GDPR: Comment Botmind s’engage à respecter la confidentialité et la sécurité des données clients
Bref rappel sur GDPR
GDPR (General Data Protection Regulation) est une une réglementation de l’Union Européenne visant à protéger les données personnelles des citoyens européens. Cette législation, qui entrera en vigueur le 25 Mai 2018, redonne le pouvoir aux individus pour le stockage et l’utilisation de leurs données personnelles.
Chaque entreprise devra se conformer à des règles et processus garantissant qu’aucune utilisation des données récoltées ne puisse se faire sans le consentement explicite des individus. Être “GDPR compliant” sera alors une obligation pour toutes les startups du numérique et cet article décrit la façon dont nous avons géré le sujet chez Botmind.
Pourquoi se conformer au GDPR?
Pour nous, au départ, se conformer au GDPR ressemblait davantage à une énorme contrainte règlementaire supplémentaire que nous allions devoir respecter. Comme toutes les jeunes entreprises, nous dédions toute notre énergie à la conception de notre produit puis à l’acquisition et à l’accompagnement de nos clients. Alors, prendre du temps pour se conformer à une législation européenne qui entrerait en vigueur dans plusieurs mois… Nous ne nous y sommes pas intéressé du tout, nous verrions cela plus tard.
Pourtant, il y a quelques mois, nous avons été sensibilisé au sujet par un avocat spécialisé lors d’un événement du club 50 Partners qui a réussi à capter notre attention. Si nous n’étions pas conforme au GDPR, nous risquions de perdre des clients… Il était temps de s’intéresser au sujet.
En effet, toutes les entreprises doivent évidement se conformer à la réglementation mais elles doivent également s’assurer que leurs prestataires sont aussi GDPR compliant. Une entreprise sera tenue responsable si un sous-traitant ne respecte pas les engagements de confidentialité et de sécurité des données utilisateurs. Nos prospects l’exigeraient bientôt tous alors se conformer au GDPR n’était plus une option, il fallait le faire dès que possible.
La deuxième raison de se conformer, pourtant évidente, nous est apparue alors que nous entamions la démarche de mise en conformité avec la législation. Il fallait plus de transparence dans notre gestion des données, pas uniquement parce que la loi l’impose ou parce que nous risquions de perdre des clients. Il fallait assurer la confidentialité des données utilisateurs parce que c’est un droit fondamental des individus. Nous l’exigeons en tant qu’utilisateurs, il nous fallait l’implémenter en tant que fournisseur de service.
Pour résumer, voici toutes les bonnes raisons de se conformer au GDPR que nous avons recensées pour les startups du numérique:
- Respecter un droit fondamental des citoyens européens
- Être GDPR compliant est un pré-requis à la signature de deals
- Laisser à nos utilisateurs la maitrise de l’utilisation de leurs données génère une confiance qui favorise l’utilisation de notre produit
- Ne pas se conformer est passible de lourdes sanctions financières
- Se conformer dès maintenant permet de ne pas être pris au dépourvu si les transformations à mener dans l’entreprise sont plus importantes que prévu
Comment Botmind respecte la confidentialité et la sécurité des données personnelles
D’abord, nous avons repris les règles et les processus obligatoires définis par la législation. Voici les actions que nous avons menées:
- Nommer un DPO (Data Protection Officer) qui est chargé de réguler et de monitorer l’utilisation des données personnelles
- Établir un registre des données stockées/utilisées qui permet de déterminer l’utilisation qui est faite de chaque type de donnée stockée
- Demander le consentement explicite des individus concernés par le traitement de leurs données et pouvoir en apporter la preuve
- Prévoir un processus d’effacement des données si un utilisateur formule une telle demande
- Mettre en place une procédure d’escalade auprès de la CNIL en cas de violation de la confidentialité des données personnelles
Ensuite, nous sommes allés un peu plus loin afin de garantir que les données de nos utilisateurs seraient protégées et confidentielles. En automatisant les réponses aux demandes clients, nous manipulons souvent des données personnelles et nous avons alors défini les bonnes pratiques suivantes:
- Les expressions des utilisateurs de nos différents clients ne sont pas partagées entre les comptes, même celles qui sont relatives à des menus propos (“Bonjour”, “Aurevoir”, “Comment ça va”, etc..)
- Nous intégrons à notre plateforme les principes de “Data Minimisation” et de “Privacy by default”: seules les données dont l’utilisation est validée par l’individu sont stockées et il est possible de marquer les données sensibles pour qu’elles soient anonymisées dans la base de données
- Nous appliquons le principe “Protection by Design” dans le développement de notre plateforme et des autres composants
- Nous sécurisons les accès aux à nos serveurs de données et nous hébergeons ces serveurs au sein de l’Union Européenne
Pour en savoir plus, n’hésitez pas à nous contacter sur www.botmind.io.