RGPD : Chacun doit jouer une partition de concert… et sans fausse note
Les obligations principales du marketing concernent la clarté dans la finalité de la collecte des données clients, avec un souci de totale transparence des données collectées et la mise à disposition de capacités de mise à jour par le propriétaire des données. On peut noter aussi l’obligation de destruction des données de prospection au-delà de 3 ans.
L’obtention du consentement (Opt-in) préalable à l’adressage de messages promotionnels, est exigé au même titre que la mise à disposition d’une capacité à répudier le consentement (Opt-out) – (https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique). Sur le site web de l’entreprise, la politique de cookies appliquée et les mentions légales du site doivent être documentés avec la plus grande clarté. Une communication d’entreprise maîtrisée des messages portés est dorénavant, et plus que jamais, responsable de la gestion précise des droits des destinataires.
Si le marketing et la communication génèrent des opportunités qualifiées, on peut penser réaliser des ventes et engager dès lors, un dialogue en profondeur avec les représentants du client. Cette relation peut conduire dans le Service à des contrats pluriannuels, au cours desquels les échanges contribuent à construire de solides relations humaines.
L’accompagnement des employés dans leurs comportements est essentiel pour assurer la confidentialité des données à caractère personnel. Il est mené par des formations et des campagnes de sensibilisation, le respect d’une charte informatique (https://www.cnil.fr/fr/securite-informatique-sensibiliser-les-utilisateurs) et la mise en œuvre de bonnes pratiques à respecter. La direction des RH regroupe de nombreuses dispositions au sein du Code de Conduite des employés.
Il est généralement attribué au département juridique la conduite des opérations de documentation des registres de traitement de données, et des Mesures Techniques et Organisationnelles de Protection. Il leur est aussi confié la mise à jour de tous les contrats commerciaux pour clarifier la prise en compte de la conformité RGPD entre le client et son fournisseur, ou prestataire. Cela offre notamment l’occasion de clarifier les contrats de prestations si cela est requis.
Les services financiers de l’entreprise font circuler les documents et conservent des pièces administratives obligatoires pour la gestion de la conformité. Ils doivent impérativement contrôler et tracer la circulation des documents. L’archivage électronique, dans le respect des durées de conservation (https://www.service-public.fr/professionnels-entreprises/vosdroits/F10029), sécurise les données à caractère personnel en limitant l’accès aux informations.
Le service informatique de l’entreprise est, à l’évidence, un risque majeur pour la sécurité des données à caractère personnel et il a souvent une responsabilité marquée dans la notification des violations de données. Pour sécuriser le système d’information, la certification ISMS (Information Security Management System - https://certification.afnor.org/en/numerique/information-security-management-systems-iso-27001) à l’aune de la norme ISO 27001 est essentielle. Elle permet notamment une parfaite gestion des incidents de sécurité.
La gestion des services rendus, d’entreprise à entreprise ou d’entreprise à consommateurs, méritent une attention toute particulière. La description des instructions du client et des traitements réalisés est une exigence forte de la conformité au RGPD. Il convient de revisiter les conventions de services afin d’y apporter toutes les précisions utiles à la prise en compte de la réalité des opérations engagées. Il peut aussi s’avérer nécessaire d’arrêter certaines prestations n’offrant pas toutes les garanties.
Si le premier niveau de support et de maintenance est généralement mené par l’entreprise utilisatrice des logiciels ou des matériels utiles aux traitements de l’entreprise, il est fréquent de faire appel à des tiers pour les niveaux 2 et 3 de maintenance. Il s’agit alors de revenir aux principes des contrats de services et parfois d’ajouter des principes spécifiques en raison du caractère opérationnel de ces dispositifs. A titre d’exemple, lorsqu’un constructeur de multifonctions, comme Ricoh, fait intervenir ses techniciens sur un site client, son intervenant est formé à des comportements clés. Il lui est notamment interdit de démarrer une opération de maintenance s’il observe qu’un document est resté abandonné sur un équipement.