Donnees-personnelles-les-impacts-du-RGPD-sur-le-marketingLe règlement européen sur la protection des données personnelles est entré en vigueur. Pour s’y conformer, la fonction marketing doit changer radicalement la façon dont elle gère la « privacy » de ses traitements informatisés.

Etes-vous prêt ? A la différence de la directive européenne de 1995, il s’agit d’un règlement. Ce qui veut dire qu’il n’y a pas de transposition dans le droit national retardant d’autant l’échéance. Le 25 mai 2018 à 00h01, le RGPD s’est appliqué de façon uniforme à l’ensemble des Etats membres.
Un an ne sera pas de trop au regard de l’ampleur du chantier réglementaire qui s’annonce. Clairement, le règlement positionne la protection des données personnelles comme un enjeu d’entreprise, ne serait-ce qu’au regard des sanctions prévues. La Cnil pourra infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Jusque-là, son amende record s’élevait à 150 000 euros et concernait Google. Autant dire une piqûre de moustique pour le géant du web.

Le RGPD introduit une nouvelle approche. Finis la déclaration préalable à la Cnil et les contrôles a posteriori du régulateur, l’entreprise devra pouvoir faire la preuve à tout moment qu’elle est dans les clous. Cela passe notamment par la tenue d’un registre actualisé recensant l’ensemble des traitements informatisés.

Quels types de données sont concernés ?

Par donnée à caractère personnel, le RGPD entend « toute information se rapportant à une personne physique identifiée ou identifiable », « directement ou indirectement », notamment par un nom, un identifiant en ligne ou des données de localisation (article 4).

Les termes « identifiables » et « indirectement » sont importants, surtout à l’heure du big data. Cela veut dire que le dispositif concerne les traitements de données structurées de type CRM, mais aussi la collecte de données plus informelles sur les réseaux sociaux ou l’identification d’un individu par croisement d’informations.

Les entreprises BtoB sont donc concernées dès lors qu’elles exploitent des données relatives à des individus physiques avec des fonctions prédéfinies. Ce qui est le cas la plupart du temps. Les données à caractère public comme l’adresse du siège social, l’effectif ou le chiffre d’affaires sont, en revanche, exclus du périmètre.

Le RGPD encadre aussi le profilage qui ne doit pas entraîner de discrimination ou se baser uniquement sur des données sensibles, telles que celles relevant de l’origine ethnique, de la religion, de l’orientation sexuelle ou des opinions politiques.

Quelles obligations ?

Le règlement introduit le principe de « privacy by design ». C’est-à-dire que le respect de la vie privée et la protection des données personnelles qui la garantisse doivent être pris en compte dès la conception d’un traitement. Ce qui peut passer par des dispositifs de sécurisation de type anonymisation ou chiffrement pour les données les plus critiques.

L’entreprise doit, par ailleurs, préciser la finalité du traitement de données (principe de minimisation) et la durée de conservation ne peut excéder celle nécessaire au regard de cette finalité (article 5).

Quid des prestataires ?

Le RGPD fait aussi des fournisseurs des coresponsables du traitement des données. Il convient donc de s’assurer que votre éditeur de CRM en mode SaaS ou votre prestataire de services qui gère les campagnes d’e-mailing sera conforme dans les temps. Par précaution, il convient d’insérer dans les contrats de vos sous-traitants une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les fournisseurs basés hors de l’Union Européenne pour peu qu’ils gèrent des données de citoyens européens. Les deux géants du cloud public, Microsoft Azure et Amazon Web Services, ont d’ailleurs fait savoir qu’ils seront « compliants » le jour dit.

Comment gérer l’exercice des droits ?

Le changement le plus important concerne l’étendue des droits de la personne fichée. Fini le flou parfois savamment entretenu, le responsable du traitement devra recueillir son accord explicite et éclairé et être en capacité d’en apporter la preuve. L’envoi d’e-mails non sollicités est clairement prohibé. L’entreprise devra préciser la finalité du traitement et le consentement obtenu ne vaudra que pour cette seule finalité.

Enfin, le responsable du traitement précisera les modalités d’exercice des autres droits : droit d’accès et de rectification, droit à la portabilité (transmission des données à des tiers), retrait du consentement, droit à l’oubli. Ce qui passe par une révision en profondeur de la politique de confidentialité qui devra être facilement accessible et rédigée dans un langage clair et simple.