Comment préparer votre organisation au RGPD : 6 conseils pratiques qui fonctionnent

Le 25 mai 2018 — le jour où le GDPR entre officiellement en vigueur — approche à grands pas. L'une des réglementations les plus strictes à ce jour, le GDPR vise à garantir la collecte, le traitement et le stockage sécurisés et légaux des données personnelles des citoyens de l'UE. Il n'est donc pas étonnant que la FUD (peur, incertitude et doute) croît rapidement.

Pour vous aider à vous préparer au GDPR et éviter la panique lors de l'audit de conformité au GDPR, nous avons contacté plusieurs entreprises et posé la question suivante : Quelles mesures votre organisation a-t-elle prises pour se conformer au GDPR et quels conseils pouvez-vous donner à ceux qui commencent tout juste ? Nous avons reçu de nombreuses réponses utiles et même surprenantes, et nous sommes impatients de partager les six meilleures.

Jose Romero, Stratège Numérique Senior

Overit, une agence de marketing numérique à service complet (Albany, New York, États-Unis)

Le RGPD a des implications majeures pour notre entreprise ainsi que pour nos clients, dont beaucoup ont des entreprises internationales qui dépendent de communications fréquentes avec des prospects, des clients et d'autres parties prenantes clés dans l'UE. Le consentement est important, donc nous avons commencé à parler à nos clients et à les éduquer sur la manière d'obtenir le consentement approprié des utilisateurs dont ils conservent les données ou prévoient de contacter dans un avenir proche.

En interne, notre équipe a commencé à se préparer en passant au peigne fin nos listes de contacts pour purger tout enregistrement d'individus avec lesquels nous ne maintenons plus de relations et mettre à jour les dossiers de ceux qui ont changé de poste et sont toujours intéressés à recevoir de nos nouvelles. Cela inclut, mais sans s'y limiter, les prospects froids, les prospects perdus, les contacts non aboutis, les adresses non engagées et les listes de médias.

Nous avons également commencé le processus de révision de notre politique de confidentialité sur notre site web et de réexamen de la manière dont nous collectons les adresses, et nous continuons à travailler à l'amélioration de nos communications globales avec les parties prenantes, tant pour les contacts nationaux qu'internationaux.

Ce n'est pas la première fois que nous devons renforcer nos pratiques de conformité internationale. Par le passé, nous avons dû faire face à la CASL (Canadian Anti-Spam Law) et prendre des précautions à cet égard, et je suis sûr que ce ne sera pas la dernière fois. En règle générale, les changements de législation à l'étranger ont tendance à donner le ton pour l'industrie, donc notre intention n'est pas seulement de respecter la CASL ou le GDPR, mais de garantir que notre marque est responsable et proactivement à la recherche de changements potentiels dans la législation internationale sur le marketing et la vie privée.

Karolina Rut, spécialiste en communication

Sparkbit, une entreprise proposant de l'externalisation du développement logiciel et des services de conseil en informatique (Varsovie, Pologne)

L'entrée en vigueur du RGPD apporte d'énormes changements pour les PME comme la nôtre. En premier lieu, nous avons consulté un avocat spécialisé dans la protection des données personnelles afin de mieux comprendre ce que le RGPD implique et comment notre entreprise devrait procéder pour se conformer. Ensuite, nous avons commencé à analyser quelles données nous possédons, qui y a accès, comment elles sont protégées et quels sont les risques potentiels de compromission des données.

Nous avons préparé une liste très détaillée de chaque document contenant des données sensibles et spécifié comment il est stocké (copie imprimée, sur un disque d'ordinateur, dans le cloud, etc.). Notre objectif est maintenant de créer des règles pour la manipulation de chaque type de données sensibles, telles que qui peut accéder à quel type de données, où elles doivent être stockées et pendant combien de temps, quels documents doivent être imprimés et verrouillés, quels documents peuvent avoir une version numérique, etc. Nous préparons également un accord de confidentialité spécifique pour nos employés.

En ce moment, nous nous sentons plutôt prêts pour l'entrée en vigueur du RGPD. La dernière chose qu'il nous reste à faire est de créer une liste des risques potentiels pour notre organisation et nos données, ainsi que leur impact et les recommandations de contrôle, afin de pouvoir les éviter.

Ruth Carter, Propriétaire/Avocate

Carter Law Firm, la société mère pour les activités de conférencière professionnelle et d'écrivaine de Ruth Carter, avocate agréée en Arizona et autorité en matière de propriété intellectuelle, de contrats commerciaux et de droit de l'internet (Phoenix, Arizona, É.-U.)

Je suis un avocat spécialisé dans l'internet qui conseille ses clients sur la GDPR compliance, et je me prépare pour le GDPR pour ma propre entreprise. En plus de mettre à jour la politique de confidentialité de l'entreprise, j'ai ajouté une double confirmation à notre liste d'emails et je demande à ma liste d'emails actuelle de se réinscrire. Toute personne qui ne se réinscrit pas que je ne connais pas et dont je ne peux pas vérifier la résidence sera retirée de la liste d'emails.

Voici mes principaux conseils pour les entreprises travaillant sur la conformité :

• Lisez attentivement la loi vous-même, ou consultez un avocat ou un prestataire de confiance.
• Utilisez le consentement double opt-in pour votre liste d'e-mails.
• Ne rajoutez personne à la liste de diffusion sans son consentement explicite.
• Soyez transparent concernant les données que vous collectez et la manière dont elles sont utilisées.
• Ne collectez que les données dont vous avez besoin.
• N'autorisez l'accès aux employés et aux contractants que sur la base du besoin de savoir.
• Err on the side of caution; the fine for violating this law is millions of dollars.

Hannah Whitehouse, Content Marketing Manager

Bouncezap, creator of a lead-generation marketing tool used by businesses to increase their conversion rate (London, U.K.)

As a SaaS provider that works with different businesses, we know that protecting our customers’ information is vital. We have recently been focused on rewriting our privacy policy so that our users, and particularly our clients, know how their information is used and that their data is safe. We run a lead-generation tool that provides analytics on our users’ campaigns; therefore, GDPR is even more important to us: Our users will know their information is secure and will not be used in our promotional materials without their express permission.

Over the next two months, we will be reaching out personally to users to inform them of our policy, in addition to clearly displaying new data policy on the website, so that we are protected regardless of which page visitors land on.

I would advise companies worried about GDPR compliance to start now. Ask yourself, do you have a privacy policy? Is it prominent on your site? Is it vague? It’s important to remember that your privacy policy and terms of use are just as much to protect you as to protect your users. Finally, use the plethora of GDPR-related sources online to make sure there is nothing you are missing. The last thing your business needs is to be rushing around right before the deadline still unprotected.

Ian McClarty, President

PhoenixNAP, a global IT services provider offering progressive infrastructure-as-a-service solutions from locations worldwide (Phoenix, Arizona, U.S.)

If there is any single piece of advice I could give to those who will be affected, it is “Don’t panic.” We saw the regulation as a looming threat we would have to scramble to implement. However, the GDPR is intended to protect the personal data of EU citizens, which is a worthy endeavor. Organizations that show that they are putting forth their best efforts to put personal data protection measures in place do not have to worry about the regulations affecting their day-to-day operations or revenue.

Many requirements are far from clear, and organizations have to use their best judgment when deciding on an implementation plan. Therefore, to do your best to comply with the GDPR, and do not be overconfident in your readiness for it.

Any organization looking to be prepared must take the minimum following steps:

• Step 1: Ensure that leadership is on board and driving the change. Any effort to implement the policies and procedures needed for compliance requires buy-in of all C-level executives and the expectation that these changes will impact all teams at all levels.
• Step 2: Conduct a thorough data analysis. Look for all personal data stored in every system everywhere. This is not a small effort and may take months.
• Step 3: Determine the basis for consent of all data. Once you know what data you have, figure out why you store it in the first place. This is not just an exercise to justify why you “want” to store data. Instead, this step ensures you have a legal, justifiable reason to keep that data.
• Step 4: Decide on a retention policy. You need to determine how long to retain the data, and what to do with it (delete it, archive it or anonymize it) once you no longer need it or can no longer legally keep it.
• Step 5: Train staff. While training your entire team is beneficial, initially, you will want to focus on front-line staff who field requests from customers. Next, train back-end staff who manage and maintain the systems and software where the personal data is stored, and technical staff tasked with designing, architecting and building new systems and software that needs to follow the data policies.

Sophie Miles, CEO and Co-founder

QuotesAdvisor.com, a company offering free comparison between personal loans, mortgage credits, pledge credits, credit cards, debit cards and car insurance (Torino, Italy)

We have decided not to ask our users for personal information. Although this choice means losing ground with respect to marketing tools, such as customer loyalty and CRM, we made some calculations and concluded that it would take 26% more funding to change our data storage units and the website to align them with GDPR requirements, rather than just update our website and no longer collect personal data.

Specifically, we decided to remove the entry forms for basic identity information such as name, address and ID numbers. Therefore, we can focus our efforts on the database of our clients, which is much smaller and vital for our business.

Our recommendation for those who have just started is to focus on the most important database. We used to have information about everything, but we discovered that we used only a fraction of it.

Final thoughts

There is no universal formula for achieving GDPR compliance. However, if you prepare by determining what data you have and what you actually need, and establishing proper policies, you can quit panicking — you will not just survive in the GDPR era, but actually benefit from it.