skip to Main Content

Le nouveau Règlement Général sur la Protection des Données Personnelles sera applicable dès le 25 mai 2018. Vous collectez des avis et les étudiez via un logiciel d’analyse du feedback client ? Vous devrez prochainement vous assurer que l’éditeur du logiciel vous aide à respecter les nouvelles obligations.

Quelques rappels génériques sur la RGPD

Qu’est-ce qu’une donnée à caractère personnel ?

Ce nouveau règlement européen protège les libertés et les droits fondamentaux des personnes, et particulièrement leur droit à la protection des données à caractère personnel. Les données à caractère personnel sont des informations concernant une personne identifiée ou identifiable. C’est souvent le recoupement de plusieurs informations qui permet d’identifier une personne. Un patronyme répandu ne permet pas de savoir de qui il s’agit, mais le recoupement entre un nom de famille et la ville de résidence peut le permettre. Ce type de données est souvent recueilli lors de la collecte du feedback client. Si vous menez une enquête strictement anonyme, vous n’êtes pas concerné par la RGPD, mais c’est se priver de métadonnées précieuses pour l’analyse de la Voix du Client. Pensez au bénéfice qu’elles apportent, notamment lors d’une enquête à chaud post-achat ou pour recontacter directement un client mécontent afin de lui proposer une solution. À noter que si l’enquête est envoyée à des sondés parce qu’ils sont présents dans une base de données clients, les deux fichiers communiquent ensemble et cela revient à relier les réponses de l’enquête à des données à caractère personnel. Le fichier de l’enquête est donc sous la réglementation de la RGPD.

De nouveaux droits et de nouveaux devoirs

À partir du 25 mai 2018, les personnes interrogées bénéficieront de nouveaux droits sur leurs données à caractère personnel : droit de rectification, de portabilité, de limitation du traitement… Et les entreprises auront de nouveaux devoirs sur la sécurisation de ces données. En qualité de “responsable du traitement”, elles devront s’assurer que les éditeurs des logiciels utilisés pour traiter les données sont en conformité avec la RGPD.

Le champ d’application territorial

Ce nouveau règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement, d’un responsable du traitement ou d’un sous-traitant de l’Union Européenne, que les données proviennent ou non de l’UE. Pour une marque européenne également présente sur d’autres continents et qui y mène des enquêtes de satisfaction, cela implique qu’elle doit donner les mêmes droits à l’ensemble des clients interrogés, qu’ils soient français ou américains.

La coopération entre votre entreprise et l’éditeur du logiciel

Responsable de traitement et sous-traitant

L’entreprise qui bénéficie des résultats de l’analyse des avis clients grâce à l’utilisation d’un logiciel est “responsable du traitement” car elle détermine les finalités et les moyens du traitement. L’éditeur est quant à lui un sous-traitant et sa responsabilité peut également être engagée. Il doit pouvoir vous donner des “garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement [RGPD] et garantisse la protection des droits de la personne concernée”.

Les obligations de l’éditeur de votre logiciel

Pour vous aider à respecter la nouvelle réglementation, l’éditeur du logiciel a également des obligations.
L’obligation de transparence et de traçabilité :

  • Vous devez conjointement mettre en place un contrat précisant les obligations respectives de votre entreprise et de votre éditeur.
  • L’éditeur doit recenser par écrit vos instructions concernant le traitement de vos données. Une révision régulière de ces instructions devra être effectuée.
  • Il doit vous demander votre consentement par écrit s’il souhaite faire appel lui aussi à un sous-traitant.
  • Il doit tenir un registre décrivant le traitement qu’il effectue sur vos données.

La protection des données dès la conception du logiciel : l’éditeur doit pouvoir vous présenter les garanties nécessaires afin que le traitement de vos données clients soit en conformité avec la RGPD. Le logiciel doit être réalisé de façon telle qu’il protège les données, ne traiter que les données nécessaires et seulement dans la finalité que vous avez exprimée. L’éditeur doit être vigilant sur la durée de conservation des données et sur le personnel qui y a accès. Par exemple, vous devez pouvoir anonymiser les avis clients si cela est nécessaire. Le logiciel doit vous permettre de supprimer des données importées et de gérer les droits d’accès de vos employés, donnée par donnée.
La garantie de sécurité des données traitées :

  • Les employés de l’éditeur qui seront amenés à travailler sur les données devront remplir une obligation de confidentialité.
  • L’éditeur devra prendre toutes les mesures nécessaires à la sécurité des données et, en cas de violation, aura le premier devoir d’avertir “l’autorité de contrôle compétente” (soit la CNIL), le second d’avertir le responsable de traitement.
  • À la fin de l’abonnement au logiciel, l’éditeur devra supprimer toutes les données ou vous les restituer.

L’obligation d’assistance, d’alerte et de conseil :

  • Si l’une de vos demandes s’avérerait contraire à la RGPD, l’éditeur est dans l’obligation de vous prévenir pour vous éviter de tomber dans un écueil.
  • Lorsque l’un de vos clients souhaite exercer ses droits sur ses données personnelles, votre prestataire doit vous aider à répondre à sa demande.
  • De manière plus générale, il doit vous aider “à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.”

Les nouveaux outils de coopération

L’éditeur de votre logiciel a le devoir de vous aider dans votre démarche de mise en conformité de vos traitements de données. Cela passe par la mise en place de nouveaux outils et de process.

Le contrat

Les contrats signés avec les sous-traitants qui travaillent sur les données à caractère personnel seront à revoir. Cela implique de facto un nouveau contrat avec l’éditeur de votre logiciel d’analyse du feedback client. Ce contrat devra expliciter la finalité et la durée du traitement, le type de données à caractère personnel transférées et les catégories de personnes concernées. Les clauses obligatoires sont explicitées dans l’article 28.8 du règlement européen.

Le registre

L’éditeur de votre logiciel doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte de ses clients. Il doit donc y notifier son action sur vos données clients, s’il y a transfert de ces données hors UE et une description générale des mesures de sécurité techniques et organisationnelles mises en place.

L’analyse d’impact

En tant que responsable de traitement, vous allez probablement devoir mener une analyse d’impact autour de 3 types de risques : la consultation illicite, l’extraction illicite et la modification illicite des données. Il est fortement conseillé de faire une analyse d’impact systématiquement mais ce n’est pas toujours obligatoire. L’analyse d’impact est obligatoire dans ces 3 cas :

  • “L’évaluation systématique et approfondie d’aspects personnels (…) sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique”, par exemple la segmentation marketing.
  • Le “traitement à grande échelle de données à caractère personnel”, ce qui touche  le domaine de la Big Data.
  • “La surveillance à grande échelle de zones accessibles au public.”

Votre éditeur ne doit pas créer de son côté le document, mais il doit vous aider dans la réalisation de cette analyse et doit vous fournir toute l’information nécessaire à sa rédaction. Cette assistance doit être prévue dans le contrat précédemment cité.
Vous trouverez également des informations plus détaillées sur l’implication de vos prestataires dans la mise en place de la RGPD au sein de votre entreprise dans le guide de la CNIL destiné aux sous-traitants. Dictanova travaille actuellement à la mise en place de ces nouveaux process et outils pour permettre à ses utilisateurs d’analyser le feedback client grâce à son logiciel tout en étant conforme avec la réglementation, et ce dès la mise en application en mai 2018.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back To Top