Cinq points à prendre en compte par les directions marketing lors de la mise en œuvre de leur stratégie RGPD

Le plus grand changement relatif au droit sur les données depuis des décennies entrera en vigueur, dans quelques jours, le 25 mai 2018 pour l’ensemble de l'Union Européenne (U.E.). Le règlement général sur la protection des données (RGPD) remplace la directive existante sur la protection des données et s'appliquera à tous les pays membres de l'U.E.

L'idée directrice du RGPD est que les individus et l’ensemble de leurs données personnelles sont protégés contre les entreprises qui sont susceptibles d’utiliser illégalement, voire de vendre ces données personnelles. Les internautes ou consommateurs doivent donc, à tout moment, être informés de leurs droits et de la manière de s'opposer au traitement de leurs données personnelles.

Il y a plusieurs domaines que les spécialistes du marketing doivent surveiller, et …. maintenant !

1. Comment éviter des amendes très importantes ?

Evidemment, la plus grosse épée de Damoclès, c’est le risque d'une amende en cas de violations du Règlement. Ce qui surprend toujours les entreprises, c’est l'ampleur de ces nouvelles sanctions. Les autorités chargées de la protection des données, comme la CNIL en France, peuvent désormais infliger des amendes pour des infractions allant jusqu'à 4% du chiffre d'affaires mondial annuel, soit 20 millions d'euros, au maximum, créant ainsi une arme redoutable pour contrôler l'utilisation et le traitement des données en Europe.

Le nouveau règlement est un acte législatif contraignant, alors que la directive précédente fixait les objectifs de la loi sur les données à tous les pays de l'U.E. Cela signifie que si vous avez précédemment un peu négligé la mise en place d’une bonne gourvernance des données au sein de votre entreprise, avec une description précise de tous les processus s’y référant, cette fois-ci vous n’y n’échapperez pas !

2. Les entreprises mondiales, notamment basées dans des pays hors-U.E. doivent-elles se conformer ?

Le RGPD signifie que toute l’U.E. aura désormais la même loi, alors qu'avec la directive précédente, chaque pays pourrait définir ses propres niveaux d'application. Les entreprises opérant à l'échelle mondiale (même celles qui ne sont pas présentes en Europe) devront désormais respecter le RGPD si elles utilisent et traitent des données personnelles de résidents de l'U.E. Dans le cas du marketing en ligne, il y a quelques scénarios où le RGPD ne serait pas applicable, puisque chaque site web offrant un service ou des biens pourrait être visité par des résidents européens. En d'autres termes, le RGPD deviendra une législation mondiale sur la protection de la vie privée, et toute entreprise traitant les données de citoyens ou ressortissants de l’U.E. devra désigner absolument désigner un DPO (Data Protection Officer) qui sera le point de contact privilégié avec les autorités de l’U.E.

3. Le Brexit signifie-t-il pas de conformité au RGPD pour le Royaume-Uni ?

Non, pas du tout. Selon le propre texte de l’U.E. : « Si vous traitez des données sur des individus dans le cadre de la vente de biens ou de services à des citoyens d'autres pays de l’U.E., vous devez vous conformer au RGPD, que le Royaume-Uni conserve ou non RGPD post-Brexit. »

Si vous opérez seulement au Royaume-Uni, la position est un peu plus floue après le Brexit. Le gouvernement Britannique a déclaré qu'il opérerait un équivalent ou une alternative au RGPD. L’U.E. espère que cette législation suivra largement le RGPD, car elle était auparavant soutenue par le gouvernement britannique en tant que norme de confidentialité efficace et fournit une base de référence claire permettant aux entreprises britanniques de continuer à bénéficier d’un accès plein au marché « digital » Européen.

4. Dois-je abandonner toutes mes données actuelles ?

Les données déjà obtenues ne doivent pas être effacées. Si elles ont été obtenues légalement en vertu de la directive actuelle, les entreprises peuvent continuer à les utiliser. Les consentements donnés en vertu de cette directive ne seront pas nécessairement invalidés. Le RGPD indique que les consentements n'ont pas besoin d'être obtenus à nouveau ou confirmés par les consommateurs, à condition qu'ils aient été acquis selon un processus préalable conforme aux exigences actuelles du RGPD.

Le RGPD s'applique à tout traitement d'informations nominatives (PII) - toute information relative à une personne physique vivante identifiée ou identifiable, directement ou indirectement. Une adresse IP, certaines données de cookies et des données de géolocalisation peuvent également être classées comme données personnelles dans le cadre du RGPD. Les comportements de navigation collectés pour créer des données de profil seront également considérés comme des données personnelles.

5. Comment gérer les données avec des fournisseurs tiers ?

Avez-vous un accord de traitement de données en place pour chaque traitement de données tiers en votre nom ? Passez en revue les fournisseurs que vous utilisez et si vous avez un accord en place. Si ce n'est pas le cas, vous devez conclure des accords de traitement des données avant fin mai 2018. En ce qui concerne les consentements des consommateurs, le RGPD indique que le consentement ne sera donné que pour un traitement de données par une personne ou une partie clairement identifiée. L'utilisation de tiers non spécifiés entraînera un consentement non valide, alors méfiez-vous de cela.

La date d'entrée en vigueur du RGPD est le 25 mai 2018, date à laquelle les organisations en situation de non-respect pourraient faire face à de lourdes amendes. Préparez-vous maintenant pour les changements de loi de données.