Les 4 commandements du RGPD
Ce n'est plus une surprise : le RGPD entrera en vigueur le 25 mai 2018 et impose aux marques de suivre plusieurs commandements pour être jugées "conformes ".
Le RGPD, un séisme de magnitude 9 pour les marques ? "Si vous suivez déjà les principes de la loi relative à l'informatique, aux fichiers et aux libertés de 1978, vous êtes sur la bonne voie pour la mise en conformité au règlement sur la protection des données personnelles", rassure Clémence Scottez, chef du service des affaires économiques de la Cnil. Fini le règlement "punition", l'autorité conseille même de faire du texte une opportunité : "Le RGPD est l'occasion de purger les bases de données et de mieux cartographier et sécuriser les traitements des data", poursuit Clémence Scottez. Mais aussi de créer un nouveau contrat de confiance avec les consommateurs.
"Notre organisation n'a pas attendu le RGPD pour se préoccuper de la protection des données personnelles, témoigne Thomas Elm, data protection officer (DPO) d'AccorHotels. Mais j'ai commis l'erreur de présenter le règlement par rapport à la directive européenne de 1995, qui contient beaucoup de similitudes ; or, pour engager un maximum de personnes, il faut davantage présenter le RGPD comme une révolution." Cette "révolution" porte le nom de responsabilité, de consentement et de sécurité, notamment. "Avec l'entrée en vigueur du règlement sur la protection des données personnelles, les annonceurs font face à des obligations sur le fond - le renforcement des conditions de recueil du consentement, notamment - et sur la forme - à l'instar du mécanisme de responsabilisation des acteurs, avec un contrôle a posteriori de la Cnil, en lieu et place de la déclaration", fait part la chef du service des affaires économiques de la Cnil.
I La transparence des informations collectées, tu donneras
Les marques se doivent notamment de fournir à leurs clients/prospects, au moment où les données à caractère personnel sont collectées, les informations sur l'identité et les coordonnées du responsable de traitement (et le cas échéant, du représentant du responsable de traitement ou du DPO) et les finalités du traitement auquel sont destinées les data - ainsi que la base juridique du traitement -, les destinataires des données à caractère personnel et si le responsable du traitement a l'intention d'effectuer un transfert de ces données vers un pays tiers ou une organisation internationale. La durée de conservation des données doit également être transmise aux clients. Il est à savoir que ces données doivent être conservées uniquement le temps nécessaire à l'accomplissement du ou des objectifs poursuivi(s) lors de la collecte. Pour Clémence Scottez, "le traitement du profilage est nouveau et les annonceurs doivent être plus transparents sur le fondement de la collecte. L'intérêt légitime du consommateur prime". Il appartient aux marques de regrouper toutes ces informations dans un registre, état des lieux du traitement en cours - et consultable à tout moment par la Cnil.
II Le consentement, tu recueilleras
"Le règlement renforce les conditions de recueil du consentement à traiter les données personnelles, rappelle Clémence Scottez. Celui-ci doit être traçable et prouvable, précisant à quel moment et sous quelles conditions il a été effectué. Le RGPD offre également aux individus la possibilité de retirer leur consentement", poursuit-elle. E-mail, téléphone... tous les leviers marketing sont désormais soumis au principe de l'opt-in. Mais attention à ne pas tomber dans l'excès inverse. "Le manque de connaissance quant au fonctionnement des outils de collecte, comme les DMP, a conduit les entreprises à déployer sur leurs sites des choix d'UX castrateurs pour le marketing, ne donnant envie à aucun consommateur de faire le choix de donner ses data", met en garde Dounia Zouine, manager au sein du cabinet Converteo.
Le règlement signale que "le traitement n'est licite que si, et dans la mesure où [...] la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques". La route est longue : à date, 94 % des acteurs ne collectent pas de consentement pour traiter les données personnelles à des fins de recommandations, personnalisation ou de scoring et 84 % ne le font pas lorsque leur finalité est la prospection commerciale ou le ciblage publicitaire, selon le baromètre Converteo (octobre 2017).
III L'information sur les "nouveaux droits", tu garantiras
Les marques ont dorénavant l'obligation d'informer les consommateurs sur l'existence d'un droit à la portabilité de leurs données... et à leur effacement. "L'entreprise doit offrir un système qui permet à ses clients de récupérer leurs informations personnelles dans un format lisible, structuré et exploitable", précise la chef du service des affaires économiques de la Cnil. Le règlement prévoit également l'obligation de la nomination d'un DPO - notamment lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles. Cet expert du RGPD en interne veille au respect des droits d'accès, de rectification et de suppression des données, ainsi qu'à leur sécurité.
IV La responsabilité avec les sous-traitants, tu partageras
La responsabilité du bon traitement des données à caractère personnel incombe au responsable du traitement de la donnée dans l'entreprise, mais également - c'est la nouveauté - aux sous-traitants qui pourraient avoir accès à ces données personnelles. "Les annonceurs doivent les accompagner dans la mise en place des mesures de sécurité et prévoir des clauses dans les contrats", alerte Clémence Scottez. Le règlement impose ainsi au responsable de traitement de la donnée d'organiser la sécurité des données à caractère personnel dès la conception du produit ou du service (privacy by design), via la pseudonymisation et le chiffrement de données à caractère personnel, notamment. En cas de violation de données à caractère personnel, la marque a également obligation de notifier la Cnil dans les 72 heures.
Pour aller plus loin :
- Comment se préparer au RGPD ?
- 3 solutions pour être RGPD compatible au 25 mai 2018
Lire aussi : RH : 5 réflexes à prendre avec le RGPD
- Quelle est la maturité des marques sur la protection des données ?
- Fiche métier : Data Protection Officer
- 4 points du règlement sur la protection des données personnelles à anticiper
Sur le même thème
Voir tous les articles Data