Le RPGD va devenir une préoccupation sérieuse et pressante pour toute entreprise qui exploite des activités de marketing ou de données en Europe, ouvrant potentiellement la porte à des poursuites judiciaires et à de lourdes amendes. Heureusement, l’amélioration des politiques de protection des données et de collecte de données devrait améliorer la productivité et l’efficacité des agences de publicité. Il est donc dans leur intérêt de s’aligner sur les nouvelles règles.
Qu’est-ce que le RPGD?
Le Règlement général sur la protection des données est une loi de l’UE qui a été adoptée le 27 avril 2016 et qui est entrée en vigueur le 25 mai 2018. Il a été développé pour protéger les citoyens de l’UE contre les atteintes à la vie privée et les violations de données dans notre monde de plus en plus axé sur les données. Il vise à améliorer et à simplifier la protection et l’exportation des données pour tous les citoyens de l’UE. S’il est correctement mis en œuvre, le RPGD permettra aux citoyens de l’Union européenne de contrôler leurs données personnelles, ce qui simplifiera l’environnement réglementaire et le rendra à la fois plus facile et plus sûr.
En bref, le RPGD donne aux consommateurs un contrôle total sur leurs données personnelles. La nouvelle loi aura un impact majeur sur le marketing numérique, en particulier en ce qui concerne la façon dont les entreprises traitent les données personnelles à des fins commerciales et ce que les organisations doivent faire pour assurer la conformité. Les changements apportés au RPGD présenteront de nombreux défis pour les entreprises, et l’un des plus importants pour les spécialistes du marketing sera la gestion du consentement.
Quid des actions de conformité ?
#1 Mettre l’accent sur la protection des données en amont (dès la conception)
Il faudra faire en sorte que la protection des données soit inhérente à tout ce qu’on conçoit, qu’il s’agisse d’un processus, d’un produit ou d’un site web. De cette manière, aucune autre mesure de protection des données ne devrait être requise. Il ne faut pas supposer que la sous-traitance de ses données à un tiers sera un moyen de contourner cette exigence. Il est de la responsabilité de toute agence marketing de s’assurer que ses procédures sont conformes.
Cela implique de prendre des mesures techniques et organisationnelles appropriées pour garantir que la protection des données est intégrée à la conception même des produits et services, afin de garantir que la sauvegarde des données personnelles est l’une des principales fonctions de l’organisation, interne ou externe de l’entreprise. Cela devrait permettre d’éviter les oublis qui mènent à des bogues et à des violations de données.
#2 S’assurer de rester auditable
Adopter des processus métier centrés sur la vie privée est crucial, mais ce n’est pas suffisant. Il faut être également en mesure de prouver qu’on l’a fait, si on y est invité. Cela signifie documenter les discussions et les processus qui ont contribué à la mise en œuvre finale. C’est autant une protection pour soi-même que pour rassurer ses clients, car cela permet aux marketeurs de montrer que les mesures de protection disponibles ont été prises en compte et intégrées dans l’entreprise.
En outre, tout membre du personnel susceptible de gérer des données personnelles doit être correctement formé. Il faudra concevoir et mettre en œuvre une politique de protection des données interne robuste et conforme à tous les aspects de RPGD.
Pour les entreprises, qui ont plus de 250 membres du personnel, des exigences supplémentaires s’appliquent. Elles devront conserver les enregistrements internes écrits de toutes les activités de traitement des données, les descriptions des mesures de sécurité techniques et organisationnelles et la documentation des garanties applicables aux mécanismes de transfert de données.
#3 Établir une base légale pour conserver et traiter les données
Certains pensent que le consentement est la principale préoccupation à traiter, mais la priorité est d’établir une base légale pour la collecte de données, et de partager celle-ci avec les clients.
Il faudra choisir une base légale pour chaque instance de collecte de données ou, plus probablement, chaque type de collecte de données. Il faudra documenter et justifier ses décisions, et indiquer quelle base s’applique à quel type de données. Ensuite, il faudra s’assurer d’indiquer aux clients la base légale sur laquelle on s’appuie en l’incluant dans son avis de confidentialité, ainsi que la raison pour laquelle on collecte ces données.
Comme les utilisateurs peuvent retirer leur consentement à tout moment, ce n’est pas la base la plus fiable pour recueillir des données sur les personnes, de sorte qu’une autre base légale pourrait s’avérer plus appropriée. Si on utilise le consentement, il faudra s’assurer d’expliquer clairement comment les données seront utilisées. En outre, toutes les conditions doivent être détaillées séparément des termes et conditions habituels, afin qu’ils soient plus évidents.
#4 Tenir les utilisateurs informés
Sous le RPGD, les citoyens et les clients ont le droit de contester l’utilisation de leurs données, ou de révoquer leur consentement. Les agences marketing devront désigner (ou embaucher) un responsable du traitement des données et un responsable de la protection des données pour gérer ces interactions et rendre leurs coordonnées publiques.
Ces détails doivent également être mis à la disposition de l’autorité de surveillance de chaque état membre. Il s’agit d’un organe indépendant chargé d’enquêter sur les plaintes déposées par les citoyens européens, qui sera en contact avec les autorités de surveillance des autres états membres, qui sont supervisées par le comité européen de la protection des données.
En plus de ses références, les entreprises devront fournir une explication en langage clair sur la façon dont les données du client seront utilisées, y compris le but de la collecte de données. Certaines obligations supplémentaires s’appliquent si le marketeur n’a pas lui-même collecté les données, par exemple, si elle acheté une liste de diffusion. Dans ces cas, elle devra également informer les sujets des catégories de données personnelles qu’elle collecte et de la manière dont les informations lui sont parvenues.
#5 Etre préparé à supprimer des données
Le RPGD incarne un «droit à l’oubli». Cela signifie que, dans des situations spécifiques, les sujets peuvent demander que leurs données personnelles soient entièrement supprimées d’une base de données. Cela peut arriver si un client retire son consentement à un traitement ultérieur de ses données. Cela inclut également les cas où les données ont été obtenues ou traitées illégalement ou lorsque l’utilisation pour laquelle elles ont été collectées à l’origine ne s’applique plus.
Il existe un nombre limité de motifs valables pour refuser une telle demande. Celles-ci comprennent les questions de santé publique ou des fins d’archivage, qui doivent toutes deux être dans l’intérêt public (ce qui est distinct d’être simplement «intéressant pour le public»). Il est également possible de conserver des données personnelles en défense de réclamations légales, afin de conformer à une obligation de conservation légale ou pour effectuer des tâches requises d’une autorité officielle.
Dans la plupart des cas, les sociétés de marketing numérique devront se conformer aux demandes d’effacement. Elles devront s’assurer que leurs systèmes leur permettent d’identifier et de supprimer facilement les données des individus. Dans le cas où les données sont mises à la disposition d’un tiers, il leur incombe de s’assurer qu’elles respectent également la demande d’effacement. Les entreprises de marketing numérique disposent d’un mois pour se conformer à un droit d’effacement et, idéalement, elles devront s’y conformer sans retard injustifié.
#6 Etre prudent lors de l’utilisation d’algorithmes
Beaucoup de décisions, en particulier celles prises en ligne, sont maintenant automatisées. Le RPGD exige qu’une décision produisant un effet juridique ou similaire ne soit pas basée sur un traitement automatisé, sauf si ce traitement est absolument nécessaire et autorisé par la loi. Le client doit également avoir donné son consentement explicite.
Cela a évidemment des implications pour les entreprises vendant des produits en ligne, mais ce ne sont pas les seules qui devraient en tenir compte. Toutes sortes d’activités de profilage relèvent du RPGD si elles sont utilisées pour analyser les mouvements, la performance au travail, les préférences personnelles, et ainsi de suite. En bref, lorsqu’on a l’intention d’utiliser un algorithme pour analyser des données relatives à un individu, il faut savoir qu’on ne peut pas utiliser ces données pour prendre des décisions ayant des implications légales, sauf si la personne a spécifiquement autorisé la compagnie à le faire.
Avant tout, il est essentiel de vérifier les activités de collecte et de traitement des données et de les mettre à jour si nécessaire. En particulier, il faudra vérifier si l’on dispose de clients ou de partenaires situés en dehors de l’Union Européenne, car le RPGD restreint le transfert d’informations au-delà des frontières de l’UE, sauf si le pays concerné dispose d’un accord sur l’adéquation des données.