travail. Ceci souligne l'importance d'avoir un système centralisé possédant une réelle politique RGPD.

J'ai lu que l'on ne sera jamais contrôlé par le RGPD / pas de risque pour moi

Le RGPD, c'est 4 ans de négociations, 4000 amendements, 176 considérants, 99 articles et de nombreux renvois aux droits nationaux.

Le RGPD, c'est aussi et surtout l'engagement de fonctionnaires dédiés uniquement aux contrôles RGPD.

Il s'agit clairement d'un investissement lourd pour les Etats, investissement qui se doit d'être rentable.

Personnellement, ce que je crains, c'est que le RGPD dérive, à la façon des contrôles fiscaux. Ce que je veux dire par là, c'est qu'auditer les bases de données de Google ou Facebook, est presque infaisable. Or, les équipes RGPD auront une obligation de résultat. Dès lors, afin d'atteindre ces résultats, au lieu d'aller contrôler les géants, les équipes RGPD s'attaqueront aux petits, exactement comme c'est le cas avec les contrôles fiscaux d'entreprise.


Je ne suis pas concerné par le RGPD car je ne vends qu'en B2B

Le RGPD s'applique également aux contacts B2B, puisque lel RGPD s'applique à protéger les données à caractère personnel et que la définition de « donnée à caractère personnel » figurant dans le texte est très large. Il s’agit de toute information se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement). Par exemple : nom, prénom, numéro de téléphone, adresses postale et email, numéro de plaque d’immatriculation, etc.

Dans une relation commerciale B to B, il est important de préciser que les adresses email professionnelles (Par exemple : nom.prénom@dénominationdesociete.fr) sont des données personnelles.  A contrario, sont exclues de ce périmètre les données relatives aux personnes morales telles que les coordonnées de l’entreprise ou les adresses email génériques du type contact@dénominationdesociete.com.

Dès lors, les bases de données B to B sont visées par le RGPD.

Je ne suis pas concerné par le RGPD car je suis une petite entreprise

RGPD s'applique à toute structure (indépendant, TPE, PME, multinationnale, ONG, administration, école, etc...) ayant un établissement dans l'Union européenne ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l'Union européenne.

Il n'y a pas de critère de taille d'entreprise, de lieu de stockage des données ou encore de secteur d'activité: toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par ce règlement.