En tant que clubs (ou tout simplement en tant qu’entreprise), vous possédez des données concernant leurs employés ou leurs joueurs (membres et green-fees) et le concept de protection des données n’est pas réellement nouveau. Mais à partir du 25 mai 2018, la donne sera différente. La RGPD (Réglementation de Protection des Données) rentrera en vigueur. Et que vous soyez, un contrôleur ou un processeur des données, il faudra s’acquitter de certaines obligations afin de ne pas écoper d’une amende qui peut aller jusqu’à 20 millions d’Euros !
Dès le 25 mai, tous les clubs de golf devront se soumettre à cette réglementation, et si vous ne voulez pas lire et interpréter le texte de loi de 88 pages, voici quelques directives qui vous permettront au mieux de protéger les données de vos clients et employées.
Même si la réglementation n’entre en vigueur que dans quelques mois, il faut déjà se tenir prêt afin d’assurer une transition douce vers le nouveau modèle mais aussi de former le personnel qui, sans s’en rendre compte, manipule des données personnelles ou encore un ensemble de données qui peuvent permettre l’identification d’un individu.
Tout n’est pas nouveau dans ce texte de loi et heureusement car ne serait-ce qu’avec les ajouts, vous aurez beaucoup à faire pour votre club pour mettre en place tous les éléments permettant la mise en conformité de cette nouvelle réglementation.
Processeurs ou contrôleurs, qui êtes vous?
Une première étape serait d’identifier qui est le contrôleur ou le processeur de données.
Le contrôleur de données est celui qui est responsable de la bonne collection des données. Il doit veiller à ce que les données personnelles soient collectées en tenant compte de la législation en vigueur ; quelles sont les données collectées, où vont être stockées ces données, ce qu’il va faire de ces données, et d’avoir eu le consentement de l’utilisateur pour ce qui vient d’être mentionné.
Le processeur est celui qui va « gérer » les données collectées. Par exemple un revendeur de green-fee comme Mygreenfee.com ou Bookyourgolf ou encore Chronogolf sera le processeur. Il collectera les informations des utilisateurs réservant leur green-fees pour le compte des clubs de golf. En revanche, si les revendeurs utilisent ces données à des fins commerciales ou communiquent des informations, ils deviennent le processeur et le contrôleur de ces données.
D’ailleurs certains revendeurs comme Chronogolf sont prêts à aider les clubs.
[…] tous les golfs utilisant Chronogolf seront dans les clous et il est fondamental pour nous de les accompagner au maximum afin qu’ils aient une utilisation vertueuse (et légale) de la data qu’ils collectent via nos outils.Paul Arnould, Head of Europe, Chronogolf
Les changements à apporter lors de la collecte de données
Partons d’un principe de base: toute donnée permettant l’identification d’un individu doit être collectée avec son consentement direct. Par exemple une adresse IP est une donnée personnelle. Pour résumé si vous collectez une adresse email d’un client, la collecte doit être soumise à son accord explicite. Lorsqu’un utilisateur rempli un formulaire en ligne, il doit pouvoir prendre connaissance et choisir quelle communication il va recevoir. Deux cases seront nécessaires, l’une mentionnant « non je ne veux pas recevoir de messages de votre part » et l’une « oui je veux recevoir un message de vôtre part. Le langage doit être clair et compréhensible.
En plus, l’utilisateur devra « signer électroniquement » les nouvelles conditions de vie privée en cochant une autre case.
Bonne et mauvaise nouvelle, il faudra sûrement demander à nouveau à ces utilisateurs d’approuver les nouvelles conditions d’utilisations et de mettre à jour ses préférences. Même s’il s’agit d’une approche laborieuse, il faut voir celle-ci comme une opportunité marketing. En reprenant contact avec clients et prospects, les clubs pourront saisir la balle au bond en y incorporant un message marketing en plus du caractère obligatoire de souscrire aux nouvelle règles de la vie privée. Par exemple, communiquer sur une offre ou un nouveau système de membership
Cela s’applique aussi aux cookies sur votre site internet. Un utilisateur a le droit de connaître les cookies qu’utilise votre site et qui s’installeront dans son navigateur. Si vous utilisez Google Analytics par exemple, il faut donner la possibilité à l’utilisateur de ne pas être « tracké » lors de sa session. N’oubliez pas que les réseaux sociaux ont aussi leur petits cookies surtout si vous avez des boutons partager, tweet ou like sur votre site. Techniquement cela peut s’avérer être un cauchemar, mais des solutions existent comme cookiebot.
Toutes les notions ci-dessous sont aussi valables hors ligne. Lors d’un remplissage de formulaire, il est nécessaire de le mentionner à la personne concernée.
Les droits des utilisateurs dans la pratique
Vu sous l’angle utilisateur (client/prospect) et si vous voulez être en conformité avec les règles RGPD, il faut tout mettre en place pour respecter les droits suivants:
- Le droit d’être informé. Évoqué plus haut, toute collecte d’information doit être mentionné à l’utilisateur.
- Le droit d’accès à ses données. À n’importe quel moment, l’utilisateur peut avoir accès à ses données. La requête peut se faire via email ou un formulaire.
- Le droit de rectification. On le connaît tous. Dans tout les cas, l’utilisateur aura accès à ses informations et pourra les changer quand cela sera jugé nécessaire.
- Le droit d’effacement. L’utilisateur peut à n’importe quel moment demander l’effacement de ses données. Il vaut mieux prévoir un processus entre les différents acteurs qui disposent de ces données. Je pense surtout au triptyque FFG, Club, broker de green-fee.
- Le droit de limiter le traitement de ces données. Le client peut choisir de limiter le traitement de ses données. Ainsi, il pourra décider ou non de recevoir des communications via email, téléphone ou encore par voie postale.
- Le droit de portabilité. Un jour il se peut qu’un des membres de votre réseau change de crèmerie. En passant d’un réseau à l’autre, il peut demander que toutes ces données soient transférées au nouveau réseau. Ici il faudra prévoir numériquement un fichier « protégé » qui contiendra toutes les données et le transférer au nouveau réseau.
- Le droit de contester
- Le droit de ne pas être sujet à une prise de décision automatique incluant le profilage. Pour information, c’est une une forme de traitement automatisée, qu’elle soit entièrement automatisée ou qu’elle implique une intervention humaine. Elle porte sur des données à caractère personnel dont la finalité est d’évaluer les aspects personnels d’une personne physique (productivité au travail, situation économique, santé, préférences personnelles, intérêts, fiabilité, comportement, localisation, mouvements, etc.).
Les DPA : les accords de protection de données
En se mettant en accord avec la nouvelle réglementation, les clubs vont identifier beaucoup de partie tierce ayant accès aux données personnelles de leurs clients. Que ce soit avec la FFG ou encore avec le développeur de son site web, il sera nécessaire de signer un accord. À l’intérieur de ce document, on trouvera tous les éléments de mise en conformité des 2 parties. Sans les récapituler tous, il s’agira essentiellement de mentionner et de s’accorder sur le fait d’accorder les droits mentionnés ci-dessus, ainsi que leur application. On y trouvera aussi le nom du Data Protection Officer et les procédures lors d’une fuite de donnée.
Concernant les données relatives aux enfants
Si les enfants sont inscrits à l’école de golf, leurs données sont sûrement stockées quelque part. Pour la première fois, le RGPD apportera une protection spécifique concernant les données de l’enfant. L’age du consentement est de 16 ans. En dessous de cet âge, le club de golf ou toutes autres entités devra obtenir le consentement des « gardiens » de l’enfant; tuteurs légaux, parents. Petit rappel un hochement de la tête du gardien n’est pas suffisant. En cas de contrôle ou de réclamation , la preuve devra être apportée que le consentement a bien été donné.
Les fuites de données
Si votre organisation subie une fuite de données (hack, avoir oublié de verrouiller son ordinateur avec la liste des clients affichée sur l’écran….), une procédure spécifique doit être définie et effective.
La nouvelle réglementation vous impose de signifier cet incident à la CNIL très vite, et ensuite le signaler à l’utilisateur dans certains cas. Les conséquences d’une telle fuite devra être mentionnée dans les communications que vous enverrez.
Avez-vous nommé un Data Protection Officer ?
Dans la mise en conformité avec le RGPD, un responsable est nommé et sa fonction est à la fois la mise en place de toutes les obligations légales que ce soit dans la garantie des droits pour l’utilisateur mais aussi en case de fuite de données.
Vous devez nommé un Data Protection officer qui ait une expérience dans le légal de préférence et familier avec vôtre structure.
Même si cette fonction semble être une promotion pour certain ou un nouveau job, la tâche n’est pas facile. Il faut comprendre les différents courants de données dans la société, rédiger les accords, répondre aux questions des fournisseurs, des clients.
Et pour tout cela il ne reste que quelques semaines.
Une dernière chose, en aucun cas cette article n’a une valeur juridique. Je vous conseille de vous adjoindre les services d’un avocat spécialisé pour tout ce qui concerne le RGPD et sa mise en conformité.
NB: N’oubliez pas de fermer votre session lorsque vous quittez votre bureau, n’envoyez pas de fichier clients par email sans protection.
Sources: Protection des données – Des règles plus adaptées pour les petites entreprises (infographie)
