team

RGPD : Quels vont être les impacts au niveau juridique et marketing ?

   

Le RGPD du point de vue juridique et digital !

 

Le Règlement (UE) 2016-679, ou plus communément appelé le « RGPD », traite des nouvelles obligations des entreprises en matière de protection des données à caractère personnel et entrera en vigueur à partir du 25 mai 2018. 

Pour débuter ce dossier, nous avons interrogé un cabinet d'avocats experts en digital : racine avocats et plus précisément Eric Barbry et Marianne Long afin de nous éclairer plus amplement sur la partie juridique du RGPD.

  • Qui est concerné ?

Toute entreprise et les acteurs publics, traitant de données à caractère personnel, soit en tant que responsable du traitement, soit en tant que sous-traitant, ayant son établissement au sein de l’Union Européenne, que le traitement ait lieu ou non dans l’Union, est concernée par le RGPD.

Le RGPD s’applique également à des acteurs hors de l’EU, dès lors ces acteurs proposent des offres de bien ou de service à des personnes se trouvant sur le territoire de l’Union où lorsque ces mêmes acteurs traitent en masse des données concernant ces mêmes personnes.

dates-cles-rgpd

Source

  • Un traitement des données à caractère personnel ?

Par la notion de traitement, le RGPD entend notamment la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des données à caractère personnel.

La notion de données à caractère personnel mérite, elle aussi, que l’on s’y attarde puisqu’elle s’entend de toute information se rapportant à une personne physique identifiée ou identifiable telles que le nom, prénom, l’adresse, mais encore des pseudos, photographies ou des numéros d’identification.

donnees-caractere-personnel

Source

1- Les impacts du RGPD

Le RGPD possède 4 impacts majeurs :

  • Renforcement des droits des personnes

Le RGPD a été l’occasion d’introduire de nouveaux droits ou de renforcer les droits des personnes existants comme le droit à l’information préalable, le droit à la transparence, le droit à l’effacement des données à caractère personnel, le droit de rectification, le droit d’accès, le droit au retrait de son consentement, le droit à la limitation du traitement ou encore le droit à l’opposition et le droit à la portabilité.

  • Protection et sécurisation

La sécurité des données à caractère personnel est surement le pan le plus important du RGPD avec un renforcement des obligations du responsable du traitement qui, au titre de l’article 32, doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

À ce titre, le RGPD propose certaines solutions de sécurité des traitements de données à caractère personnel telles que la pseudonymisation, la minimisation des données, le chiffrement, la confidentialité, la résilience ou encore la traçabilité traitements.

  • Relations avec les prestataires

L’article 28 du RGPD vient impacter de manière significative les relations que le responsable du traitement doit entretenir avec ses sous-traitants (le sous-traitant s’entend du prestataire qui traite les données pour le responsable de traitement, ex : offres SaaS, maintenance, centre d’appel, prestations de communication, …). En effet, cet article impose au responsable du traitement de faire appel uniquement à des sous-traitants « qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » de manière à ce que le sous-traitant garantisse, au même titre que le responsable du traitement, la protection des droits de la personne concernée.

Le RGPD vient, en outre, rendre obligatoire la signature d’un contrat entre le responsable du traitement du sous-traitant comprenant 8 clauses obligatoires. Par exemple, le sous-traitant ne pourra agir que sur instructions de son responsable du traitement et devra être en mesure de vérifier la légalité de celles-ci afin de pouvoir traiter des données à caractère personnel de son client.

relations-prestataires

  • Dispositions particulières relatives au profiling et au big data

Le RGPD a ainsi considéré dans son considérant n°71 que les personnes concernées avaient le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.

Si le responsable du traitement souhaite mettre en place un tel traitement, il devra y apporter les garanties appropriées comprenant une information spécifique de la personne concernée ainsi que le droit pour cette dernière d'obtenir une intervention humaine, d'exprimer son point de vue, d'obtenir une explication quant à la décision prise à l'issue de ce type d'évaluation et de contester la décision finale.

Toutes ces nouvelles obligations nécessitent une connaissance accrue de systèmes d’informations de l’entreprise et ainsi de réaliser une cartographie des traitements, des données à caractère personnel traitées ainsi que des prestataires travaillant pour son compte et traitant des données à caractère personnel.

La nomination d’un délégué à la protection des données ou également appelé DPO sera également obligatoire pour toutes les entreprises effectuant des traitements de données à grandes échelles ou traitant de données sensibles où pour les acteurs publics. Le DPO aura mission de contrôler la conformité des traitements de données à caractère personnel au sein de l’entreprise et sera un point de contact stratégique avec l’autorité de contrôle. Sa désignation doit donc être privilégiée même dans les cas où elle n’est pas obligatoire.

La conformité à ces nouvelles obligations est donc un préalable obligatoire pour toutes les entreprises et les acteurs publics puisque le non-respect des exigences du RGPD les exposera à des sanctions financières pouvant atteindre 10 à 20 millions d’euros ou 2% à 4% du chiffre d’affaires mondial.

Mais plus encore que les sanctions financières, ce sont surtout des risques relatifs aux préjudices qui pourront être causés aux personnes concernées qui sont aujourd'hui le plus redouté, le projet de loi français intégrant la possibilité d’une action de groupe en matière de données à caractère personnel, action dont les préjudices chiffrés pourront passablement dépasser les 4% du CA mondial.

2- RGPD : Quels changements pour le marketing ?

rgpd-mise-en-placeSi le RGPD concerne de nombreuses équipes au sein de l’entreprise, la fonction marketing fait clairement partie de celles figurant en première ligne.

Les opérations marketing seront observées de près en cas de contrôle : raison de plus d’être vigilant et de pouvoir démontrer une démarche sérieuse de mise en conformité.

Afin d’y voir plus clair, nous avons interrogé Mickaël Avoledo, directeur associé du cabinet M13h (Conseil data & technologies marketing), qui accompagne de grands comptes sur la mise en conformité RGPD de la fonction marketing.

  • Quelles nouvelles exigences en lien avec le marketing ?

Tout d’abord, l’esprit de la loi change. Si auparavant la démarche générale était celle de la déclaration préalable des traitements de données à caractère personnel, désormais le principe qui prévaut est celui dit de « l’accountability ». Derrière ce mot se cache un principe simple : l’entreprise doit être en mesure de démontrer à tout moment sa conformité règlementaire. Cela implique une documentation accrue, notamment des traitements de données à caractères personnel. Les équipes marketing seront donc mises à contribution pour alimenter le registre de traitements de l’entreprise, dans lequel figure la liste des traitements, leurs finalités, le type de donnés traitées, les acteurs concernés, …

rgpd-changements-marketing

Source

Deuxième exigence : les modalités de collecte des données, qui se déclinent sur plusieurs thèmes.  Citons par exemple :

  • La base légale de traitement : chaque traitement de données doit s’appuyer sur une base légale. La plus connue est le consentement de l’utilisateur. Ce dernier doit se faire sous la forme d’un acte positif clair (nous y reviendrons, car cela a un impact potentiel sur le reach). Mais d’autres bases existent et méritent d’être connues des marketeurs, comme l’intérêt légitime ou l’exécution du contrat.
  • L’information consommateur : le consommateur doit être informé d’un certain nombre de choses en cas de collecte et traitement de ses données à caractère personnel. Les informations à fournir sont listées en article 13 et 14 du RGPD : responsables de traitement et destinataires, modalités et finalités de traitement, droit des consommateurs, transferts de données hors UE, …
  • Les données collectées et leur conservation : le principe qui prévaut est la minimisation des données collectées et la proportionnalité par rapport aux finalités de collecte. Plus question par exemple de demander un numéro de téléphone pour permettre l’inscription à une newsletter. Pas question non plus de conserver indéfiniment les données : la durée de conservation doit elle aussi être proportionnelle aux finalités. On parle par exemple de 3 ans maximum pour les données de clients n’ayant plus interagît avec la marque, et toujours de 13 mois pour les cookies.

Enfin, le renforcement des droits des consommateurs pourra également impacter la fonction marketing.  Si les droits d’accès, d’opposition ou de rectification existaient déjà, de nouveaux droits apparaissent : droit à l’oubli, droit d’opposition au profilage, portabilité, limitation du traitement, … Les équipes marketing devront donc s’assurer que les outils utilisés permettent l’exercice de ces droits, et pourront être sollicitées lors de demandes des consommateurs en ce sens.

  • Quel impact sur les opérations marketing, et notamment le marketing digital ?

rgpd-marketing-digitalLe point qui inquiète le plus les marketeurs est lié à l’impact d’un consentement renforcé sur les volumes disponibles pour les ciblages (perte de reach). La première chose à étudier dans ce cadre est la base légale à retenir pour la collecte et le traitement de données à caractère personnel.

Pour le marketing direct, il y a peu de débat : l’immense majorité des acteurs se basent sur le consentement de l’utilisateur. En pratique, le consensus marché porte sur une case à cocher par finalité de traitement à placer dans les formulaires de recueil de données. L’opt-out (cases pré-cochées) est à bannir, et la preuve du consentement devra être conservée.

Pour le marketing web, on observe plusieurs écoles. Les plus permissifs invoquent la base légale de l’intérêt légitime pour collecter la donnée des visiteurs (cookies et parcours de navigation associés notamment) sans nécessiter d’obtenir leur consentement explicite. Si l’approche est défendable dans certains contextes, elle est aussi plus risquée juridiquement. D’autres s’appuient sur le consentement de l’utilisateur, mais là encore, les avis divergent sur la manière de l’implémenter, notamment sur la notion « d’acte positif clair » pour manifester son accord. La solution la plus stricte consiste à placer un bandeau cookie comprenant les mentions nécessaires et des cases à cocher par finalités de traitement. Dans ce cas, la perte de reach est évidente. D’autres défendent que la poursuite de navigation (scroll, clic dans la page, …) peut être considérée comme un acte positif clair. Les premières jurisprudences permettront sans doute de donner des interprétations plus uniformes de la loi sur ce sujet.

Pour finir sur ce thème du consentement, son impact s’étend au-delà des frontières de l’entreprise. Si vous utilisez des données de tiers pour vos ciblages (3rd party data, bases emails, …), vous avez tout intérêt à vérifier que le consentement des utilisateurs a été obtenu de manière valide, et l’exiger dans vos contrats avec vos fournisseurs (vous pourriez être co-responsable en cas de manquement). Inversement, c’est ce que vos fournisseurs peuvent exiger de vous si vous injectez vos propres données dans leurs systèmes, par exemple pour du retargeting. C’est notamment ce que Google a annoncé récemment et que Facebook prépare pour Custom Audiences.

  • Comment se mettre en conformité, et quelles opportunités saisir au passage ?

La démarche de mise en place est relativement classique. En synthèse : cadrage et définition de l’organisation, cartographie des traitements, analyses d’écarts et mise en conformité de l’existant, définition des process pour la conformité des nouveaux projets, sensibilisation et formation des équipes.

Si elle est souvent vécue comme une contrainte, cette démarche peut présenter plusieurs intérêts pour les marketeurs. D’abord, une augmentation de la qualité des données utilisées pour les campagnes, même si leur volume pourra diminuer. Ensuite, une relation plus forte avec les consommateurs, et un regain de confiance de ces derniers vis-à-vis d’un écosystème marketing souvent pointé du doigt pour des abus dans l’utilisation des données. Enfin, la démarche est aussi l’occasion de repenser son marketing : un consentement renforcé favorise clairement les approches « inbound ». 

Nouveau call-to-action

Benjamin Blachère

Picture of Benjamin Blachère
Fondateur de SLAP digital, il est expert en acquisition de trafic et en optimisation de la conversion, et se consacre au développement de l'agence.
Suivez Benjamin Blachère :

Derniers Articles

Comment l’intelligence artificielle révolutionne le marketing digital
Découvrez notre livre blanc : Les synergies multi-leviers !
RGPD : Quels vont être les impacts au niveau juridique et marketing ?
Le droit des cookies, pas forcément digeste mais pas si complexe …
Google+ et le SEO : Ce qu'il faut savoir
Nouveau call-to-action

Nos derniers articles

Inscrivez-vous à notre Newsletter !

En Savoir Plus