Comment conformer votre Centre de Contact au RGPD 2.0

Comment conformer votre Centre de Contact au RGPD 2.0

Dans un précédent article, nous avions surtout évoqué l’historique du RGPD et les droits fondamentaux qu’il prévoit. Il avait également été question des différents rôles d’un centre de contact dans ce contexte (Data Owner, Data Processor, Data Controller).

Nous souhaitons maintenant revenir plus longuement sur un certain nombre de restrictions en matière de gestion des données à caractère personnel que tout centre de contact se doit de respecter. Afin de pouvoir définir ces restrictions, il nous faut cerner le sujet, à savoir les données à caractère personnel.

  1. Restrictions
De quelles restrictions s’agit-il ?

GDPR-6

 

But limité – Question : Pourquoi ?

  • Données recueillies à des fins spécifiques, explicites et légitimes
  • Les données peuvent uniquement être utilisées conformément à ces objectifs

Quantité limitée – Question : Quoi ?

  • Données suffisantes et pertinentes
  • Les données recueillies doivent se limiter aux objectifs définis

Durée de conservation limitée – Question : Combien de temps ?

  • Les données à caractère personnel doivent être conservées dans un format identifiable
  • Les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire

une approche commerciale implique d’autres obligations qu’une demande d’info (et cela peut différer d’un secteur à un autre)

Sécurité et confidentialité – Question : Qui ?

  • Les données à caractère personnel doivent être protégées
  • Il faut prendre suffisamment de mesures pour limiter l’accès aux données et protéger tout transfert éventuel

Avez-vous pensé aux données à caractère personnel de vos propres collaborateurs ?

Précision – Question : Comment ?

  • Les données recueillies doivent être précises
  • Si nécessaire, elles doivent pouvoir être adaptées sur demande et supprimées directement

Avez-vous fait le nécessaire, avec vos clients donneurs d’ordres ?

Le bon traitement – Question : Connaissance des 6 droits ? (pour ceux qui n’ont pas lu l’article précédent : on en reparle dans la conclusion)

  • Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente.
2. Données à caractère personnel

GDPR-personal-data

De quelles données à caractère personnel s’agit-il ?

Om op deze vraag een goed en duidelijk antwoord te kunnen geven, is het belangrijk om ‘persoonsgegevens’ te definiëren.

Pour pouvoir donner une réponse correcte et claire à cette question, il est important de définir les données à caractère personnel.

Que sont les données à caractère personnel ?
  • toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification ou un numéro de téléphone, des données de localisation, des photos…
  • toutes les données concernant l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne.

Un Centre de Contact gère et/ou recueille donc énormément de données à caractère personnel pour ses clients donneurs d’ordres. Sans oublier les données à caractère personnel de son propre personnel !

Quand un Centre de Contact peut-il utiliser des données à caractère personnel ?
  1. Aux fins de l’exécution d’un contrat
    • Nom, adresse, adresse e-mail … pour l’envoi d’une facture par exemple
  2. Pour répondre à un intérêt légitime
    • Afin d’offrir une valeur ajoutée au client par le biais d’un nouveau service
    • Dans le cadre de la prévention et de la lutte contre la fraude
  3. Si une personne a donné son consentement pour 1 ou plusieurs objectifs spécifiques
    • La personne a signalé qu’on pouvait la contacter à des fins de marketing
  4. Par obligation légale/dans l’intérêt public
  5. En cas d’intérêt vital de la personne (besoins médicaux)GDPR sensitive givens
Où se fait la distinction avec les données sensibles à caractère personnel ?

Les données sensibles à caractère personnel constituent une sous-catégorie spécifique pour laquelle tout traitement est interdit sans consentement explicite. En font partie :

  • Les données ethniques
  • Les opinions politiques
  • Les convictions religieuses ou philosophiques
  • L’appartenance à un syndicat
  • Les données relatives à la santé
  • Les données relatives à l’orientation sexuelle

Un Centre de Contact utilise-t-il des données sensibles à caractère personnel ?

Les bases de données que les Centres de Contact gèrent et utilisent pour leurs clients donneurs d’ordres ne contiennent généralement pas de donnée sensible à caractère personnel, hormis le numéro de registre national.

Mais généralement ne veut pas dire jamais. Un projet n’est pas l’autre. -Dans le secteur médical et des soins de santé par exemple, les règles doivent encore être définies plus précisément-

Par mesure de sécurité, nous dressons tout de même la liste de ce qui est autorisé ou non et quand.

Quand un Centre de Contact peut-il utiliser des données sensibles à caractère personnel ?
  1. S’il a reçu le consentement explicite de la personne (opt-in)
  2. Si les informations sont publiques (mandat politique)
  3. Si les informations ont été rendues publiques par la personne concernée
  4. Si cela tombe dans le cadre de l’intérêt vital de la personne (besoins médicaux)
  5. Si la loi l’impose (intérêt public)
  6. S’il s’agit de projets scientifiques ou de statistiquesBref, il y a beaucoup de choses à prendre en compte. Et ici aussi, il faut que chaque collaborateur sache précisément ce qu’il est en train de faire en matière de gestion des données.

n-allo-gdpr-conclusion

Notre conclusion

La collecte, la conservation et le traitement des données à caractère personnel doivent avoir lieu selon 6 principes :

GDPR 6 principles

Les Centres de Contact n’ont pas besoin de consentement explicite pour utiliser les données à caractère personnel, sauf s’il s’agit de données personnelles sensibles. Cela ne veut pas dire que les 6 droits fondamentaux dont nous vous avions parlé précédemment ne doivent pas être respectés.

gdpr-n-allo-six-protections

Au contraire, ils doivent être appliqués en tout temps. Toute personne, qu’il s’agisse d’un client ou d’un collaborateur, doit en avoir été informé ou doit pouvoir l’être.
Notre approche est la suivante :
  • Nous informons les organes paritaires
  • Notre personnel a été formé et est constamment encouragé à développer et utiliser les bons réflexes RGPD
  • Nous mettons les moyens nécessaires à disposition pour sécuriser le traitement des données à caractère personnel.
    • Nos systèmes ont été révisés et adaptés autant que nécessaire
    • Nous impliquons nos clients donneurs d’ordres dans la réflexion et leur offrons des méthodes de transfert approuvées
    • Nous avons bien défini les délais de conservation des données à caractère personnel en interne et nous les appliquons rigoureusement
  • Dans nos contrats avec les clients donneurs d’ordres et les sous-traitants éventuels, les rôles et responsabilités en matière de RGPD sont clairement définis et formalisés. Nous avons d’ailleurs songé aux points suivants :
    • L’accès et l’exploitation des enregistrements
    • L’obtention du consentement des clients pour pouvoir recueillir et utiliser leurs données à caractère personnel
    • La désignation d’un Data Protection Manager et d’un Data Protection Officer, respectivement responsables de la sécurisation des données et de l’exécution des principes dans notre entreprise.
  • Les canaux par lesquels nous échangeons des données à caractère personnel sont protégés par d’excellents logiciels.

 

gdpr-logo-n-allo

 

Contact-Center-GDPR-proof

 

 

 

N-Allo, GDPR-proof


Partagez cet article




Les posts liés




Postez votre commentaire