Le RGPD fait beaucoup parler de lui et c’est normal, presque toutes les entreprises sont dans l’obligation de revoir l’ensemble de leurs processus de gestion des données pour être en conformité avec ce que prévoient le nouveau règlement européen.
À partir du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) sera applicable à toutes les entreprises qui collectent des données personnelles (ce qui est surement votre cas si vous avez une stratégie de marketing digital). Adopté par tous les membres de l’Union Européenne, il va permettre la constitution d’un nouveau cadre juridique pour les traitements des données à caractère personnel.
Si le règlement induit de nouvelles contraintes pour les équipes marketing de chaque entreprise (et de lourdes amendes en cas d’infraction), il est également source d’opportunités qu’il faut savoir identifier.
L’application de ce nouveau règlement n’est pas un hasard ! En effet, de plus en plus d’entreprises collectent et utilisent les données de leurs prospects ou clients afin de mieux personnaliser leur relation avec chaque contact.
Parfois utilisées à outrance, le non-respect de la vie privée des utilisateurs est un sujet qui ne cesse de préoccuper les internautes et les gouvernements.
De plus, les récurrentes affaires de vol de données personnelles viennent renforcer cette idée de la création d’un cadre juridique pour limiter les risques de diffusion de données sensibles auprès de pirates malveillants.
En réponse à ces risques portés sur les données privées, le RGPD implique d’importants changements et notamment pour tous les professionnels du marketing. La réglementation impose une véritable démarche de mise en conformité que votre entreprise ne doit en aucun cas sous-estimer
Toutes les entreprises qui collectent des données à caractère personnel (toute information permettant d’identifier de manière directe ou indirecte une personne physique) sont concernées.
En fonction de la taille de l’entreprise, des ajustements sont prévus pour alléger les différentes procédures qui peuvent être complexes et chronophages pour les Petites et Moyennes Entreprises (PME).
Par exemple, la tenue d’un registre des activités de traitement n’est pas obligatoire pour toutes les sociétés qui ont moins de 250 salariés. Cependant, cette exception dépend tout de même du degré de sensibilité des données et du type de traitement opéré.
La conformité au RGPD est obligatoire pour toutes les entreprises collectant des données sur des citoyens européens, en cas de non-respect du règlement, l’Union Européenne prévoit des sanctions financières administratives importantes.
Deux cas sont possibles :
Les sanctions ne se limitent pas uniquement à une amende pécuniaire. En effet, la Cour de Justice de l’Union Européenne peut également selon le contexte :
À l’heure actuelle, il est encore impossible de connaître les dispositifs qui vont être mis en place pour réaliser les contrôles. Cependant, la gravité des sanctions encourues est un signal assez fort pour que les dispositions de la réglementation ne soient pas prises à la légère.
Comme symbole des préoccupations liées à la protection des données, Uber s’est récemment fait pirater une partie de son système et cela implique des données personnelles sur 50 millions de clients et 7 millions de chauffeurs.
Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit personnellement à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage. Il reproche à la firme américaine de ne pas avoir fait part de l’existence de cet incident auprès des autorités françaises et que cela deviendra obligatoire dès la mise en application du RGPD en mai 2018.
Concrètement l’objectif de la RGPD est de renforcer la confiance des consommateurs envers les entreprises qui utilisent leurs données au quotidien pour divers usages.
Le règlement prévoit de considérer les adresses email, numéro de téléphone, fonction, adresse postale, adresse IP, cookies et autres éléments physiques comme des données personnelles. Ainsi, les techniques de profilage (ou de scoring) sont notamment particulièrement visées.
Autre point essentiel, le recueil du consentement explicite des utilisateurs est au coeur des enjeux du RGPD. Tout utilisateur qui reçoit des contenus, emails et autres types de communication doit avoir exprimé au préalable son accord de manière explicite.
Longtemps ambigu pour une bonne partie des professionnels du secteur, la prise de contact avec des ressortissants de l’Union Européenne ne peut se faire seulement s’ils ont décidé de fournir leurs informations personnelles
En d’autres termes, c’est la fin des emails B2C à des masses d’utilisateurs non consentants.
L’article 35 de la RGPD oblige les entreprises à prendre en compte deux problématiques lors du traitement des données :
Pour évaluer le niveau du risque, plusieurs critères sont à prendre en compte :
Pour aller plus loin, vous pouvez consulter les informations diffusées par le G29 (Groupe de travail Article 29 sur la protection des données).
Afin de répondre à toutes les exigences du nouveau règlement, vous allez devoir réviser vos différents processus, notamment :
Vous devez être capable de noter le moyen par lequel vous avez acquis un nouveau contact dans votre base. Cette information doit être visible pour tous les contacts et c’est également applicable à toutes vos bases de données.
Vous devez être capable d’exporter toutes vos données en cas de contrôle ou sous la demande explicite d’un de vos clients, sous un format consultable électroniquement.
Vous devez réécrire vos mentions légales afin de les faire correspondre avec les nouvelles exigences de la RGPD. Vos utilisateurs doivent comprendre explicitement la finalité des données collectées.
Vos formulaires doivent comporter des cases à cocher qui permettent de mentionner clairement l’accord d’un individu pour rentrer dans votre base de données. Il doit exprimer son contentement pour chaque finalité (prise de contact, emails, revente de données à un tiers…).
Si vous avez des contacts inactifs depuis plus de 3 ans, vous devrez mettre en place des procédures pour automatiser la suppression de leurs informations.
Les bandeaux qui indiquent la présence de cookies doivent évoluer, il est nécessaire de présenter leur durée de vie (13 mois au maximum) et de recueillir une nouvelle fois le consentement de l’utilisateur lorsque le délai est passé.
Exemple de présentation des cookies par la CNIL : "En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites]."
Source : CNIL.
Le RGPD implique de nombreuses modifications dans vos procédures de traitement des données qui mèneront à des bases mieux qualifiées et un respect des droits des utilisateurs. L’ensemble peut vous paraître chronophage et c’est normal, faites-vous accompagner par un expert pour assurer votre transition vers les bonnes pratiques. C’est à cette condition que se construira une relation de confiance entre les utilisateurs et votre marque.