Marketing et RGPD : de nouvelles règles du jeu

Une nouvelle ère s’ouvre en matière de réglementation sur la confidentialité. En effet, dès mai 2018, une réglementation européenne sur la confidentialité, le Règlement Général sur la Protection des Données (RGPD), entrera en vigueur. Ce règlement impose de nouvelles règles aux entreprises, organismes gouvernementaux, organisations à but non lucratif et autres organisations proposant des biens et services aux personnes de l’Union européenne ou collectant et analysant des données associées aux résidents de l’UE. Petit tour d’horizon.

D.Léotard

Avec l’essor de l’informatique et d’Internet, les pouvoirs publics doivent encadrer de plus en plus la collecte et l’usage des données personnelles. A cet effet, les entreprises étaient déjà tenues, dans le cadre de la loi de décembre 1992 relative à la protection de la vie privée, de respecter plusieurs principes relatifs au traitement de données à caractère personnel.

Le Règlement européen sur la protection des données personnelles (RGDP ou GDPR en anglais) est une nouvelle législation adoptée le 14 avril 2016 par l’Union Européenne. Cette loi, traduite et applicable dans tous les États membres de l’UE, entrera en vigueur le 25 mai 2018 et s’appliquera à quasi toutes les entreprises … puisque dans les faits, toutes disposent d’informations se rapportant à des personnes physiques identifiées ou identifiables : listing clients, données comptables, etc en version électronique ou sur support papier.

Le constat est donc simple : si une entreprise traite (stocke, utilise, transmet, …) des données relatives à des personnes identifiées ou identifiables, elle doit respecter le GDPR, qu’elle soit localisée ou non en Europe. Seul compte le fait de cibler des citoyens européens.

L’esprit du RGPD

Ce nouveau règlementrépond à 3 grands objectifs : le renforcement des droits des personnes, la responsabilisation des acteurs traitant des données et la crédibilisation de la régulation.

En ce qui concerne les personnes dont on utilise les données, cela signifie qu’elles bénéficieront dorénavant :

– d’un droit de consentement renforcé
– de plus de transparence sur l’usage
– du droit à l’information
– du droit à la rectification et à la portabilité
– du droit à l’oubli

C’est quoi les données personnelles ?

La définition est très simple : il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable». En pratique, cela signifie son nom, sa date de naissance, son adresse e-mail, son numéro de téléphone, son IP, etc…mais aussi sa photo, son identifiant, ses habitudes d’achats, son état de santé, le lieu où il a passé ses dernières vacances ou ses copains de promotion.

Deuxième point : la responsabilisation des acteurs de traitement de données. C’est le point le plus important, puisqu’il uniformise les obligations au niveau Européen. Prenons deux exemples liés au marketing. Il ne sera désormais plus possible d’enregistrer automatiquement l’e-mail d’un prospect par un opt-in passif, c’est-à-dire après avoir obtenu son consentement à recevoir des offres en « pré-cochant » une case «  je souhaite recevoir… » qu’il doit décocher pour manifester son refus.

Le silence n’est pas un consentement !

Désormais, il faudra un acte positif, par exemple en l’obligeant à cocher lui-même cette case, et lui permettre de changer d’avis à tout moment. En outre, l’entreprise devra stocker ces consentements et indiquer clairement dans sa communication les détails de sa politique de respect des données privées (combien de temps, quel usage, quelles données, etc…)

Un autre aspect du RGPD concerne les activités de profilage, à savoir le croisement de données dans un but d’enrichissement d’une base de données pour la segmenter en fonction de critères précis afin de personnaliser les offres. Dorénavant, ces activités de profilage entraînent l’obligation de désigner un délégué à la protection des données (appelé Data Protection Officer) et de procéder à une analyse d’impact de ces activités sur la protection des données privées. Enfin, les données collectées doivent être sécurisées : les infrastructures de stockage doivent être sécurisées et lors des transferts, les données doivent être pseudonymisées et/ou encryptées.

Le troisième pilier de la RGPD concerne la crédibilisation de la régulation. Pour cela, il impose un cadre juridique unifié, applicable à toute structure traitant ou sous-traitant des données d’un citoyen européen. De plus, des sanctions encadrées, graduées et renforcées seront mises en place, elles peuvent monter jusqu’à 4% du CA annuel mondial. Et les délais de prévenance sont ramenés à 72h maximum en cas de perte, fuite ou vol de donnée.

Comment respecter le RGPD en pratique ?

La première étape est d’effectuer un état des lieux de tous les types de données que l’entreprise conserve, suivi de l’identification des données à caractère personnel.  Parmi celles-ci, on en distinguera certaines appelées communément « données sensibles ». Un mauvais usage de ces données serait particulièrement dommageable pour la personne, comme, par exemple, des informations relatives à la santé, l’appartenance religieuse ou syndicale, ou encore l’orientation sexuelle. Ces données sont soumises à des règles particulières plus strictes afin d’éviter tout risque de détournement.

Une fois cet inventaire dressé, l’entreprise doit, pour chaque type de données consulter ses clients pour vérifier qu’elle peut conserver ces données et vérifier que la donnée est exacte et encore d’actualité ? Si ce n’est pas le cas, il faut l’effacer ou essayer de la mettre à jour.

Cette cartographie effectuée,  il faut ensuite respecter une série d’obligations qui permettront une gestion responsable des données personnelles.  Pour devenir « accountable » au sens du RGPD, voici les principales obligations à remplir :

  1. désigner un délégué à la protection des données (PDO).  Il aura principalement pour tâche d’assurer de manière parfaitement indépendante le respect de la législation et la sensibilisation de l’ensemble du personnel de l’entreprise à ces nouvelles règles.
  2. Il faut ensuite établir un registre de traitements.  Ce registre, qui se présente généralement sous la forme d’un tableau, reprendra pour chaque type de données personnelles une série d’informations sur la manière dont les données sont traitées et comment elles sont gérées chacune spécifiquement.
  3. Sur base de ce registre, il convient d’évaluer les risques et dangers pour les personnes (clients, usagers,etc) dont les données sont traitées en cas de vol, d’altération, de suppression, … Afin de limiter ces risques, il faudra mettre en place les mesures de protection nécessaires. Cela passera notamment par une bonne sécurité informatique (mots de passe solides, antivirus, …) et la mise en place d’une politique de bonne gestion de l’information dans l’entreprise.  En cas d’incident majeur (vol de données par exemple), il est obligatoire d’en informer la Commission de Protection de la Vie Privée et, dans certains cas, les personnes concernées par les données.
  4. Evaluer la fiabilité et le sérieux des sous-traitants. Par sous-traitant, il faut comprendre les personnes extérieures à l’entreprise qui traitent des données personnelles pour son compte (hébergeur, consultant IT, …). Il faut vérifier que ces sous-traitants offrent des garanties techniques et organisationnelles suffisantes quant au respect des grands principes de bonne gestion (accountability) énumérés précédemment. Ceci doit notamment apparaître dans les contrats conclus avec ces derniers.
  5. Enfin, il faut envisager les questions liées à l’usage du cloud pour héberger des données personnelles.  En principe, il est interdit de mettre les données personnelles dans un cloud dont les serveurs ne sont pas clairement localisés en Europe.

Téléchargez ici notre infographie Téléchargez ici notre infographie

Sources et liens utiles :

https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0
Marc Husquinet, RGPD et marketing, Bruxelles Metropole-mars 2018
http://shop.wolterskluwer.be/shop/nl_BE/navigation/342/GDPR-General-Data-Protection-Regulation-texts-commentaries-and-practical-guidelines?p=BPPRODONBI17001

Leave A Reply