Date de publication : 06 avril 2018
Temps de lecture : 9 min.
Niveau : Débutant
Le Règlement (UE) 2016-679, ou plus communément appelé le « RGPD », traite des nouvelles obligations des entreprises en matière de protection des données à caractère personnel et entrera en vigueur à partir du 25 mai 2018.
Le Règlement (UE) 2016-679, ou plus communément appelé le « RGPD », traite des nouvelles obligations des entreprises en matière de protection des données à caractère personnel et entrera en vigueur à partir du 25 mai 2018.
Pour débuter ce dossier, nous avons interrogé un cabinet d’avocats experts en digital : racine avocats et plus précisément Eric Barbry et Marianne Long afin de nous éclairer plus amplement sur la partie juridique du RGPD.
Toute entreprise et les acteurs publics, traitant de données à caractère personnel, soit en tant que responsable du traitement, soit en tant que sous-traitant, ayant son établissement au sein de l’Union Européenne, que le traitement ait lieu ou non dans l’Union, est concernée par le RGPD.
Le RGPD s’applique également à des acteurs hors de l’EU, dès lors ces acteurs proposent des offres de bien ou de service à des personnes se trouvant sur le territoire de l’Union où lorsque ces mêmes acteurs traitent en masse des données concernant ces mêmes personnes.
Source : protiviti
Par la notion de traitement, le RGPD entend notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données à caractère personnel.
La notion de données à caractère personnel mérite, elle aussi, que l’on s’y attarde puisqu’elle s’entend de toute information se rapportant à une personne physique identifiée ou identifiable telles que le nom, prénom, l’adresse, mais encore des pseudos, photographies ou des numéros d’identification.
Source : cil cnrs
Le RGPD possède 4 impacts majeurs :
Le RGPD a été l’occasion d’introduire de nouveaux droits ou de renforcer les droits des personnes existants comme le droit à l’information préalable, le droit à la transparence, le droit à l’effacement des données à caractère personnel, le droit de rectification, le droit d’accès, le droit au retrait de son consentement, le droit à la limitation du traitement ou encore le droit à l’opposition et le droit à la portabilité.
La sécurité des données à caractère personnel est surement le pan le plus important du RGPD avec un renforcement des obligations du responsable du traitement qui, au titre de l’article 32, doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
À ce titre, le RGPD propose certaines solutions de sécurité des traitements de données à caractère personnel telles que la pseudonymisation, la minimisation des données, le chiffrement, la confidentialité, la résilience ou encore la traçabilité traitements.
L’article 28 du RGPD vient impacter de manière significative les relations que le responsable du traitement doit entretenir avec ses sous-traitants (le sous-traitant s’entend du prestataire qui traite les données pour le responsable de traitement, ex : offres SaaS, maintenance, centre d’appel, prestations de communication, …). En effet, cet article impose au responsable du traitement de faire appel uniquement à des sous-traitants « qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » de manière à ce que le sous-traitant garantisse, au même titre que le responsable du traitement, la protection des droits de la personne concernée.
Le RGPD vient, en outre, rendre obligatoire la signature d’un contrat entre le responsable du traitement du sous-traitant comprenant 8 clauses obligatoires. Par exemple, le sous-traitant ne pourra agir que sur instructions de son responsable du traitement et devra être en mesure de vérifier la légalité de celles-ci afin de pouvoir traiter des données à caractère personnel de son client.
Le RGPD a ainsi considéré dans son considérant n°71 que les personnes concernées avaient le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.
Si le responsable du traitement souhaite mettre en place un tel traitement, il devra y apporter les garanties appropriées comprenant une information spécifique de la personne concernée ainsi que le droit pour cette dernière d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision finale.
Toutes ces nouvelles obligations nécessitent une connaissance accrue de systèmes d’informations de l’entreprise et ainsi de réaliser une cartographie des traitements, des données à caractère personnel traitées ainsi que des prestataires travaillant pour son compte et traitant des données à caractère personnel.
La nomination d’un délégué à la protection des données ou également appelé DPO sera également obligatoire pour toutes les entreprises effectuant des traitements de données à grandes échelles ou traitant de données sensibles où pour les acteurs publics. Le DPO aura mission de contrôler la conformité des traitements de données à caractère personnel au sein de l’entreprise et sera un point de contact stratégique avec l’autorité de contrôle. Sa désignation doit donc être privilégiée même dans les cas où elle n’est pas obligatoire.
La conformité à ces nouvelles obligations est donc un préalable obligatoire pour toutes les entreprises et les acteurs publics puisque le non-respect des exigences du RGPD les exposera à des sanctions financières pouvant atteindre 10 à 20 millions d’euros ou 2% à 4% du chiffre d’affaires mondial.
Mais plus encore que les sanctions financières, ce sont surtout des risques relatifs aux préjudices qui pourront être causés aux personnes concernées qui sont aujourd’hui le plus redouté, le projet de loi français intégrant la possibilité d’une action de groupe en matière de données à caractère personnel, action dont les préjudices chiffrés pourront passablement dépasser les 4% du CA mondial.
À lire aussi :
Google Analytics – Quel plan d’actions et quelles alternatives ?
Si le RGPD concerne de nombreuses équipes au sein de l’entreprise, la fonction marketing fait clairement partie de celles figurant en première ligne.
Les opérations marketing seront observées de près en cas de contrôle : raison de plus d’être vigilant et de pouvoir démontrer une démarche sérieuse de mise en conformité.
Afin d’y voir plus clair, nous avons interrogé Mickaël Avoledo, directeur associé du cabinet M13h (Conseil data & technologies marketing), qui accompagne de grands comptes sur la mise en conformité RGPD de la fonction marketing.
Tout d’abord, l’esprit de la loi change. Si auparavant la démarche générale était celle de la déclaration préalable des traitements de données à caractère personnel, désormais le principe qui prévaut est celui dit de « l’accountability ». Derrière ce mot se cache un principe simple : l’entreprise doit être en mesure de démontrer à tout moment sa conformité règlementaire. Cela implique une documentation accrue, notamment des traitements de données à caractères personnel. Les équipes marketing seront donc mises à contribution pour alimenter le registre de traitements de l’entreprise, dans lequel figure la liste des traitements, leurs finalités, le type de donnés traitées, les acteurs concernés, …
Deuxième exigence : les modalités de collecte des données, qui se déclinent sur plusieurs thèmes. Citons par exemple :
Enfin, le renforcement des droits des consommateurs pourra également impacter la fonction marketing. Si les droits d’accès, d’opposition ou de rectification existaient déjà, de nouveaux droits apparaissent : droit à l’oubli, droit d’opposition au profilage, portabilité, limitation du traitement, … Les équipes marketing devront donc s’assurer que les outils utilisés permettent l’exercice de ces droits, et pourront être sollicitées lors de demandes des consommateurs en ce sens.
Le point qui inquiète le plus les marketeurs est lié à l’impact d’un consentement renforcé sur les volumes disponibles pour les ciblages (perte de reach). La première chose à étudier dans ce cadre est la base légale à retenir pour la collecte et le traitement de données à caractère personnel.
Pour le marketing direct, il y a peu de débat : l’immense majorité des acteurs se basent sur le consentement de l’utilisateur. En pratique, le consensus marché porte sur une case à cocher par finalité de traitement à placer dans les formulaires de recueil de données. L’opt-out (cases pré-cochées) est à bannir, et la preuve du consentement devra être conservée.
Pour le marketing web, on observe plusieurs écoles. Les plus permissifs invoquent la base légale de l’intérêt légitime pour collecter la donnée des visiteurs (cookies et parcours de navigation associés notamment) sans nécessiter d’obtenir leur consentement explicite. Si l’approche est défendable dans certains contextes, elle est aussi plus risquée juridiquement. D’autres s’appuient sur le consentement de l’utilisateur, mais là encore, les avis divergent sur la manière de l’implémenter, notamment sur la notion « d’acte positif clair » pour manifester son accord. La solution la plus stricte consiste à placer un bandeau cookie comprenant les mentions nécessaires et des cases à cocher par finalités de traitement. Dans ce cas, la perte de reach est évidente. D’autres défendent que la poursuite de navigation (scroll, clic dans la page, …) peut être considérée comme un acte positif clair. Les premières jurisprudences permettront sans doute de donner des interprétations plus uniformes de la loi sur ce sujet.
Pour finir sur ce thème du consentement, son impact s’étend au-delà des frontières de l’entreprise. Si vous utilisez des données de tiers pour vos ciblages (3rd party data, bases emails, …), vous avez tout intérêt à vérifier que le consentement des utilisateurs a été obtenu de manière valide, et l’exiger dans vos contrats avec vos fournisseurs (vous pourriez être co-responsable en cas de manquement). Inversement, c’est ce que vos fournisseurs peuvent exiger de vous si vous injectez vos propres données dans leurs systèmes, par exemple pour du retargeting. C’est notamment ce que Google a annoncé récemment et que Facebook prépare pour Custom Audiences.
La démarche de mise en place est relativement classique. En synthèse : cadrage et définition de l’organisation, cartographie des traitements, analyses d’écarts et mise en conformité de l’existant, définition des process pour la conformité des nouveaux projets, sensibilisation et formation des équipes.
Si elle est souvent vécue comme une contrainte, cette démarche peut présenter plusieurs intérêts pour les marketeurs. D’abord, une augmentation de la qualité des données utilisées pour les campagnes, même si leur volume pourra diminuer. Ensuite, une relation plus forte avec les consommateurs, et un regain de confiance de ces derniers vis-à-vis d’un écosystème marketing souvent pointé du doigt pour des abus dans l’utilisation des données. Enfin, la démarche est aussi l’occasion de repenser son marketing : un consentement renforcé favorise clairement les approches « inbound ».
Toute l'équipe SLAP digital se tient à votre disposition pour vous accompagner dans l'optimisation de votre stratégie digitale !
Découvrez nos prestationsDécouvrez nos livres blancs spécialisés sur les divers thèmes du marketing digital et téléchargez les gratuitement.
Nos livres blancsBesoin d'un coup de main ?
Vous souhaitez nous faire part de vos projets ou de vos besoins d’accompagnement ?
N’hésitez pas à nous contacter par téléphone au 01 85 08 03 49 ou à remplir le formulaire. Nous vous contacterons rapidement pour en savoir plus. Venez nous challenger, nous en ferons autant !
Contactez-nous