Les 5 erreurs : le bétisier du RGPD

Laisser une réponse

Le bêtisier du gdpr en 5 formules !

Le Réglement Européen sur la Protection des données personnelles fêtera sa première année en mai 2019 sur la mise en application définitive pour tous nos citoyens européens.

Un an après, quel bilan ? Je vous propose ici le petit bétisier du RGPD ( GDPR ).

Temps de lecture : 5 minutes. Vous ne le regretterez pas !

Pour ceux qui méconnaissent le GDPR/RGPD, je vous propose un petit billet ici : La protection des données personnelles.

Voilà les 5 choses que j’ai entendu à propos du gdpr, au cours de mon travail sur le sujet.

Par méconnaissance ou par refus de vouloir appliquer le texte européen du gdpr, ces pépites fournissent un bon indicateur de l’effort de pédagogie qu’il faut faire pour éclairer chacun.

Derrière ces petites formules, je vous en propose une lecture à la vue de ce que le gdpr indique.

1. « Je ne collecte pas de données personnelles juste le nom, le téléphone et l’adresse ».

Avec bienveillance, la protection des données personnelles est perçue par les non-initiés du RGPD sur l’aspect dangereux et intrusif sur la vie des citoyens. C’est louable, en réfléchissant aux conséquences pour le citoyen.

Alors dans les données personnelles qu’on collecte, on peut penser à la vie intime du citoyen ( sa religion, ses préférences sexuelles, son appartenance religieuse ..).

Alors le nom et données de contact ne semblent pas des données personnelles. Certes, elles ne sont pas sensibles. Et tout le monde peut les retrouver sur un annuaire téléphonique…

Aussi, pour le commun des mortel, même concerné par la protection des données personnelles, les informations d’identité ne semblent pas des données personnelles.

Pourtant, si une entreprise collecte l’ensemble du nom, prénom et email, Il s’agit bien de données personnelles.

En cas de vol de données ( qu’on appelle data breach), des hakers peu scrupuleux peuvent revendre ces données pour un usage frauduleux. Par des techniques de fishing.

D’autre part, la collecte de données personnelles est soumise à un consentement sur ce qu’on va faire des données personnelles. C’est différent de collecter un email pour informer du suivi d’une commande sur internet et pour envoyer des offres et promotions.

Dans les bonnes pratiques sur les études d’impact relatives aux données personnelles, il est donc conseillé de ne jamais poser la question à vos interlocuteurs : « collectez-vous des données à caractère personnel ? » mais plutôt « Que collectez-vous ? ». Sinon, vous risquiez de louper ces fameuses collectes.

2. « Le client est d’accord pour lui envoyer des offres de promo par mail. C’est lui qui m’a donné verbalement son email ».

Demander des données personnelles à un client, ce n’est pas la porte ouverte à l’utiliser pour tout et n’importe quoi.

Par exemple,  vous demandez à votre ami sa carte pour aller payer le café au comptoir. Je le fais sans contact avec la carte bancaire. Mais j’ai noté le numéro de carte pour les prochaines fois quand votre ami vous doit de l’argent. C’est un ami, il sera d’accord ! Pensez-vous. Mais le feriez-vous ? Evidemment, non. Alors si même avec ses amis, on ne pratique pas ce genre de comportement, pourquoi une entreprise le ferait avec ses clients. Même avec cette « fameuse » bienveillance » ?

Le RGPD stipule de demander un accord explicite. Et surtout en expliquant ce que vous allez faire de ses données qu’il vous confie.

C’est simple, transparent. Mais beaucoup pensent pour les autres. En pensant qu’évidemment on fait cela sans faire de mal…

3. « Facebook et Google ne suivent pas. Ce sont des grandes boites, ils doivent savoir ».

Pour la petite entreprise, se mettre en conformité avec le règlement européen est compliqué. Cela nécessite connaissance et surtout un budget.

Alors quand dans les médias, les grands géants américains n’ont que faire de la protection des données, cela donne à réfléchir ? Pourquoi moi ?

D’une part avec avec une amende record de facebook de 2 milliards, en négociation avec la justice sur de mauvaises pratiques, aux États Unis, no way. Le titre facebook a monté en bourse malgré cette pénalité. Le montant de l’amende est déjà intégré dans les comptes de facebook. Une larme de dollars  face aux milliards de bénéfices.

Google a également subi une amende de l’Europe, près de 50 millions d’euros.

Si les géants américains ne donnent pas l’exemple, ce n’est pas la raison pour ne pas se mettre en conformité. Même dans la petite ou grande entreprise française.

Les amendes faites aux GAFAs montrent que celles-ci ne respectent pas la loi. Et donc, ne pas suivre leur mauvais exemple !

Car respecter la loi, outre les amendes potentielles, c’est préparer l’avenir. Que ne font pas les gafas déjà empêtrés dans les conséquences désastreuses de leur politique minimaliste de la protection des données personnelles.

4. « le gdpr ? On a commencé à le mettre en place, et on expliquera à la CNIL que c’est compliqué, mais qu’on a pris le sujet »

La fameuse date de mise en application du règlement européen est le 25 mai 2018.

Rappelons que le règlement européen a été promulgué en 2016 et que la date de mai 2018 était une « deadline ».

Vue l’importance de la. Mise en place, les régulateurs comme la CNIL en France a laissé une latence. Il s’agissait au moins de prouver que l’entreprise se mettait en conformité. Avec une roadmap précise.

Un an après, l’argument « c’est en cours «  n’a plus lieu d’être.

D’autant que pour certains sujets inscrits dans le gdpr, ils étaient déjà là il y a 40 ans à la création de la CNIl, en France.

Par exemple, la suppression régulière des données client dont on a plus l’utilité ; parce que le client n’a plus d’activité vis à vis de l’entreprise. La stratégie de suppression des données personnelles n’est pas nouvelle.

De même pour les droits de rectification par tout citoyen de ses données.

 

5. « C’est bon j’ai mis la bannière de cookie. Y a qu’à cliquer ».

La plupart des sites internet propose le fameux cookie: l’acceptation de pouvoir utiliser les données de l’internaute.

Le cookie fondamental est celui qui permet à tout internaute de naviguer sur le site. Ce qu’on appelle le cookie technique. Il existe d’autres cookies, notamment celui de pouvoir de proposer de la publicité personnalisée à l’internaute.

Mettre un bandeau « j’accepte tout et n’importe quoi » évidement n’est pas « GDPR ». L’internaute doit avoir le choix de ce qu’on va faire de ses données ( et pouvoir refuser par exemple d’être sollicité pour des campagnes marketing).

Pire, certains sites proposent un bandeau « j’accepte les conditions relatives au GDPR ». Un non sens, les informations au client doivent facilement être comprises par l’internaute. La plupart des personnes ne connaissent pas ce règlement. Et ce genre de pratique est évidemment à proscrire. Elle va à l’encontre même de la philosophie du règlement européen. Qui propose d’être transparent, clair et simple.

La CNIL, en France, indique d’ailleurs que mettre en place des cookies ( via des « Consent Management Plateform » vendues aux entreprises ) n’implique pas d’être conforme à la réglementation.

Lire le règlement européen, c’est assez lisible. Il ne faut pas être juriste.

Il s’agit d’un règlement de « bon sens ».

Et à sa lecture, il est plus aisé de trouver la bonne ligne de conduite. Même si l’implémentation technique est compliquée.

A suivre !

Et retrouvez régulièrement les articles autour du sujet ici : Le GDPR en action !

 

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.