La GDPR repose sur trois obligations : la précision des données ; la démonstration de la conformité ; la notification de violations. Autant de domaines qui rendent stratégique la suppression des données.
La mise à jour de la base de données clients de l’entreprise est au cœur du marketing, mais la GDPR (General Data Protection Regulation), aussi appelée RGPD (Règlement général sur la protection des données), a élevé les obligations des organisations en matière de gestion des données.
Les nouvelles règles du jeu européennes en matière de protection des données privées ont rendu la gestion de l’information extrêmement sensible et stratégique. Elle repose sur 3 obligations, qui sont autant de défis.
1Les dossiers clients mis à jour et précis
La précision des données est la pierre angulaire de la GDPR. Cette dernière impose que les renseignements soient exacts et à jour, et que « toutes les mesures raisonnables » doivent être prises pour supprimer ou corriger toute erreur, aussi rapidement que possible. Le règlement stipule également qu’un renseignement personnel ne peut être conservé que tant qu'il remplit son objectif initial. Par exemple, un dossier client dont la personne a déménagé, ou pire elle est décédée, constitue une violation. Les dossiers doivent être retirés, sauf si l’entreprise peut faire état d’une justification légale.
L’effacement des données qui ne répondent pas/plus au service initial, ou qui ne répondent pas à l’objectif d’exactitude, sont à supprimer.
2La capacité de démontrer la conformité
La GDPR énonce explicitement que « Le contrôleur est responsable et doit être en mesure de démontrer la conformité ». L’adhésion aux normes réduit le risque, mais l’entreprise doit également apporter la preuve d'une attitude transparente et coopérative favorable aux clients. Voilà pourquoi de nombreuses entreprises prennent des mesures proactives pour documenter le type de données qu'elles stockent, les processus qu'elles utilisent pour les maintenir, et l'efficacité de ces processus.
Voilà qui soulève des points d’interrogation sur la maintenance et la protection des données clients. L’effacement des données n’est pas spécifiée, mais il est fondamental d’adopter une stratégie de nettoyage des données de l’entreprise.
3La notification des violations
La GDPR précise que les clients doivent être informés si leur fournisseur a subit une violation de données, et cela sans délai. Le processus de notification repose inévitablement sur la santé de la base de données. Des données mal entretenues présentent un risque de mise en conformité, or il faut s’assurer que les notifications vont atteindre les destinataires. Ce qui peut se révéler être un vrai casse-tête, et conduira à un allongement des temps de réponse, loin de la conformité attendue par la GDPR !
Encore une fois, la suppression des données doit faire partie de la stratégie de conformité à la GDPR. Toute organisation qui détient des données clients ne peut tout simplement pas se permettre de négliger les bases d'une bonne gestion des données.
Image d’entête 180882573 @ iStock emariya
