Consultante éditoriale, Sophie Lecomte aide les PME à attirer plus de clients et augmenter leurs revenus sur Internet.
D’ici quelques semaines, toutes les entreprises et organismes privés comme publics, des plus petits aux multinationales, devront respecter le RGPD, Règlement Européen sur la Protection des Données Personnelles.
Concrètement, il s’agit de l’un des dispositifs les plus avancés au monde en matière de protection des données de la personne.
En tant que restaurateur, vous êtes bien entendu concerné : fichier clients, données reçues par e-mail ou notées à la suite d’une commande téléphonique, données analytiques, statistiques et comptes clients sur votre site Web, informations sur vos fournisseurs, données obtenues grâce aux commandes en ligne…
Dès lors que vous récoltez des données personnelles sur vos prospects, fournisseurs et clients, vous devez vous assurer d’être en règle avec ce qu’exige le RGPD.
Le règlement apporte une autre nouveauté : désormais, les sous-traitants sont aussi responsables des points exigés.
Le RGPD : dates et champ d’action
Ce règlement vise à protéger tous les ressortissants de l’Union Européenne.
Cela signifie que même si une entreprise n’est pas installée sur le territoire européen, elle est tenue de s’y soumettre dès lors qu’elle recueille ou traite de données sur des ressortissants de l’UE (en d’autres termes : les GAFA y sont soumis).
Le Règlement Européen sur la Protection des Données Personnelles entrera en vigueur le 25 mai 2018. Les organismes et entreprises auront jusqu’en 2020 pour s’y adapter.
En matière de sanctions, le RGPD va plus loin que les lois existantes, puisque le montant de ces dernières pourra atteindre 4% du chiffre d’affaires annuel mondial de la société pénalisée.
Données personnelles : leur définition dans le cadre du RGPD ?
Le RGPD est précis sur la manière de définir ce qu’est une donnée personnelle.
Il s’agit de toute donnée permettant d’identifier une personne physique de manière indirecte (informations sur la naissance, e-mail, adresse IP, empreinte, téléphone, etc.) ou directe (prénom, nom, photographie, etc.).
Le point à bien retenir est que cela ne concerne pas que les clients de votre restaurant, mais aussi :
- Les données sur vos fournisseurs, producteurs partenaires, etc.
- Vos prospects (B2B et B2C)
- Vos salariés
- Les serveurs en extra ou le staff intérimaire…
7 grands principes RGPD à connaître
- Le consentement
Le RGPD va plus loin que la simple notion de « consentement » en précisant qu’il s’agit d’un consentement éclairé. Cela signifie que l’utilisateur de votre site Web, un employé potentiel ou tout client sur lequel vous avez des informations doit pouvoir donner son accord ou s’opposer au traitement des données qui le concernent de manière facile, volontaire et sans ambiguïté.
Par exemple, si vous avez un pop-up proposant l’inscription à la newsletter de votre restaurant, il sera impératif d’indiquer clairement ce que vous comptez faire de l’e-mail, combien de temps vous allez utiliser ce type de données et éventuellement si elles seront partagées avec des tiers.
- La limitation du traitement des données, tant au niveau des finalités que de leur conservation
Ce principe de limitation est double : ne collecter des données qu’à des fins précises et clairement annoncées, et ne pas garder de données personnelles au-delà de la période nécessaire, au regard de leur objectif initial.
Par exemple, si vous disposez de données sur des employés saisonniers partis s’installer à l’autre bout du monde, ou des données clients liés à un événement spécifique, il faudra se poser la question de leur effacement (ou de demander l’accord pour les exploiter dans un autre cadre).
Enfin, la limitation du traitement se pose aussi du côté des utilisateurs, qui peuvent demander (et obtenir) une limitation dans le traitement des données qui les concernent – on revient ici à la question du consentement éclairé.
- La transparence
Tout ou presque est dans le nom : les données recueillies doivent être traités de manière transparente et loyale. Toute l’information doit être disponible en des termes compréhensibles par le prospect, le client ou l’employé. Le jargon juridique ne doit pas empêcher la compréhension des droits de l’utilisateur, tant au niveau du consentement qu’au moment d’échanges ultérieurs.
Le RGPD devrait donc aussi éliminer les clauses obscures dissimulées au fond d’une page Web dédiée aux clauses d’utilisation…
- L’exactitude des données
Les données sont amenées à évoluer au fur et à mesure de la vie d’une personne. Cette dernière, en tant que ressortissant(e) européen(ne), a le droit à un traitement à jour, régulier et exact des données qui le concernent. Et vous aussi, rappelons-le !
- Le « privacy by design«
Désormais, la protection de la vie privée et des données personnelles devra être pensée en amont de la conception d’une nouvelle solution, d’un produit ou service. Cela peut impliquer par exemple de créer un logiciel qui ne nécessite pas de transfert de données.
Le concept de « privacy by design » va notamment passer par la pseudonymisation des données, leur chiffrement ainsi que la minimisation par défaut de leur collecte.
- La portabilité des données
S’il s’agit d’un principe clé du RGPD, les restaurateurs seront moins concernés par ce point, dans la mesure où il s’agit du droit d’un utilisateur à récupérer les données qui le concernent pour les transmettre facilement à une autre société (par exemple). Cela implique d’être en mesure de fournir des données lisibles et exploitables par la personne qui les reçoit.
Cela va permettre de rendre la concurrence plus fluide, notamment dans le secteur bancaire ou encore des Télécoms.
- L‘accountability, ou principe de responsabilité
Concrètement, cela signifie que l’organisme qui recueille des données (tel que votre restaurant) doit avoir mis en place un système pour assurer la protection de ces données, et pouvoir le démontrer si on le lui demande. Il peut donc être intéressant, à votre échelle, de documenter (simplement) la manière dont vous protégez les données sur vos clients, fournisseurs et collaborateurs.
A cette capacité à être responsable de la protection des données est lié un autre aspect: celui d’être en mesure de notifier les personnes concernées et les autorités compétentes en cas de faille de sécurité.
Enfin, pour les grosses chaînes de restaurants qui traitent de volumes importants de données, d’autres obligations seront imposées, telle que la nomination d’un DPO (délégué à la protection des données). Les restaurateurs indépendants ne sont pas concernés par cette mesure.
Quels sont les droits de vos clients ?
Concrètement, les mêmes que les vôtres face à toute entreprise, site Web, association ou organisme qui détient des données sur vous : un droit d’accès, de rectification et de droit à l’oubli (auxquels la CNIL nous avait déjà préparés au niveau français), un droit de notification, un droit à la limitation, un droit à la portabilité des données et un droit d’opposition.
Si un client, prospect ou même employé vous demande de récupérer les données le concernant dans un format lisible, de tout effacer sur lui ou d’être averti en cas de transmission de ces données, vous devrez être en mesure d’accéder à ces requêtes.
RGPD et restaurateurs : comment en faire une opportunité (plutôt qu’un drame) ?
Le RGPD peut sembler contraignant, voire intimidant à implémenter au niveau d’un restaurant, mais il permet en réalité de renforcer la confiance du consommateur vis-à-vis d’une marque, d’une entreprise ou d’un site Internet, à l’image de votre restaurant.
En jouant le jeu de la transparence et d’un traitement sécurisé et équitable des données sur vos clients, prospects, employés ou encore fournisseurs, vous renforcez votre image de confiance et d’honnêteté. De quoi booster votre présence digitale à moyen et long terme, ce facteur étant important en matière d’e-commerce notamment !
Pour aller plus loin, vous pouvez consulter le règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 dans son intégralité à cette adresse.
Commentaires