Êtes-vous en conformité avec la future réglementation de protection des données personnelles ?

2018-09-16T14:00:07+00:00 12 avril 2017|

Êtes-vous en conformité avec la future réglementation de protection des données personnelles ?

Vous avez dit RGPD ?

C’est le Règlement Général de Protection des Données. Règlement acté par le parlement européen et paru au journal officiel le 27 avril 2016 dont le but est de renforcer et d’uniformiser les règles de protection des personnes vis-à-vis de l’utilisation digitale faite de leurs données personnelles. Avant de rentrer dans le détail du Q3 (Qui/Quand/Quoi), refaisons un peu d’histoire récente. Comme dans beaucoup de domaines, le monde du CRM et du Marketing évolue de plus en plus vite en s’appuyant sur chaque nouveau support technologique mis à sa disposition. Cette évolution, loin d’être de l’Annule et Remplace, nous fait rentrer de plus en plus dans le monde du multicanal. Les affiches à l’arrêt de bus n’ont pas disparu avec l’arrivée du Social Marketing !

En parallèle de ces évolutions, venues pour la plupart d’outre-Atlantique, les législations nationales et transnationales Européennes, bien que sensibles aux impacts possibles de ces nouveaux outils, ont bien du mal à suivre le rythme. Ce règlement, en gestation depuis 4 ans, a pour objectif de rattraper le retard pris par les instances européennes.

Qui sera concerné par ce nouveau règlement ?

Toutes les entreprises manipulant des données concernant des ressortissants de l’Union Européenne, dans le cadre d’activité (des ressortissants) se situant sur le sol de l’UE. Inutile donc d’aller stocker les informations et les serveurs dans un pays hors UE ! La règle tient compte de la situation géographique de l’activité du ressortissant, pas de la situation géographique de l’entreprise ou de la donnée. Les règlementations locales des pays de l’UE pourront toujours venir compléter ou renforcer cette règlementation Européenne.

Quels sont les principaux changements ?

Bien entendu la réponse dépend de la règlementation déjà en place dans chacun des pays de l’UE. Globalement, ils vont concerner notre façon de gérer le consentement des personnes quant à l’utilisation de leurs données, la transparence des entreprises vis-à-vis de ces données et enfin la capacité à démontrer la bonne application de la règlementation.

L’utilisation des données personnelles ne pourra plus se faire sans l’accord libre, spécifique, informé et non ambigu du propriétaire de ces données. La demande de consentement devra se faire de façon distincte de toute autre demande et ne pourra en aucun cas être liée à l’exécution d’un contrat, d’une prestation autre que l’objectif de l’accord. De surcroit, chaque personne devra pouvoir à tout moment suspendre son consentement ou modifier les droits d’utilisation de ses données (Article 18). Le droit à l’oubli est renforcé, ce qui peut avoir un impact conséquent, tout particulièrement pour les entreprises dans le domaine de la santé. Sont également généralisées, sauf contexte très exceptionnel autorisé par la législation locale, les règles éthiques concernant les informations de santé, religion, ethniques, orientations sexuelles, etc. (Article 9).

Toute personne ayant communiqué des informations à une société sera en mesure de demander l’accès à ses données (Droit de rectification), leur correction voire leur suppression. Nouveauté particulière de ce texte (Article 20) : Sur demande d’une personne, la société doit s’engager à lui communiquer les données la concernant dans un format numérique permettant leur portabilité vers une autre destination. Sauf excès constaté ou demande non justifiée, ces services seront gratuits pour les demandeurs.

Pour gérer tous ces services, le texte prévois la nomination dans chaque entreprise d’un DPO (Data Protection Officer) dont les responsabilités seront multiples : Être garant du respect du règlement Européen et être capable de le démontrer, assurer les services aux personnes physiques demandant un accès à leurs données, déclarer les incidents de données (fuites) sous 72 heures à l’autorité locale ainsi qu’aux personnes physiques concernées (conformément à la loi de 2002). Enfin, les DPO seront responsables d’assurer une veille sur leur système d’information et sur les nouveaux usages de l’entreprise pouvant avoir un impact (probabilité, gravité) sur la protection des données personnelles.

En conclusion

Ce nouveau règlement abrogera et réactualisera des règles datant pour la plupart de plus de 20 ans. Il apporte une vision légale à la tendance actuelle du CRM cherchant à concilier Connaissance et Confiance des clients et prospects. En fonction de la maturité de chaque entreprise, la mise en application de ce texte nécessitera la mise en place de chantiers techniques et organisationnels conséquents pour être en mesure d’anticiper, de démontrer, de contrôler. Chantiers qui impacteront toute la chaîne d’acteurs digitaux allant des métiers aux éditeurs en passant par le légal, l’IT, les sociétés de conseil et les intégrateurs.

Bref, Anonymisation, Pseudonymisation, Consent Management, Privacy By Design, CIAM, Security management sont des expressions que nous devrions voir souvent d’ici mai 2018. Pour les sociétés concernées, ne rien faire reviendrait à s’exposer à une sanction pénale ou administrative allant jusqu’à 4% de son chiffre d’affaire mondial. Peut-être est-ce pour cela que la CNIL a vu son plafond légal des sanctions multiplié par 20 pour passer à 3 millions d’euros …

Pour en savoir plus, contactez-nous via la page Contact du site.

En poursuivant votre navigation, vous acceptez l'utilisation de cookies afin de nous permettre d’analyser la performance de notre site et de vous proposer une meilleure expérience utilisateur. Pour en savoir plus, vous pouvez consulter nos mentions légales.