GDPR, les nouveaux droits des utilisateurs : un parcours client à repenser

Le 26 janvier dernier, la CNIL a publié en grande pompe sur son site internet six dessins illustrant les droits nouvellement accordés aux utilisateurs avec la mise en place du nouveau Règlement Européen sur la protection des données personnelles (GDPR). Mais quels sont les changements pour vos clients ?

1/ Une information plus complète et plus claire ?

La Loi Informatique & Libertés du 6 janvier 1978 modifiée imposait déjà à toute entreprise collectant des données personnelles d’en informer les personnes concernées par le biais d’une mention devant figurer sur le formulaire de collecte. Cette mention devait notamment faire état des destinataires des données, des moyens de modifier ces données ou de s’opposer à leurs traitements et de l’objectif poursuivi par la collecte de ces données.

Celle-ci prenant de plus en plus de place dans un parcours d’achat sur internet déjà largement fourni en conditions générales de vente, double confirmation et autre validation, un grand nombre d’acteurs du Retail ont alors choisi de mettre en place un simple lien vers une « politique de protection de la vie privée ». Si l’intention est louable, l’utilisateur, déjà noyé sous une pluie d’information ne prend évidemment pas le temps de s’informer.

Et le nouveau règlement de ce point de vue ne va pas vraiment arranger les choses : loin de donner un cadre formel strict pour fournir une information « claire, facilement lisible, intelligible et concise », le règlement allonge surtout la liste des informations à fournir obligatoirement, comme la durée de conservation des données, les sociétés tierces qui y auront accès, l’origine des données, les catégories de données collectées, la liste des droits des utilisateurs, etc. Comment fournir ces informations de façon synthétique et intelligible ?

Il va alors falloir déployer des trésors d’ingéniosité et de créativité pour rendre le moment le moins pénible possible et ainsi ne pas décourager clients et utilisateurs…

2/ Des droits consacrés…ou la complexification des procédures ?

De la même manière, la Loi Informatique & Libertés consacre déjà les droits des personnes concernées : chacun dispose d’un droit d’accès, de modification, de rectification et de suppression des données personnelles. Ces droits inscrits dans le marbre depuis des décennies en France sont de nouveau consacrés par le Règlement Européen.

Cependant, si la législation actuelle était déjà très claire sur les modalités d’exercice de ces droits (envoi d’une demande avec copie de la pièce d’identité et obligation de réponse dans un délai maximum de 2 mois à compter de la réception de la demande), le règlement européen renforce les obligations des responsables de traitement en réduisant le délai à un mois, en ouvrant la possibilité pour les personnes concernées d’effectuer leur demande oralement et d’avoir une réponse orale (on peut déjà s’interroger sur les modalités pratiques qui en découlent) et en durcissant le parallélisme des formes. Deux autres dispositions nous semblent particulièrement contraignantes.

Tout d’abord, l’obligation pour le responsable du traitement de données de fournir, si la personne en fait la demande, une copie électronique des données de la personne concernée. A l’heure de la transition numérique, nous ne pouvons que saluer l’effort. En revanche, d’un point de vue pratique, ce nouveau mode de transmission appelle d’autres interrogations : comment transmettre ces données ? Par email ? Sur un support de type clés USB ? Comment garantir la sécurité de ces données ? Comment s’assurer que les données seront bien remises à la personne concernée ? L’entreprise sera-t-elle responsable en cas de piratage du support sur lequel figure ce fichier ? Là encore, des solutions vont devoir être trouvées…

Second point et pas des moindres, le responsable du traitement de données devra répercuter les demandes de rectification et de suppression à l’ensemble de ses sous-traitants. Deux options ici : soit le sous-traitant gère lui-même la base de données (agence en charge du CRM) et dans ce cas il n’y aura pas de souci, soit l’entreprise transmet ses données à une multitude de sous-traitants (livreurs, assureurs, plateforme client) et c’est là que pour coordonner la mise à jour des données dans différentes bases, il va de nouveau falloir faire preuve de créativité à la fois d’un point de vue technique et juridique.

Qui plus est, le règlement européen consacre le droit pour votre client de vous demander la liste exhaustive des sous-traitants auxquels vous transmettez vos données, et l’obligation pour votre entreprise d’y répondre. Vous vendiez un service en marque-blanche ? Vous aviez un accord de confidentialité avec un sous-traitant ? Ce ne sera plus un secret…

Enfin, l’exercice de ces droits doit être gratuit. Aujourd’hui, l’entreprise ne peut facturer à la personne qui demande à accéder à ses données de frais particulier. En revanche, la demande en elle-même coûtera à l’utilisateur un timbre ou une partie de sa connexion internet. Le règlement impose-t-il aux entreprises de rembourser ces frais comme ce fut le cas pour les jeux concours ? Si oui, faudra-t-il prévoir un forfait ? Il sera cependant possible de charger des frais si la demande est manifestement infondée ou excessive. Là encore, plusieurs questions pratiques : qu’est-ce qu’une demande excessive ? Comment calculer l’indemnité à demander à la personne concernée ?

3/ La protection des mineurs ou le casse-tête des entreprises ?

Une attention toute particulière est accordée aux mineurs : selon le nouveau règlement européen, tous traitements de données concernant des mineurs de moins de 16 ans sans l’accord préalable du titulaire de l’autorité parentale sera considéré comme illégal.

Quand on sait qu’en 2014 les adolescents de 13 à 19 ans passaient plus de 13h par semaine sur internet et que les 7-12 ans en consommaient un peu moins de six heures (Ipsos), il y a de quoi faire frémir les grands acteurs du Retail. Les pré-ados et ados représentent en effet un marché colossal. Mais comment obtenir le consentement de l’autorité parentale ? Par le biais d’une case à cocher ? Si oui, comment s’assurer que c’est bien le titulaire de l’autorité parentale qui a fourni le consentement ?

Si nous nous référons au texte, le règlement impose aux entreprises de faire « leurs meilleurs efforts » afin de s’assurer du consentement des parents. Il ne s’agit donc pas d’une obligation de résultat en tant que telle mais plutôt d’une obligation de moyens renforcée. Pour faire simple, votre entreprise devra donc mettre tous les moyens technologiques en œuvre pour s’assurer de l’autorité parentale : s’il s’avère qu’un enfant ne disposait pas de cette autorisation, vous serez passible d’une amende pouvant atteindre 4% du chiffre d’affaires mondial…Par conséquent, exit la case à cocher par l’enfant déclarant « avoir obtenu l’autorisation préalable des parents ». Encore une nouvelle solution à trouver…

Petite difficulté supplémentaire, le règlement prévoit la possibilité pour chaque pays d’abaisser l’âge de cette « majorité » du consentement en propre à minimum 13 ans. Ainsi, nous verrons peut-être un pays comme la France demander une autorisation parentale pour tous les mineurs de moins de 15 ans alors que cette minorité sera de 13 ans pour le même site internet en Angleterre. Si laisser la liberté à chaque Etat de fixer sa « majorité digitale » nous semble être une bonne idée, on voit mal comment cela aboutira en pratique. En effet, un adolescent étant tout à fait à même d’utiliser la fonction « traduction » de Google, il pourra facilement se rendre sur un site d’un autre Etat membre s’il n’y est pas nécessaire d’obtenir l’autorisation parentale. On assistera donc à ce qu’on appelle communément du « forum shopping », rendant ainsi cette majorité digitale de 16 ans quasi inopérante.

D’autres dispositions comme le droit à l’oubli ou le guichet unique figurent aux rangs des nouveaux droits pour les utilisateurs, les clients et les salariés. Si ces nouveaux droits auront un véritable impact, ils nécessitent moins d’adaptation pour les entreprises. Pour ceux mentionnés dans cet article, les entreprises vont devoir faire preuve d’inventivité, de créativité et pour certains revoir l’intégralité de leurs processus client et RH. Deux années ne seront pas superflues pour s’y préparer…