GDPR : les 4 questions à se poser pour réussir sa mise en conformité

GDPR : les 4 questions à se poser pour réussir sa mise en conformité

La GDPR, « general data protection regulation» s’apprête à changer brutalement le droit de la vie privée en Europe. Elle a pour but de simplifier, d’harmoniser et de renforcer la protection des données personnelles au sein des Etats-Membres de l’Union Européenne (UE).
Le règlement donne le pouvoir d’imposer des sanctions financières allant de 10 à 20 millions d’euros, ou de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Entrant en vigueur le 25 mai 2018, la GDPR s’appliquera à toutes les entreprises de l’UE qui collectent, traitent et stockent des données personnelles ainsi qu’aux entreprises étrangères établies en dehors de l’UE qui traitent les données issues des activités sur le sol européen.

Le monde du voyage est de facto orienté « data ». Pour réaliser les prestations, les GDS, les agences de voyage et les outils SBT par exemple gardent dans leurs systèmes les données de réservation et de profils. La connaissance du client, basée sur ces données, est un actif majeur pour concevoir des offres compétitives, personnalisées et pour se démarquer de la concurrence.

Nous partageons ici les premières questions clés à se poser pour réussir votre mise en conformité.

1. Comment garantir la maîtrise des données personnelles ?

La réglementation renforce des dispositions fortes telles que le droit à l’effacement et le droit à la portabilité. Ces dispositions exigent que les organisations sachent où et comment sont stockées et traitées les données personnelles. Deux outils sont alors nécessaires pour répondre à ces principes : Le bilan « données personnelles » et la cartographie des données.

Réaliser un bilan « données personnelles » est une des premières pistes à suivre :

  • Quelles sont les données personnelles que vous stockez ?
  • Quels sont les chaines de traitement et de responsabilité des données ?
  • Quels sont les finalités des traitements ?

Élaborer une cartographie des données est seconde piste à suivre.

Il s’agit de construire une vision critique et globale des flux de données et de recenser l’emplacement des données.

Au-delà de la maitrise des données, la collecte, le stockage et le traitement doivent être justifiés. Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées. Le règlement impose d’obtenir le consentement explicite de l’usager ainsi qu’une transparence sur le traitement et l’utilisation des données personnelles à tels ou autres types de fins. Sauf si la collecte de données est une obligation légale pour fournir un service ou concerne les intérêts vitaux.

2. Comment garantir le droit à l’effacement des données ?

Le règlement renforce le droit à l’effacement : la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant. L’exception s’impose si les données sont nécessaires pour remplir les conditions et l’exécution d’un contrat ou pour répondre aux obligations légales, par exemple, aux contrôles fiscaux ou de sécurité.

Une question se pose donc : comment garantir une définition claire et un suivi précis sur l’emplacement des données, leurs flux et sur la chaîne de responsabilité dans le temps ?

Dès lors que les deux outils (bilan et cartographie) ont été réalisés, pour garantir la conformité dans le temps et réduire les risques associés, les données et les flux d’alimentation ont besoin d’être suivis et mis à jour dans les deux outils. Une fois que les données sont localisées, les logiques d’effacement et/ou d’anonymisation des données pourront être implémentées via des processus cibles dédiés.

3. Comment garantir la portabilité des données ?

La portabilité est un droit qui garantit la récupération de données personnelles dans un format structuré, couramment utilisé et lisible. A la demande de la personne concernée, le droit de portabilité permet de justifier le transfert des données personnelles d’un organisme à un autre, sous condition que le transfert soit techniquement possible (ce qui in fine est rarement possible dans le domaine du voyages).

Pour cela, les formats d’information utilisés doivent intégrer deux paramètres : la compatibilité et l’exploitabilité des informations extraites. Comment pourriez-vous extraire les données de vos systèmes d’information ?  Quels sont les protocoles utilisés ? Ce sont les premières questions à se poser afin de répondre à cette exigence.

En facilitant le partage de façon sécurisée et contrôlée, ce droit rend théoriquement la maîtrise des données personnelles aux usagers.

4. Comment adresser la problématique de profilage ?

Utilisé par les départements marketing, le profilage, un traitement automatisé de données personnelles, qui a pour objectif de décrire et prédire le comportement de consommateur, se met dans un cadre strict. A partir de l’entrée en vigueur de la GDPR toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.

Le règlement considère que le profilage permet de prendre de décisions sur une personne et d’impacter significativement la vie privée. Ainsi, il s’agit d’identifier, de répertorier et de cartographier toutes les techniques de traitements automatiques utilisées.

Bien que la mise en œuvre du GDPR ait un impact sur l’organisation, elle fixe un cadre clair pour avancer en confiance. En résumant, cela veut dire :

  • Identifier les données personnelles à votre disposition et savoir où elles se trouvent
  • Préparer le processus du consentement et définir un suivi des données personnelles
  • Déterminer les entités concernées et la feuille de route de mise en conformité
  • Déterminer le processus pour garantir le droit d’oubli (droit d’effacement) et de portabilité
  • Sensibiliser et communiquer sur les enjeux du GDPR auprès de vos collaborateurs et de vos clients

Pour vous guider dans la mise en pratique de nos conseils, nous avons une offre d’accompagnement en partenariat avec la BU Data. Pour en savoir plus, vous pouvez nous contacter ici et découvrir la BU Data d’Axys Consultants. Nous serons ravis de vous accompagner !

Cet article a été écrit par
GREGORY SACCOMANI