Depuis plusieurs mois, on ne compte plus le nombre d’articles et conseils concernant le Règlement Général sur la Protection des Données (RGPD ou GDPR pour General Data Protection Regulation).
Mais il n’en existe pas concernant la gestion et le traitement pour les avis clients.
Or, cette nouvelle directive ainsi que le décret n° 2017-1436 du 29 septembre 2017, ont un impact direct sur la collecte, la modération et la restitution des avis clients.
Voici donc une check list des 5 poins à vérifier avant la passage de la RGDP le 25 mai 2018.
1. Actions mises en place pour le traitement des données
Il est nécessaire de mettre ou de revoir en place les autorisations d’accès aux données, les process de transfert et de sécurisation des données.
Avant le RGDP, un changement important a eu lieu avec avec le décret n° 2017-1436 du 29 septembre 2017 relatif aux obligations d’informations relatives aux avis en ligne de consommateurs.
Chaque site affichant des avis doit indiquer clairement :
- la date de publication de l’avis, ainsi que celle de l’expérience de consommation concernée
- les critères de classement des avis, notamment le classement chronologique
- l’existence ou non d’une procédure de contrôle des avis
- l’existence ou non de contrepartie fournie en échange d’un avis
- le délai maximum de publication et de conservation d’un avis
- les caractéristiques principales du contrôle des avis
- la possibilité de contacter l’auteur de l’avis
- la possibilité ou non de modifier un avis et les modalités de modification
- les motifs justifiant un refus de publication
Ces dispositions étant prises, la RGDP ne mentionne pas d’autre obligation sur l’affichage et le traitement des avis.
2. Délégué à la protection des Données (DPO)
Il convient de nommer un Délégué à la Protection des Données (DPO) chargé de la mise en œuvre et de la conformité au règlement sur la base des directives du RGDP.
3. Registre des traitements de données personnelles
Il est nécessaire de mettre en place un registre des traitements de données personnelles définissant notamment les acteurs, la finalité du traitement effectué ainsi que les mesures de sécurité.
4. Gestion des risques
Si vos données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des consommateurs (santé, sécurité, etc.), vous devez mener une étude d’impact sur la protection des données (PIA – Privacy Impact Assessment).
Cette étude devra vous délivrer les préconisations concernant la protection des données (cryptage des données, accès au serveur seulement à travers un VPN, etc.), leurs sauvegardes et les sources de risques (mise en place de tests de pénétration réguliers, analyse tu trafic sorant et entrant, etc.)
5. Organisation des processus internes
Enfin, vous devrez voir ou revoir l’organisation des processus internes pour garantir un haut niveau de protection des données personnelles
Pour aller plus loin, et voir si vous répondez bien à tous les critères du RGPD, vous pouvez consulter le guide de la CNIL.