Actualités

Les 7 clés du RGPD appliquées au marketing

eventLe 28 novembre 2017

Par Gaëlle FONTAINE, co-fondatrice agence Aix Marseille

Le RGPD (Règlement Général sur la Protection des Données) est un ensemble de règles visant à harmoniser les lois de protection des données des personnes relevant de la juridiction de l’union européenne. Il sera pleinement applicable le 25 mai 2018 et contraint les entreprises et leurs sous-traitants à la mise en place d’actions pour assurer l’information des utilisateurs mais également la traçabilité et la sécurité de leurs données. Quel est l’impact sur le fonctionnement des entreprises et plus spécialement des services marketing et communication ? Et vous, êtes-vous prêts ?

RGPD, que dit le texte ?

Définitions

Ci-dessous nous emploierons quelques termes qui nécessitent une explication préalable :

Données personnelles : ce sont toutes les informations se rapportant à « une personne physique identifiée ou identifiable ». C’est à dire que la personne peut être identifiée grâce à ses données :

  • un identifiant, tel qu’un nom, un numéro d’identification
  • des données de localisation
  • un identifiant en ligne
  • un ou plusieurs éléments spécifiques propres à son identité  : physique, physiologique, génétique, psychique, économique, culturelle ou sociale

Attention, la personne peut être identifiée de manière indirecte, par exemple grâce à un identifiant, une adresse IP ou un numéro de client.

Traitement de données personnelles : c’est toute opération ou un ensemble d’opérations portant sur des données personnelles (collecte, tri, analyse, statistiques, actions marketing…).

Responsable des traitements de données : ce sont les personnes physiques ou morales en charge du traitement des données personnelles (par exemple, un responsable marketing peut être un responsable des traitements de données).

1. Les professionnels sont des personnes comme tout le monde

L’identification des données personnelles est relative à « toute personne physique identifiable ». Cela signifie qu’il n’y a pas de différence entre le cadre professionnel et le cadre personnel. Ajoutons que les enfants de moins de 16 ans sont encore plus protégés et que la collecte de leur données nécessite l’autorisation du représentant légal.

Application directe
Plus de campagne d’e-mailing b to b sauvages, plus d’inscription automatique aux Newsletters, les règles d’opt-in (voir ci-dessous) s’appliquent à tous. Les formulaires à destination des enfants de moins de 16 ans doivent demander l’accord des représentants légaux. A noter qu’il est précisé 16 ans dans le texte européen mais que le règlement laisse une marge de manoeuvre aux états entre 13 et 16 ans. L’âge définitif sera précisé dans le décret d’application français qui n’est pas encore publié.

rgpd opt in

2. Informer avant de collecter

Lors de la collecte des données l’utilisateur doit être informé de ses droits ainsi que des droits de l’entreprise. L’explication doit être « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Elle doit contenir l’ensemble des finalités liées à la collecte, les destinataires (services internes, prestataires, clients) avec le nom du responsable du traitement des données, la durée de conservation (qui doit être limitée et justifiée) et les mesures prises pour éviter les risques.

Application directe
Cette règle existait déjà mais l’exigence sur la quantité d’informations données et sur la qualité du support pour la communiquer était moindre. Il est préconisé par exemple de séparer l’information sur la protection des données des autres textes juridiques et d’utiliser des moyens ludiques pour l’explication (vidéos, infographies, tableaux clairs). Il sera important de créer des tableaux pour expliquer comment chaque donnée est stockée et quel sera son usage pour l’entreprise.

3. Apporter la preuve du consentement

La CNIL doit être capable de contrôler le consentement de telle ou telle personne vis à vis de l’utilisation de ses informations. Aucune préconisation n’est faite pour le moment quant à la méthode de restitution du consentement, mais cela renforce la notion « d’opt-in ».

Application directe
Il est donc obligatoire de demander l’autorisation d’utilisation des données avec au moins une case à cocher (qui n’est pas pré-cochée on le rappelle, c’est ce que l’on appelle des données opt-in). Pour autant, inutile d’aller, comme certains l’entendent, jusqu’au « double opt-in », technique qui consiste à envoyer un mail de validation suite à l’inscription à une newsletter. En revanche, nous conseillons vivement de conserver en back office une liste de formulaires d’inscription contenant le champs « utilisation des données autorisée ? Oui/Non ».

Pour les cookies de tracking, le réglement exige également un consentement explicite avec une preuve. Exit donc, le bandeau cookies déclaratif, place à la fenêtre pop-in de consentement avec la liste détaillée des cookies et leurs buts. A noter que, au moment où nous écrivons cet article, la CNIL n’a pas mis à jour ses préconisations concernant le bandeau cookies.

rgpd consentement

4. Donner la possibilité de portabilité des données

Le RGPD prévoit un nouveau droit pour l’utilisateur : celui de récupérer ses données dans un « format structuré, couramment utilisé et lisible par machine ». Cette révolution dans le domaine de la gestion des données va peu à peu transformer les usages afin d’utiliser les innovations technologiques pour transférer des données personnelles depuis une entreprise vers une autre sans effort et sans ressaisie chronophage, le tout sous le contrôle de la personne concernée.

Application directe
Deux tendances vont se dessiner. La première, à court terme, est la mise à disposition d’un fichier avec un format simple, de type .csv ou .xls, permettant à l’utilisateur de récupérer ses données. Plus aisé à réaliser quand l’utilisateur bénéficie d’un espace client. Dans le cas contraire, l’utilisateur devrait pouvoir recevoir le fichier par mail sur simple demande.

A moyen et long termes, c’est l’utilisation d’outils pour le transfert automatique des données d’une entreprise à l’autre qui va se développer. Des API pourront permettre des interfaces entre les différents responsables de traitement des données mais, plus efficace et totalement préconisée par le CEPD (contrôleur européen de la protection des données), c’est la solution « PIMS » qui va prendre le dessus. 

Un système de gestion de l’information personnelle (ou PIMS pour Personal Information Management System) est un outil de centralisation de nos données personnelles. Stockées localement ou dans le cloud (via un tiers de confiance), les données seront modifiables par son propriétaire et pourront être mises à disposition aux entreprises souhaitant y accéder avec son consentement.

« Je fais déjà cela avec Google », votre esprit « Google addict » a pris le dessus au moment où vous lisez ces lignes.

La différence entre des systèmes de centralisations de données avec SSO (single sign on) tels que Google ou Facebook et les PIMS est simple : Google et Facebook cherchent à monétiser vos données, les PIMS seront là pour les protéger.

5. Cartographier : le registre des activités de traitement des données

Chaque « responsable de traitement » de toute entreprise de plus de 250 salariés sera tenu de créer et de mettre à jour un document récapitulant les éléments relatifs à l’utilisation qu’il fait des données qu’il récolte. Les sous-traitants tiennent également un registre. La création du registre n’est pas obligatoire pour les entreprises plus petites sauf si les données récoltées sont des données sensibles (informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle) ou si leur usage présente un risque pour les droits et libertés des personnes.

Application directe
Voici la liste des éléments à faire apparaître dans le registre avec un exemple simple : le cas d’un formulaire d’inscription à une Newsletter.

  • Les noms et coordonnées de la personne gérant le traitement
    Ex : Noms et coordonnées du responsable marketing
  • La finalité du traitement
    Ex : Newsletter mensuelle dans le but d’informer les utilisateurs sur les nouveautés de l’entreprise
  • La segmentation des personnes et des données
    Ex : Contient les noms, prénoms, adresses mail, numéros de téléphones professionnels des utilisateurs qui sont des employés ou des dirigeants
  • Les catégories de destinataires
    Ex : Transmis à l’équipe marketing de l’entreprise et au partenaire Mailjet, entreprise de routage mail, dont le siège social est en France
  • Dans la mesure du possible, les délais prévus de conservation des données
    Ex : Jusqu’au désabonnement de l’internaute
  • Dans la mesure du possible, une description des mesures de sécurité techniques et opérationnelles mises en place
    Ex : Conservation sur un serveur sécurisé en France

 

6. Nommer un délégué à la protection des données

Le délégué à la protection des données (DPO en anglais pour Data Protection Officer) est le garant de l’application du RGPD au sein des entreprises. Il a une mission de conseil auprès des responsables de traitements et des autres salariés de l’entreprise ainsi que de coordination des actions de conformité à mettre en place. Il peut être salarié de l’entreprise ou intervenant extérieur.

La nomination d’un délégué à la protection des données n’est obligatoire que pour certaines entreprises (les entreprises publiques notamment). Il appartient à chaque entreprise de réaliser une étude, en partenariat avec la CNIL, qui va déterminer si oui ou non elle va avoir besoin d’un DPO. Le G29 recommande vivement la création de la fonction au sein des entreprises même si elles n’en ont pas l’obligation légale.

Pour plus d’informations sur le DPO, vous pouvez consulter l’article de la CNIL « Devenir délégué à la protection des données« .

7. Déclarer les failles de sécurité

Pour éviter les actualités telles que celle d’UBER récemment, le RGPD demande une notification de toute faille de sécurité concernant des données personnelles dans les 72h après l’incident. L’annonce de la faille devra être réalisée auprès des autorités mais également, point important, auprès des personnes concernées par ces données.

Des sanctions revues à la hausse

Les sanctions elles aussi se durcissent. Facebook s’est récemment fait rectifier de quelques 150 000 euros pour non conformité à la loi Informatique et Libertés du 6 janvier 1978, une broutille par rapports aux sanctions encourues à partir de mai 2018.

Il existe deux types de sanctions, les sanctions d’actions et les sanctions pécuniaires.

En outre, les autorités de protection pourront décider des actions suivantes :

  • Prononcer un avertissement ;
  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l’effacement des données.

Les sanctions pécuniaires s’élèveront à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% à 4% du  chiffre d’affaires annuel mondial. Une chance pour Facebook de s’être fait épingler avant la mise en application du RGPD !

Merci, votre article est long, qu’est-ce que je dois faire concrètement ?

Le RGPD est très dense et concerne l’ensemble des organisations qui utilisent des données personnelles… Nous avons choisi des informations utiles pour vous, clients et communiquants qui nous lisent, cet article n’est donc pas exhaustif.

Si vous traitez des données via des outils digitaux, vous allez devoir penser en « Privacy by Design », c’est à dire que vous allez être invité à penser à la protection des données avant tout nouveau projet. Le principe de « minimisation » est important. C’est le fait de limiter la collecte aux données nécessaires seulement et de limiter leur quantité.

Si vous vous intéressez à l’application du RGPD dans toute l’entreprise, consultez l’article « règlement européen, se préparer en 6 étapes » de la CNIL qui permet de vous organiser dans la préparation.

Si vous souhaitez consulter le texte du règlement en entier, vous le trouverez ici.

Contactez-nous pour être accompagnés

 

Démarrons ensemble

Nous pouvons vous aider à vous préparer

Notre équipe stratégique, avec l’aide de nos partenaires juristes, peut vous conseiller dans la préparation de votre mise en conformité.

Nous intégrons déjà, dans nos nouveaux projets, la notion de « privacy by design » et le conseil sur l’interprétation du RGPD en l’état, n’hésitez pas à nous contacter et nous nous ferons un plaisir de vous accompagner sur les sujets touchant au digital.

Nous confier un projet

Nos compétences

Nos services pour vous accompagner

L'agence

Découvrir

Nos réalisations

Découvrir