FoodTech

RGPD en restauration : 9 étapes pour valoriser les données et l’image de votre entreprise

20 Avril 2018 - 10182 vue(s)
La France compte près de 4 millions d’entreprises dont la grande majorité sont des TPE et PME comme c’est le cas dans la restauration et particulièrement en snacking. Si chaque entreprise dispose de données personnelles - les fameuses datas -, les règles qui s'appliquent à leur gestion sont actuellement régies par la loi 78-17 dite « loi Informatique et Libertés » jusqu'au 25 mai 2018. A partir de cette date, le Règlement Européen Général de Protection des Données (RGPD) entre en application. Il fixe de nouvelles règles qui auront un impact sur votre entreprise. Et des sanctions pouvant aller jusqu'à 4 % du chiffre d'affaires annuel… La CPME (Confédération des PME) nous rappelle les 9 étapes à respecter afin de se mettre en conformité avant l’heure dite… Au-delà de cet objectif qui pourrait apparaître comme une nouvelle contrainte, voilà peut-être l’occasion de valoriser vos précieuses datas, instaurer un climat de confiance avec vos consommateurs et assurer votre développement…

Il y a de nombreuses occasions de collecter les données des utilisateurs de vos services en restauration : de l’achat depuis votre site de commande en ligne ou sur une borne, en confiant une connexion wifi à vos clients une fois entrés chez-vous, en s’abonnant à votre newsletter afin d’être tenu informé de la sortie de votre nouvelle carte, en échangeant des cartes de visite entre professionnels. Cela peut-être aussi simplement en discutant et consignant par écrit des informations recueillies auprès de vos clients qu’il s’agisse de commandes mais aussi d’entretiens relatifs à leur consommation alimentaire… Mais finalement, qu’en faites-vous ? Et surtout, dans quel cadre ces données doivent-elles être traitées, stockées, analysées, partagées et sécurisées au sein de votre entreprise ou de votre réseau de restaurants ? C’est ce que cherche à définir le nouveau Règlement Européen Général de Protection des Données qui entre en application à compter de fin mai.

L‘accountability, ou le principe de responsabilité du RGPD

Ce règlement s’appuie sur le principe d’« accountability ». Concrètement, il n'impose quasiment plus de formalités préalables à effectuer concernant les fichiers de données personnelles dont disposent les entreprises, mais repose avant tout sur le principe d'obligation pour les entreprises de mettre en place des procédures internes permettant de démontrer le respect des règles issues du RGPD. Les contrôles de la CNIL viseront, par conséquent, à vérifier le respect, dans les faits, du cadre de protection des données et les preuves de la mise en place de telles procédures internes.

Au-delà de cette philosophie nouvelle, il n’en reste pas moins qu’à l’aube de son entrée en vigueur, les entreprises demeurent encore un peu perplexes face aux conséquences de ce RGPD. En effet, 60 % d’entre elles se disent encore perdues face à la compréhension de cette nouvelle application selon un récent sondage… 

Alors, comment s’y prendre ? Voici 9 étapes clés qui ont été établies dans un guide rédigé par la Confédération des PME, avec le concours de la CNIL !

 

/ 1 / Désigner une personne référente des données pour l’entreprise

Si le RGPD fait référence à la nomination d’un délégué à la protection des données (DPO) dans le cas où votre activité vous amènerait à réaliser un suivi à grande échelle régulier et systématique (commande en ligne, site e-commerce, carte de fidélité pour votre réseau de franchise…), la CPME recommande vivement de désigner une personne dédiée aux datas de l’entreprise, qu’il s’agisse d’un membre du personnel ou d'une personne extérieure. Son rôle est de conseiller et d’informer en interne, de recenser le registre des données personnelles dont l’entreprise dispose, de gérer la mise en place des procédures internes visant à assurer la confidentialité et la protection des données et constituer le lien avec la CNIL en cas de litige avec un utilisateur ou en cas de contrôle.

Compte tenu du contexte, il apparaît indispensable de nommer un gardien du temple si vous lisez les points suivants avec attention…

/ 2 / Tenir un registre des données personnelles utilisées dans l’entreprise

La tenue de ce registre permet à l’entreprise de réaliser une cartographie des données personnelles collectées et traitées par l’entreprise, qu’elles soient informatisées ou manuscrites.

Si vous êtes une startup de la food, la collecte des contacts et des datas recueillis par exemple lors de votre présence au dernier salon Sandwich and Snack Show doit être par conséquent consignée dans ce registre.

 

/ 3 / Analyser les données de l’entreprise

Le RGPD va bien plus loin que la simple notion de consentement en précisant qu’il s’agit d’un consentement « éclairé » et dont la finalité a été clairement définie au client au préalable. Cela signifie que l’utilisateur de votre site web, un employé potentiel ou tout client sur lequel vous disposez d’informations confidentielles (comme la cuisson de sa viande pour son burger par exemple et son numéro de carte bancaire) doit pouvoir donner son accord ou s’opposer au traitement des données qui le concernent sans ambiguïté et de la manière la plus simple et la plus fluide qui soit.

Par exemple, si vous proposez l’inscription à la newsletter de votre restaurant, il sera impératif d’indiquer clairement ce que vous comptez faire de l’e-mail, combien de temps vous allez utiliser ce type de données et éventuellement si elles seront partagées avec des tiers. Il peut donc s’avérer indispensable de créer une page vie privée afin de définir le traitement (et leur finalité) de ces données une bonne fois pour toutes sur votre site web.

En ce qui concerne les fichiers existants ou les données perçues relatives à la gestion des salariés (badgeuse, plannings du personnel partagés, gestion de flotte de véhicule, géolocalisation de vos clients via une application…) les entreprises qui ont accompli une déclaration de conformité à la CNIL (norme NS-048), n’auront pas à réaliser une étude d’impact pendant les trois années à venir.

 

/ 4 / Mettre en place des mesures pour sécuriser les données et sensibiliser tous les salariés de l’entreprise

En bon père de famille le référent (voir étape 1) se doit de protéger les données qui sont confiées à une entreprise et de faire connaître les règles d’utilisation de ces dernières à ses collaborateurs et le cas échéant à ses sous-traitants… La sécurité des données personnelles – tout comme leur utilisation - est l’affaire de tous et il convient donc de sensibiliser tous les protagonistes.

La newsletter du restaurant en question doit donc prévoir obligatoirement un lien afin de se désinscrire, indiquer clairement les coordonnées de la personne à contacter afin de s’opposer au traitement indiqué (ex. formulaire de satisfaction après consommation et pouvoir obtenir une copie des informations délivrées). Ces données doivent également être sauvegardées dans une salle sécurisée et à l’accès restreint et la sécurité informatique doit être accrue : sécurisation et complexité des mots de passe changés régulièrement, pare-feux et antivirus pour chaque ordinateur, mise à jour régulière des logiciels font également partie de l’application du RGPD…

Pour en savoir plus : RGPD : se préparer en 6 étapes (source CNIL avril 2018)

Télécharger le guide CPME : Données Personnelles et RGPD, comment faire ?

/ 5 / Permettre le droit à la portabilité

La portabilité des données est un droit nouveau qui s’applique à toute personne (et à nous-mêmes) dont vous stockez les dernières datas. Il s’agit donc de pouvoir leur offrir un format ouvert et lisible par machine (un fichier.csv en général) permettant de réutiliser leurs données personnelles pour les transférer à une tierce personne proposant des services identiques sans avoir à remplir à nouveau les formulaires de contact. L’objectif est ici de simplifier leur parcours ou le montage de leur compte client en tenant compte de la gestion de leurs préférences.

Le RGPD impose ainsi aux organismes d’offrir aux utilisateurs de vos services la possibilité de télécharger directement leurs données personnelles et de ne pas faire obstacle à la transmission de ces données. Certaines entreprises de la French Tech permettent également de pouvoir transférer directement les données de l’utilisateur à une tierce personne tout en gardant secrètes ces informations.

/ 6 / Informer du droit à la portabilité

"Ce nouveau droit implique d’en informer les utilisateurs au préalable. La réglementation européenne recommande aux responsables du traitement d'expliquer clairement la différence entre les données pouvant être transmises dans le cadre du droit à la portabilité et celles pouvant être communiquées au titre du droit d'accès. Le droit d'accès peut porter sur toutes les données personnelles concernant le demandeur alors que le droit à la portabilité ne concerne que les données personnelles fournies par la personne et traitées sur la base de son consentement ou de l'exécution d'un contrat."

Si la portabilité peut intéresser particulièrement les services bancaires, médicaux, la grande distribution et la téléphonie, pour n'en citer que certains vous pouvez toujours vous référer à l'article publié par la CNIL à ce sujet afin d'anticiper ce point clef de l'application du RGPD.

/ 7 / Mener une analyse d’impact relative à la protection des données (DPIA) pour certains traitements strictement définis.

Si vous souhaitez exploiter les données collectées auprès des utilisateurs, avoir une analyse prédictive, intégrer l’intelligence artificielle afin de faire matcher ces dernières entre elles, les utiliser à grande échelle au sein de votre réseau, isoler les personnes « vulnérables » par exemple, il conviendra de les soumettre au préalable à l’approbation de la CNIL à laquelle vous devrez signaler les opérations de traitement envisagées et les finalités du traitement tout comme l’évaluation des données et les bienfaits que vous en attendez pour votre organisation et les personnes concernées. Vous devrez également prévoir la liste des mesures envisagées pour réduire les risques de protection des droits et des libertés des personnes concernées…

La FoodTech devrait être particulièrement impactée par la DPIA si elle souhaite apporter une analyse prédictive boostée par l’intelligence artificielle en interprétant notamment la géolocalisation des consommateurs dans l’utilisation de leur application mobile. L’analyse des données particulièrement nominatives si elles servent à améliorer les services, prévoir les pics d’activité, les associer aux événements locaux, les conditions météorologiques ne doivent cependant pas s’intéresser à une personne en particulier et l’exposer à un risque qui entraverait ses libertés… Ces processus visant à améliorer la rentabilité doivent être précisément définis au préalable.

/ 8 / Programmer la suppression des données

Le RGPD impose de procéder à la suppression des données personnelles dès lors qu’elles ne sont plus nécessaires au regard de la finalité exprimée. Il est donc nécessaire de prévoir des délais de suppression des données en fonction de chaque registre établi.

La CNIL recommande de conserver les données des prospects durant 3 ans. Dans le cas particulier des données relatives aux candidats à un poste, la durée est de 2 ans à compter de la réception de la candidature ou de la constitution de la fiche de ce dernier.

 

/ 9 / Réagir immédiatement en cas d’atteinte aux données personnelles

Prévenir, c’est guérir… Le RGPD impose la protection des données personnelles recueillies. En cas de violation ou de risque mesuré par l’entreprise dans l’exploitation de ces données, la CNIL doit en être informée. Un téléservice sera disponible dès le mois de mai 2018 sur www.cnil.fr.

L’entreprise touchée par une cyber-attaque qui entraînerait la divulgation des numéros de carte bancaire des profils issus d’un site de click and collect, de commande en ligne, d’un réseau, d’une messagerie ou d’un média social (comme nous avons pu le constater malheureusement ces derniers temps), doit informer ces utilisateurs des conséquences probables et des mesures à adopter immédiatement pour s’en protéger.

Pour en savoir plus : RGPD : se préparer en 6 étapes

Télécharger le guide CPME : Données Personnelles et RGPD, comment faire ?

 

Conclusion : Et si vous profitiez du RGPD pour renforcer votre image et instaurer la confiance de vos utilisateurs ?

Un client informé est un client potentiellement fidèle : c’est ce que révèle une étude d’Accenture Strategy, qui place la confiance au cœur de la relation client à l’ère du Big Data. Si la mise en conformité avec le RGPD peut paraître laborieuse, elle a un double effet : elle permet de s’éviter des sanctions hautement dommageables, de pouvoir développer de nouveaux services et de s’attirer la confiance d’une clientèle exigeante, méfiante et de plus en plus avertie… surtout dans la food !

Nous espérons que ces expériences gourmandes et digitales vous éclaireront sur l’avenir de notre société et vous retrouvons très bientôt au Congrès du Snacking sous le thème « Vert le futur ! ».

N’oubliez pas de partager cet article s’il vous a été utile et de le commenter, voire de nous poser des questions si vous souhaitez approfondir certains points.

A très bientôt !

#InSnackingWeTrust!

Pascal Perriot Web Manager Suivez Pascal Perriot sur @perriot_pascal
Commentaires (0)
Les concepts Snacking
décrypter

Dans la même thématique