A quelques semaines de l’application du Règlement Général sur la Protection des Données l’effervescence autour de la gestion des données personnelles se fait sentir chez tous les annonceurs. Les formations, conférences et articles ont assuré la pédagogie autour du RGPD au cours de la dernière année mais malgré cela, de fausses idées circulent encore.
Au-delà des « marchands de conformité » et des fake news véhiculées, les risques tout comme les opportunités sont réels avec l’entrée en vigueur de ce règlement européen. Keley Data et le cabinet Saul Associés vous proposent de faire le point.
Le RGPD couvre uniquement les données marketing client
Toutes les data, tous les acteurs sont concernés !
Marketing, RH… : le spectre des données concernées est très large.
Le règlement européen définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Il peut subsister quelques interrogations malgré cette définition très claire.
Ainsi, les données rattachées à des personnes morales ne sont pas soumises au RGPD, toutefois les données B2B rattachées à un individu relèvent bien de la réglementation des données personnelles.
Le sujet du cookie est également complexe.
Dans la vision web analytics, le cookie n’a qu’une vertu statistique et n’est pas rattaché à une personne identifiable. Malgré cela, l’ensemble des commentateurs s’accordent à dire que le cookie est bien une donnée personnelle. A ce titre il doit bénéficier des conditions de consentement imposées par le RGPD. Adieu le fameux bandeau « en utilisant ce site, vous acceptez notre politique de cookies ». Le RGPD concerne tous les acteurs exploitant de la donnée. Il s’agit donc de se mettre en conformité mais aussi de s’assurer de la conformité de l’ensemble de ses partenaires ou sous-traitants exploitant vos données. C’est l’article 24 qui souligne la charge du responsable de traitement – celui-ci doit être « en mesure de démontrer que le traitement est effectué conformément au présent règlement. »
Les règles du consentement sont nouvelles et très contraignantes
Pas tant que ça …
Parce que le consentement pour les communications électroniques n’est pas une nouveauté et était déjà encadré. En effet, dès la loi informatique et libertés de 1978 un cadre était posé et dès 2004 les communications e-mails devaient faire l’objet d’un consentement actif, libre, spécifique et éclairé. Ensuite, dans la loi d’octobre 2016 pour une République numérique, certains grands principes repris dans le RGPD étaient déjà imposés : le renforcement des droits des personnes (maîtrise de ses données par chaque individu, droit à l’oubli pour les mineurs, exercice des droits par voie électronique).
En complément, à partir du 25 mai prochain, le principe de transparence (considérant 39 du RGPD) impose que l’internaute soit informé de ce que l’entreprise va faire de ses données (i.e. l’utilisation qui va en être faite que ce soit de manière brute, ou dans le cadre d’analyse statistique, par l’entreprise qui collecte ou par ses sous-traitants).
Ce qui change c’est l’obligation de faire la preuve du recueil d’un consentement explicite et la menace de la sanction financière.
Le nouveau règlement est donc surtout une évolution et un renforcement de la plupart de ces règles, même s'il présente de nouvelles mesures phares (responsabilité des sous-traitants, droit à l'oubli, portabilité, sanctions financières importantes...)
Les règles et conditions liées aux communications électroniques seront davantage précisées par la directive e-privacy qui viendra compléter le RGDP d’ici la fin 2018. A date, si les principes du RGPD sont non discutables, les modalités d’application sont encore en discussion.
Avec l’intérêt légitime, pas besoin du consentement ?
C’est possible mais pas toujours suffisant.
Le consentement des individus n’est pas la seule justification permettant aux entreprises d’opérer le traitement de données à caractère personnel. Le règlement ouvre la voie à l’intérêt légitime des entreprises comme alternative au consentement.
En effet, l’intérêt légitime constitue l’une des bases légales pour le traitement des données personnelles. Les intérêts légitimes avancés par l’entreprise pour fonder le traitement doivent être équilibrés au regard des droits des utilisateurs, et ces derniers doivent être en mesure d’anticiper que leurs données seront traitées pour les finalités poursuivies.
Si l’intérêt légitime de l’entreprise peut être invoqué, en aucun cas il ne devra nuire à l’intérêt de l’individu. En somme, la liberté de l’entreprise s’arrête là où celle du consommateur commence…
L’intérêt légitime a été précisé par le RGPD (considérant 47) mais les modalités de l’intérêt légitime vont nécessiter quelques précisions pratiques, aussi le G29 a par anticipation déjà publié des lignes directrices ainsi que des exemples concrets. Ces lignes directrices sont consultables sur le site de la CNIL. (https://www.cnil.fr/fr/reglement-europeen/lignes-directrices)
Le RGPD sonne la fin du marché de la data
Attention aux postures catastrophistes !
En effet en 2004, la LCEN et les règles sur l’opt-in devaient signer la fin de l’e-mail marketing, qui se porte encore très bien 14 ans plus tard.
Le marché de la data représente 1,7 milliard € en France en 2017*. Et ce chiffre ne concerne que les usages marketing de la data. Si l’UE souhaite renforcer les droits de ses citoyens, il n’est pas non plus dans l’intérêt européen d’anéantir une partie de l’activité économique.
L’application du règlement européen va tout de même rendre plus complexe la collecte de données. Les règles du consentement, les principes de proportionnalité (limite la collecte aux seules données pertinentes et nécessaires) et de transparence (information sur l’exploitation des données personnelles) sont autant de points de difficulté à l’enregistrement des données personnelles.
Ce sont également autant de gages de pertinence et de promesses de performances. Les consommateurs qualifiés seront des consommateurs éclairés : ils savent par qui leurs données sont collectées et pour quelles raisons, et ils font le choix d’y adhérer.
Le RGPD va effectivement avoir des conséquences sur le marché de la data : un impact sur le volume (à la baisse) mais aussi un impact sur la valeur (à la hausse). Les acteurs de la data vont devoir revoir leurs propositions, en mettant la pertinence au cœur de leur offre.
Le RGPD ne concerne que les entreprises européennes
Pas du tout, le RGPD concerne les données des citoyens européens.
La nouveauté et la force du RGPD résident dans son champ d’application géographique et matériel étendu : celui-ci s’applique à toute entreprise disposant ou pas d’un établissement dans l’Union européenne, mais dont les activités ou services concernent des résidents de l’Union européenne.
Ainsi, tous les acteurs et notamment les GAFA (Google, Amazon, Facebook, Apple) sont concernés par le nouveau règlement. Les États-Unis sont considérés par l’Union européenne comme offrant un degré de protection inférieur à celui offert par l’UE au regard des données personnelles. Ainsi, les données personnelles ne peuvent pas être librement transférées en dehors de l’Union européenne vers les États-Unis.
Pour remédier à cette situation, l’UE et les États-Unis ont conclu un accord, le Privacy Shield, auquel les sociétés américaines peuvent adhérer afin de traiter des données provenant du Vieux Continent. Le Privacy Shield impose en effet un certain nombre de mesures et de règles à adopter afin de proposer un niveau de protection équivalent à celui de l’UE.
L’ensemble des GAFA ont ainsi adhéré au Privacy Shield.
Par l’application du RGPD, l’UE contribue à l’éveil des consciences sur l’utilisation de la data. Les citoyens européens seront des consommateurs de plus en plus éclairés, devenant aussi potentiellement plus exigeants, avec toutes les entreprises.
En conclusion
Ces quelques points soulignent la complexité du RGPD pour l’ensemble des acteurs. Loin des postures dramatiques, un accompagnement éclairé peut permettre d’assurer la mise en conformité tout en préservant la valeur de l’actif data.
Keley Data et le cabinet Saul Associés peuvent vous accompagner pour identifier les opportunités du RGPD : audit, documentation et process bien entendu mais surtout interprétations du cadre règlementaire et plans de corrections et d’actions sur les parcours clients pour maximiser la valeur de l’actif data.
*étude Mediapost Communication en association avec BVA Limelight publiée le 8 janvier 2018
