[Itw] Données personnelles et Marketing : ce qui change avec le RGPD

avril 20, 2017
Noemie MEYLAN
donnes-personnelles-impact-rgpd-marketing

Le nouveau règlement européen sur la protection des données personnelles va imposer de nouvelles contraintes à l’ensemble des entreprises qui gèrent des données sur leurs clients

Le RGPD – Règlement Général sur la Protection des Données (en anglais : General Data Protection Regulation, GDPR) – est LE sujet qui inquiète aujourd’hui nombre de Dirigeants d’entreprises et préoccupe en premier lieu les Directions Marketing ! En effet, cette nouvelle réglementation européenne qui sera applicable dès le 25 mai 2018 (dans un an, donc) a pour ambition de « faire le ménage » dans les pratiques actuellement disparates – et parfois contestées –  des entreprises en matière de gestion des données personnelles de leurs clients… Avec des intentions louables en matière de protection des droits du consommateur, mais un impact potentiellement lourd pour les entreprises, qui vont devoir mettre en œuvre des mesures importantes pour répondre aux exigences de ce nouveau texte sur la sécurité des données personnelles.

4 questions à Benoît De Nayer (juriste spécialiste du droit des consommateurs et co-fondateur d’Actito, plateforme de Marketing Automation multi-canal) pour vous aider à y voir plus clair.

1. Qu’est-ce que le RGPD et à quels objectifs répond cette nouvelle réglementation sur la protection des données personnelles ?

Le Règlement Général sur la Protection des Données est un instrument européen qui a vocation à remplacer les anciennes directives européennes en matière de protection des données personnelles.

Celles-ci dataient notamment des années 90, et présentaient l’inconvénient de devoir ensuite être retranscrites dans chaque pays de la communauté (avec des possibilités d’interprétation spécifique au droit de chacun des Etats membres) ce qui avait pour effet de créer des disparités dans l’application de ces règlements.

Le RGPD, quant à lui, est un texte d’application directe : une fois voté par le Parlement Européen, il n’est pas retranscrit dans des versions différentes au niveau des Etats, mais seulement traduit dans chacune des langues des pays concernés.

Il répond donc à un premier objectif d’harmonisation des règles applicables au niveau européen, afin d’assurer des niveaux de protection des données personnelles nettement plus homogènes partout en Europe.

L’intérêt pour les entreprises, c’est qu’elles savent désormais de façon claire à quelle règlementation elles sont soumises en matière de sécurité des données personnelles, quel que soit leur pays européen d’origine ou de rattachement.

Il n’y aura donc plus lieu de privilégier l’installation dans certains pays (on pense notamment à l’Irlande) du fait d’une transposition plus souple de la règlementation sur la protection des données personnelles dans ces pays, comme l’a fait Facebook, par exemple.

Ce nouveau règlement a également pour objectif de renforcer la protection des données à caractère personnel et se montre plus protecteur envers les droits des consommateurs, ce qui peut faire apparaître ce texte à certains égards comme plus sévère que les règlements précédents, même si cette impression est à relativiser dans la pratique.

2. Quelles données et quelles entreprises sont concernées ?

Le texte et la réglementation s’appliquent aux données à caractère personnel, c’est-à-dire à toutes les « données se rapportant à des personnes identifiées ou identifiables ». A ce titre, une entreprise comme LinkedIn par exemple est directement concernée.

En pratique, le règlement concerne aujourd’hui la plupart des entreprises et des services publics, qui dans une grande majorité collectent et gèrent des données relatives à leurs clients (ou adhérents, usagers, patients…).

Il intéresse en particulier celles qui en font usage à des fins marketing, car dans ce cas, la nouvelle réglementation implique de nouvelles contraintes ou précautions à prendre dans les modalités de gestion et d’exploitation de ces données, assorties de sanctions potentiellement lourdes pour les contrevenants. *

Sont exclues du périmètre les données relatives aux entreprises et aux personnes morale (types données administratives consultables en ligne : coordonnées du siège, nombre de salariés, éléments de bilan comptable, ndlr) – qui ont un caractère public.

Contrairement à une confusion parfois opérée, les entreprises qui s’adressent à une clientèle BtoB sont également concernées, dès lors qu’elles collectent et exploitent des données relatives à des individus, par exemple à des contacts identifiés au sein de leurs comptes clients (c’est généralement le cas).

L’autre critère pris en compte est celui du mode de traitement de ces données : dès lors que votre fichier client (qui comporte des données personnelles, donc) fait l’objet d’un « traitement automatisé » – comprendre, pour faire simple, dès que ces données font l’objet d’un enregistrement informatique – vous entrez dans le champ d’application du RGPD.

En résumé, sont concernées : toutes les entreprises qui collectent et traitent informatiquement des données rattachées à des individus sur le territoire européen. Et ce, qu’elles le fassent pour leur propre compte, ou pour le compte d’un tiers.

Ce qui signifie concrètement que les entreprises proposant des services de location de base de données, de stockage des données, ou les éditeurs de solutions en SAAS à usage de marketing direct (comme nous) portent la responsabilité du respect de ces nouvelles règles au même titre que les entreprises dont elles gèrent/stockent les données…

En théorie, le règlement s’applique également à des entreprises basées en dehors de l’U.E., dès lors qu’elles traitent les données personnelles de citoyens européens (donc, par exemple, il concerne une entreprise comme Google).

3. Quel impact cela va-t-il avoir, en pratique, pour les entreprises ?

Au sein des entreprises qui entrent dans ce champ d’application, de nombreux services sont donc directement impactés : du service client au marketing en passant par les ressources humaines, la facturation, le service juridique ou le service commercial, beaucoup d’entre eux collectent et gèrent des données à caractère personnel à des fins diverses.

Et ce qui est frappant aujourd’hui lorsqu’on demande aux entreprises quelles type de données personnelles elles gèrent, c’est que dans la plupart des cas elles ont du mal à répondre à cette question, car elles n’ont pas une vision globale des différentes données détenues par leurs services, ni des usages qui en sont faits !

Un des premiers impacts important de la nouvelle réglementation (et un de ces objectifs affichés) est donc d’obliger les entreprises à se doter de cette vision globale en procédant au recensement systématique de leurs différentes bases de données.

4. Que doivent faire les entreprises pour « se mettre en conformité » avec ces nouvelles règles en matière de gestion des données personnelles ?

1/ En lien avec le point que nous venons d’évoquer, tous les traitements de données personnelles effectués par l’entreprise devront désormais être recensés au sein d’un registre et « documentés » (quel type de données, pour quel type d’usage, quelles modalités de traitement : interne, sous-traitance…)

2/ Les entreprises qui collectent des données personnelles à des fins de Marketing direct devront désormais recueillir l’accord explicite et éclairé des personnes pour le faire, et être en capacité d’en apporter la preuve.

3/ D’une manière générale, les entreprises auront l’obligation d’expliquer de façon visible (pas de petites lignes) et claire (compréhensible de tous) le traitement et l’utilisation qu’elles vont faire de ces données, dans une logique de transparence.

Les cases pré-cochées pour inciter à accepter de recevoir des publicités ou de céder ses données à des personnes tierces n’auront plus court, par exemple.

4/ Le règlement prévoit également l’interdiction de collecter et d’exploiter des données concernant des enfants (de moins de 16 ans). Pour collecter des informations sur les centres d’intérêts des enfants, les entreprises (comme Disney, Coca-Cola ou Facebook par exemple) devront obtenir au préalable l’autorisation explicite de leurs parents.

5/ Elles devront enfin garantir aux consommateurs :  le droit de s’opposer purement et simplement à certains types de traitement de leurs données (utilisation marketing, transmission à des tiers…), mais aussi la possibilité de les effacer (droit à l’oubli) ou encore de les transférer vers un autre « opérateur » ou prestataire (portabilité des données).

6/ Enfin, notamment s’il s’agit d’entreprises publiques, d’entreprises de plus de 250 salariés ou d’entreprises traitant des données à caractère sensible (données bancaires, médicales ou à caractère confidentiel), elles devront – mais c’est généralement déjà le cas pour ces dernières – mettre en place des procédures spécifiques de sécurisation de leurs données.

Cela va se traduire par des mesures à la fois techniques et organisationnelles, avec notamment la nomination (ou le recrutement) d’un responsable de la sécurisation des données, ou CDO – Chief Data Officer – véritable « moutons à 5 pattes » qui devra centraliser des compétences juridiques et techniques pointues.

On peut craindre qu’une partie des exigences règlementaires restent des vœux pieux, du fait de la complexité de mise en pratique qu’elles impliquent (portabilité des données par exemple). Mais ces contraintes feront probablement naître également de nouveaux marché et apparaître de nouvelles solutions techniques pour résoudre ces difficultés.

Le rôle du CDO sera de réaliser le recensement initial de l’ensemble des données gérées par l’entreprise, puis de mettre en place les procédures nécessaires et de former l’ensemble du personnel sur ces sujets.

Dans sa tâche, il pourra s’appuyer sur les CNIL, qui vont suivre à l’échelon national la mise en œuvre de cette nouvelle réglementation sur la protection des données.

D’un point de vue plus général, les entreprises pourront aussi s’inspirer des bonnes pratiques déjà mises en œuvre de longue date par toutes les sociétés traitant des données à caractère sensibles, et des normes ISO déjà définies sur ces sujets.

Pour aller plus loin, ne manquez pas la conférence : 


* : Le RGPD prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du CA global mondial de l’entreprise en cas d’infraction grave à la réglementation sur la protection des données.

Rejoignez le groupe LinkedIn français sur le sujet de la RGDP : cliquez-ici

D’autres articles en lien parus sur notre blog : 

Sur le sujet du RGPD, ressources diffusées par la CNIL : 

The following two tabs change content below.

Noemie MEYLAN

Responsable Communication et WebMarketing
EMail : noemie.meylan@kestio.com
Téléphone : +33 (0)4 72 38 11 17

Exigez le meilleur !

Recevez chaque mois le meilleur
de la Performance Commerciale et de l'Expérience Client
(conseils, dossiers et points de vue, benchmark et best practices).

Votre adresse e-mail ne sera jamais partagée avec un tiers et vous ne recevrez que le type de contenu auquel vous vous êtes inscrit.

Website Security Test