RGPD – Tout ce qu’il faut savoir

13 août 2018 | Lecture de 5 minutes

etienne-delacroix

Étienne De Lacroix

Directeur, Services-Conseils

Leadership intellectuel

Au cours des dernières années, les compagnies ont toujours été habituées à se battre sur des bases de ventes, de marges et de gestion de coûts. Toutefois, il est aujourd’hui évident que la guerre de parts de marché se fait aussi à travers ce que l’on appelle « l’expérience-client ». Pour mener à bien cette bataille, les organisations sont devenues de plus conscientes de la nécessité de collecter davantage d’informations-client. Comme la pertinence des communications est devenue le meilleur cheval de bataille pour engager les clients, les entreprises misent très gros sur cette nouvelle richesse appelée « data ». Mais, attention ! Tout doit se faire dans le plus grand respect et la transparence vis-à-vis chacun des consommateurs. Comme vous le savez, le Canada a mis sur pieds au cours des dernières années une législation antipourriel. Elle fait maintenant partie intégrante de la vie des marketers.

Aujourd’hui, une autre législation vient de faire son apparition outre atlantique : le Règlement Général sur la Protection des Données – RGPD. C’est donc sur ce sujet précis que j’ai cru bon prendre quelques minutes pour bonifier l’information disponible et vous donnez une meilleure perspective de son implication.

Contexte

Le nouveau Règlement Général sur la Protection des Données (RGPD, General Data Protection Regulation en anglais) est entré en vigueur le 25 mai 2018.

Sont concernées les entreprises, organisations publiques et associations qui collectent des informations personnelles de citoyens européens. Les sous-traitants de ces organisations sont également concernés.

Le RGPD a donc certes un impact en Europe mais aussi dans les autres pays. Concrètement, si un marketer canadien collecte des données personnelles et envoie des courriels en Europe il doit pouvoir justifier du type de données qu’il collecte et à quelle fin.

Données personnelles

Quels types de données sont considérées personnelles ?

Ce sont toutes les données qui permettent directement ou indirectement (par croisement) d’identifier des personnes. On entend par là, entre autres, le nom, prénom, adresse courriel, adresse postale, adresse IP, numéro de téléphone, lieu et date de naissance, numéro de carte de crédit, photos, âge, sexe, ADN, données biométriques, données génétiques, comportements sur internet (comme les sites visités), interactions sur les réseaux sociaux (etc).

Ces données sont partout dans les entreprises et les bases de données clients. Cela n’est donc pas simplement restreint aux données issues des réseaux sociaux comme Facebook pris dans le scandale Cambridge Analytica.

Les 4 principes clés

1. Consentement

Le consentement considéré dans le RGPD a des similitudes avec la loi anti pourriel (CASL) :

  • Il requiert un acte actif (pas de case pré-cochée).
  • Il doit être clairement isolé dans les termes et conditions (on ne peut pas forcer un optin  pour accéder à un whitepaper  par exemple).
  • Il doit être facile à retirer.
  • Il doit conserver la preuve selon les modalités Qui/Quand/Où : Qui a consenti, à quelle occasion (lieu, date) et dans quel contexte (saisie en magasin, formulaire web etc).
  • Il s’applique aussi sur les consentements acquis dans le passé : La RGPD ne s’applique pas seulement aux consentements acquis après le 25 mai, mais aussi à l’ensemble des consentements acquis auparavant. Si le consentement n’a pas été acquis selon les critères du RGPD il doit être redemandé.

2. Transparence

Les organisations doivent indiquer explicitement aux utilisateurs comment leurs données sont exploitées. Ces informations doivent être clairement exposées et compréhensibles par le grand public. Elles doivent aussi être facilement accessibles (ex. sur le site internet, dans un formulaire).

D’autre part, le principe de transparence s’applique si une organisation subit un piratage de données personnelles. Elle doit communiquer dans les 72 heures aux autorités l’impact de cette fuite (type et volume de données). A noter que la communication doit être aussi faite directement avec chaque personne concernée par cette fuite de données (et pas seulement via un site web ou les médias sociaux).

3. Droit des personnes

Droit d’être « oublié »

Si une personne ne souhaite plus que ses données personnelles soient exploitées, elle peut demander à toute organisation soumise au RGPD de supprimer ses données. Les organisations ont ensuite un mois pour passer à l’acte.

Portabilité des données

Cela implique que chacun peut demander à toute organisation collectant ses données (ex. les GAFAM), de télécharger l’intégralité des données qu’elle possède sur soi dans un format structuré.

Cela signifie également que ces données ne seront transmises à un autre « responsable de traitement » que sur demande de la personne concernée. On peut donc déduire d’après le texte du RGPD que cela signifierait en théorie la fin de la vente des données personnelles sans l’accord de la personne concernée.

4. Responsabilité

Il appartient à chaque organisation d’appliquer les principes exposés par le RGPD et de pouvoir justifier de leur bonne application.

Les organisations doivent donc évoluer d’un point de vue technique et organisationnel pour respecter les clauses du RGPD.

Un DPO (Data Protection Officer) doit être nommé si l’organisation exploite des données personnelles à grande échelle ou si c’est une organisation publique. Le DPO a pour responsabilité de s’assurer que l’organisation a mis en place les différents moyens pour être conforme au RGPD. Il représente le point de contact vis-à-vis des autorités concernées.

Les sanctions

Le RGPD fait beaucoup parler aussi par les sanctions potentielles que pourraient subir les organisations.

L'amende maximale ultime pourrait être de 20 millions d'euros (30 millions CAN $) ou de 4 % du revenu global annuel d'une entreprise, soit le montant le plus élevé des deux. On peut facilement imaginer l’impact pour des organisations importantes comme les GAFAM.

Conclusion

Le RGPD a déjà fait beaucoup parler de lui : nouveaux principes, impact international, ou encore ampleur des sanctions.

Comme pour tout nouveau texte de loi, mieux vaut garder un certain recul. Encore très récent, le RGPD manque à date de jurisprudence et d’interprétation. Au-delà des textes concernant les potentielles sanctions il faudra attendre un certain nombre de décisions de justice pour vraiment connaître les montants exacts de ces sanctions.

Chez Relation1, nous estimons que les principes du RGPD sont pertinents. Nous générons tous une part importante de données qui sont de plus en plus faciles à exploiter grâce aux avancées technologiques (Intelligence Artificielle). Une meilleure transparence au sujet des données collectées fait du sens car elle contribue à installer une plus grande confiance. C’est pour moi semblable aux principes de traçabilité avec un client qui veut comprendre d’où vient le produit qu’il achète et comment il a été cultivé ou fabriqué.

Plus conscient des données qu’il génère et du potentiel qu’elles représentent, le client devient aussi plus exigeant vis-à-vis des organisations avec lesquelles il interagit. Nous devrions tous, en tant que consommateurs, nous sentir au fil du temps davantage reconnus en vivant des expériences personnalisées et en interagissant avec du contenu pertinent selon nos intérêts.

Voilà pourquoi nous estimons le RGPD intéressant, il devrait contribuer à enrichir l’expérience et la satisfaction des clients en alimentant une relation « win-win » avec les organisations.

Et vous ? Où vous situez-vous par rapport à tout cela ?

© Relation1. Tous droits réservés

Politique de confidentialité |  Contactez-nous |  Suivez-nous