RGPD : 5 éléments que vous avez peut-être manqués
La loi européenne sur la protection des données occupe les sujets de conversation à quelques mois de son entrée en vigueur. Et pour cause : les pratiques marketing pourraient être bouleversées par le texte.
Je m'abonneRGPD, a-t-on fait le tour de la question ? Rien n'est moins sûr, au vu des nombreuses questions qui ont émergé de la matinée "GDPR" organisée par Converteo (groupe ADLPerformance) et mediarithmics, en présence, notamment, de l'éditeur McAfee et de maître Marc-Antoine Ledieu. Objectif : rappeler l'essence du texte et les impacts sur les organisations du règlement sur la protection des données personnelles. Voici les éléments qui pourraient avoir échappé à la vigilance des professionnels du marketing :
1 / Le délai d'application : 2 018 ou 2 020 ?
Le règlement sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018. Par sa nature, le texte est directement applicable dans les 27 États membres - à la différence d'une directive qui laisse aux instances nationales la compétence quant à la forme et aux moyens de l'application. Au 25 mai 2018, les entreprises doivent donc être en conformité avec le règlement, sous peine de sanctions administrative et financière.
Pour autant, "selon la version française du règlement, il existe un délai de deux ans, à partir du 25 mai 2018, pour appliquer la réglementation", révèle maître Marc-Antoine Ledieu, avocat à la Cour, spécialisé dans le droit numérique et la propriété intellectuelle. En effet, comme l'indique le considérant 171 (l'une des 173 interprétations des tribunaux intégrées aux 99 articles du règlement) : "La directive 95 / 46 / CE devrait être abrogée par le présent règlement. Les traitements déjà en cours à la date d'application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur". Une interprétation contestée par la CNIL : "Le règlement européen a été adopté en mai 2016, il est d'application en mai 2018", explique la Commission Nationale de l'Informatique et des Libertés.
Lire aussi : Google, TF1, M6, Inoxtag, Meta... Médias et réseaux sociaux : quoi de neuf ? (18 - 22 novembre)
2 / Les données : quelles sont celles à ne (surtout) pas collecter ?
Le règlement sur la protection des données personnelles vise à encadrer la collecte et le traitement des données personnelles, c'est-à-dire toutes informations concernant une personne physique identifiée ou identifiable (nom, identifiant en ligne, données de localisation, par exemple). La collecte de certaines data dites "sensibles" est interdite par l'article 9 : les données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ; mais, aussi, les données génétiques, biométriques, concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique.
De plus, les données collectées doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
3/ Traitement des données : quand le consentement n'est-il pas obligatoire ?
Les professionnels du marketing se doivent de récolter le consentement de l'individu concerné avant de collecter des informations sur celui-ci. Mais, le consentement de récolte de certaines data ne saurait être demandé si le traitement est nécessaire à l'exécution du contrat. C'est le cas, par exemple, du nom et de l'adresse postale d'un client pour un e-commerçant, qui ne pourrait, sinon, lui envoyer sa commande. Autre exception : si le "traitement est nécessaire aux intérêts légitimes du responsable des données", pour la constitution de fichiers données clients, prospects et salariés.
L'article 21 rappelle que "la personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant [...] y compris un profilage fondé sur ces dispositions." Le responsable du traitement des données ne pourra ainsi plus effectuer de démarche de prospection commerciale ou de profilage, "mais il conserve la titularité des données clients", rappelle maître Marc-Antoine Ledieu.
4/ Obligations : quels sont les 3 incontournables ?
Le règlement fixe de nouvelles obligations pour le responsable des données, à savoir la nomination d'un Data Protection Officer (DPO), "qui rendra compte au plus haut niveau de la hiérarchie", la tenue d'un registre de traitement des données pour tous et la sécurisation des données (pseudonymisation et chiffrement).
5 / Sanctions : les géants, en ligne de mire ?
Le premier projet de réglementation sur la protection des données date de janvier 2012, rappelle maître Marc-Antoine Ledieu. Abandonné, le projet est remis au goût du jour par les révélations d'Edward Snowden des écoutes de la NSA. Dans le viseur de la réglementation européenne : les géants américains, Google, Facebook et autres Amazon, qui collectent à grande échelle les données des citoyens européens. Ce devrait être les premiers contrôlés - et le cas échéant sanctionnés "pour l'exemple", prônent les experts réunis à la matinée GDPR.
Pour aller plus loin :
- 4 points du règlement sur la protection des données à anticiper
- Comment se préparer au règlement européen sur la protection des données
- À quoi doivent s'attendre les marketers ?
- [Fiche métier] Le data protection officer