Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) arrive dans moins de 100 jours. L’occasion pour nous de revenir sur les grands changements induits par ledit règlement dans le monde des organismes de formation.
Qui est concerné par le RGPD?
Nous en avions déjà parlé l’an dernier. Tout organisme travaillant avec des données à caractère personnel propres à des citoyens de l’Union Européenne est concerné par le règlement. J’imagine que la plupart d’entre vous travaillent avec ces citoyens français, donc… vos clients sont concernés ;).
Quelles données sont concernées ?
Le règlement s’attache à renforcer la protection des données personnelles, il est donc question de tout ce qui pourrait, directement ou indirectement, permettre d’identification d’une personne. Les organismes de formation sont amenés à traiter de très nombreuses données :
- Nom, prénom
- Genre
- Date de naissance dans certains cas
- Adresse e-mail
- Numéro de téléphone
- Evaluations des savoirs (quiz)
- Questionnaires de satisfaction
- Poste occupé (et généralement entreprise)
- Avis et commentaires laissés à l’issue de la formation
- …
Rajoutons à cela l’aspect communication de l’organisme de formation : si vous disposez d’un site internet, que vous mettez à disposition des contenus premium ou autres choses, vous disposez potentiellement de bien plus d’informations à caractère personnel, comme l’adresse IP de vos visiteurs, les données collectées par les plugins de votre site et bien d’autres choses encore.
Ce qui change avec le RGPD ?
Fondamentalement, le règlement change le fonctionnement des entreprises en matière de traitement des données à caractère personnel. En France, chaque exploitation et traitement de données fait l’objet d’une déclaration préalable à l’autorité compétence, la CNIL. Avec l’arrivée du RGPD, ces déclarations sont amenées à disparaître, au profit d’un contrôle accru et confié à l’entreprise… Dit autrement, c’est une forme de responsabilisation de la protection des données que les citoyens acceptent de vous confier.
L’acceptation
Une des pierres angulaires du règlement, si ce n’est la plus importante, concerne le consentement des utilisateurs à l’exploitation de leurs données personnelles. Ce consentement doit se faire dans une finalité de traitement et une seule.
Prenons un exemple parlant : le téléchargement d’un livre blanc. Si vous proposez à vos clients le téléchargement d’un livre blanc, vous ne pouvez pas pour autant les solliciter par la suite, via de nombreux mails à vocation commerciale. Terminé, donc, les inscriptions plus ou moins forcées à des listes de diffusions.
Le cas présenté expose deux finalités : une consistant à télécharger un livre blanc et l’autre consistant à s’inscrire sur une liste de diffusion d’e-mails. Le consentement d’une finalité (le téléchargement dudit livre) ne doit pas entraîner la souscription à la liste de diffusion.
Eh oui, vous l’aurez sans doute compris, de nombreuses pratiques vont changer.
Le fonctionnement des organismes menacé ?
A la lecture du règlement, on peut se dire que les contraintes imposées vont obligatoirement « tuer » toute tentative de développement. En réalité, il n’en est rien. Vous devez voir le RGPD comme une opportunité de regagner la confiance des internautes : en étant plus respectueux des données de ces derniers, vous restaurez la confiance, bien trop souvent perdue lorsqu’il s’agit d’exploiter des données personnelles.
Préparez-vous, vous avez jusqu’au 25 mai 2018 !