Digital, RGPD, CNIL, MOOC

La Cnil lance un MOOC en ligne sur le RGPD

La Cnil ouvre son MOOC : "L'Atelier RGPD". Cette formation en ligne sur la règlementation générale sur la protection des données, ouverte aux professionnels, leur propose de découvrir ou mieux appréhender le RGPD, mais aussi d'initier leur mise en conformité. 

"L'atelier RGPD". Tel est le nom de la formation en ligne (MOOC) proposée par la Cnil aux professionnels afin de les aider à mieux appréhender le règlement général sur la protection des données personnelles entré en vigueur le 25 mai 2018. Ce MOOC est susceptible d'aider les marques, si ce n'est déjà fait, à commencer leur mise en conformité. Celui-ci s'adresse principalement au Délégués à la Protection des données (DPO), indique la Cnil, mais aussi aux profils "curieux". 

Bonne nouvelle : la formation est gratuite et ouverte jusqu'au mois de septembre 2021 (avec une mise à jour régulière du contenu), après la création d'un compte sur un site dédié. Une attestation de suivi sera délivrée dans le Mooc aux participants ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module. Il ne s'agit pas d'un diplôme ou d'une certification. 

Tout sur le RGPD en 4 modules

Le MOOC, élaboré par les juristes et experts de la CNIL, est structuré en 4 modules d'une durée moyenne de 5 heures - et composé de vidéos, de textes, de cas concrets, mais aussi de quiz et d'évaluations. La formation débute par une session sur le RGPD et ses notions clés (et notamment, à qui s'applique le RGPD ?) suivi d'un second module sur les principes de la protection des données (finalité et licéité du traitement, minimisation des données, conservation limitée des données, encadrement des transferts de données hors de l'UE, notamment). Le module 3 traite des responsabilités des acteurs(partage des responsabilités, responsabilité spécifique des sous-traitants, etc.) et le module 4, du rôle du DPO et les outils de la conformité (registre, notification des violations de données, par exemple).

Les 4 commandements du RGPD

Le RGPD, un séisme de magnitude 9 pour les marques ? "Si vous suivez déjà les principes de la loi relative à l'informatique, aux fichiers et aux libertés de 1978, vous êtes sur la bonne voie pour la mise en conformité au règlement sur la protection des données personnelles", rassure Clémence Scottez, chef du service des affaires économiques de la Cnil. Fini le règlement "punition", l'autorité conseille même de faire du texte une opportunité : "Le RGPD est l'occasion de purger les bases de données et de mieux cartographier et sécuriser les traitements des data", poursuit Clémence Scottez. Mais aussi de créer un nouveau contrat de confiance avec les consommateurs.

"Notre organisation n'a pas attendu le RGPD pour se préoccuper de la protection des données personnelles, témoigne Thomas Elm, data protection officer (DPO) d'AccorHotels. Mais j'ai commis l'erreur de présenter le règlement par rapport à la directive européenne de 1995, qui contient beaucoup de similitudes ; or, pour engager un maximum de personnes, il faut davantage présenter le RGPD comme une révolution." Cette "révolution" porte le nom de responsabilité, de consentement et de sécurité, notamment. "Avec l'entrée en vigueur du règlement sur la protection des données personnelles, les annonceurs font face à des obligations sur le fond - le renforcement des conditions de recueil du consentement, notamment - et sur la forme - à l'instar du mécanisme de responsabilisation des acteurs, avec un contrôle a posteriori de la Cnil, en lieu et place de la déclaration", fait part la chef du service des affaires économiques de la Cnil.

I La transparence des informations collectées, tu donneras

Les marques se doivent notamment de fournir à leurs clients/prospects, au moment où les données à caractère personnel sont collectées, les informations sur l'identité et les coordonnées du responsable de traitement (et le cas échéant, du représentant du responsable de traitement ou du DPO) et les finalités du traitement auquel sont destinées les data - ainsi que la base juridique du traitement -, les destinataires des données à caractère personnel et si le responsable du traitement a l'intention d'effectuer un transfert de ces données vers un pays tiers ou une organisation internationale. La durée de conservation des données doit également être transmise aux clients. Il est à savoir que ces données doivent être conservées uniquement le temps nécessaire à l'accomplissement du ou des objectifs poursuivi(s) lors de la collecte. Pour Clémence Scottez, "le traitement du profilage est nouveau et les annonceurs doivent être plus transparents sur le fondement de la collecte. L'intérêt légitime du consommateur prime". Il appartient aux marques de regrouper toutes ces informations dans un registre, état des lieux du traitement en cours - et consultable à tout moment par la Cnil.

II Le consentement, tu recueilleras

"Le règlement renforce les conditions de recueil du consentement à traiter les données personnelles, rappelle Clémence Scottez. Celui-ci doit être traçable et prouvable, précisant à quel moment et sous quelles conditions il a été effectué. Le RGPD offre également aux individus la possibilité de retirer leur consentement", poursuit-elle. E-mail, téléphone... tous les leviers marketing sont désormais soumis au principe de l'opt-in. Mais attention à ne pas tomber dans l'excès inverse. "Le manque de connaissance quant au fonctionnement des outils de collecte, comme les DMP, a conduit les entreprises à déployer sur leurs sites des choix d'UX castrateurs pour le marketing, ne donnant envie à aucun consommateur de faire le choix de donner ses data", met en garde Dounia Zouine, manager au sein du cabinet Converteo.

Le règlement signale que "le traitement n'est licite que si, et dans la mesure où [...] la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques". La route est longue : à date, 94 % des acteurs ne collectent pas de consentement pour traiter les données personnelles à des fins de recommandations, personnalisation ou de scoring et 84 % ne le font pas lorsque leur finalité est la prospection commerciale ou le ciblage publicitaire, selon le baromètre Converteo (octobre 2017).

III L'information sur les "nouveaux droits", tu garantiras

Les marques ont dorénavant l'obligation d'informer les consommateurs sur l'existence d'un droit à la portabilité de leurs données... et à leur effacement. "L'entreprise doit offrir un système qui permet à ses clients de récupérer leurs informations personnelles dans un format lisible, structuré et exploitable", précise la chef du service des affaires économiques de la Cnil. Le règlement prévoit également l'obligation de la nomination d'un DPO - notamment lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles. Cet expert du RGPD en interne veille au respect des droits d'accès, de rectification et de suppression des données, ainsi qu'à leur sécurité.

IV La responsabilité avec les sous-traitants, tu partageras

La responsabilité du bon traitement des données à caractère personnel incombe au responsable du traitement de la donnée dans l'entreprise, mais également - c'est la nouveauté - aux sous-traitants qui pourraient avoir accès à ces données personnelles. "Les annonceurs doivent les accompagner dans la mise en place des mesures de sécurité et prévoir des clauses dans les contrats", alerte Clémence Scottez. Le règlement impose ainsi au responsable de traitement de la donnée d'organiser la sécurité des données à caractère personnel dès la conception du produit ou du service (privacy by design), via la pseudonymisation et le chiffrement de données à caractère personnel, notamment. En cas de violation de données à caractère personnel, la marque a également obligation de notifier la Cnil dans les 72 heures.

 

 

 

source : https://www.e-marketing.fr/Thematique/data-1091/Breves/Cnil-lance-MOOC-ligne-RGPD-338073.htm#urB1fEpJZTx5mb5l.97