Big Data, Science des données, aide à la décision en entreprise, business intelligence, data warehouse, reporting, OLAP, web analytics, data visualization, data mining, internet des objets, informatique cognitive, intelligence artificielle...

Abonnez-vous gratuitement à Decideo !


Decideo

 


Le RGPD concerne aussi les marketeurs


Rédigé par Rodolphe Rosenrib, Mapp Digital le 12 Octobre 2017

A compter du 25 mai 2018, le Règlement européen sur la protection des données personnelles (RGPD) - GDPR en anglais - sera applicable dans tous les pays de l'Union. Comprenez que tous les organismes devront être en mesure de prouver leur conformité à ce nouveau texte, pour la garantie d'une meilleure protection de la vie privée et des données personnelles des citoyens. Les annonceurs - au même titre que tous les acteurs économiques, voire sociaux qui collectent, conservent ou utilisent des données tierces sont concernés. Rodolphe Rosenrib, Directeur des Services Clients Western Europe chez Mapp, rappelle quelques obligations du marketeur avant ce grand « chamboulement ».



Rodolphe Rosenrib, Directeur des Services Clients Western Europe chez Mapp Digital
Rodolphe Rosenrib, Directeur des Services Clients Western Europe chez Mapp Digital
RGDP, objet de toutes les discussions. Le règlement européen sur la protection des données personnelles ne sera applicable qu'à partir du 25 mai 2018 ; ceci laisse un peu de temps aux organismes privés et publics pour s'adapter. Les conditions principales ont déjà été fixées, pour que personne ne soit pris au dépourvu. Chaque acteur est donc, aujourd'hui, conscient que tout doit être mis en œuvre pour être prêt à assurer la protection des données des citoyens consommateurs. Les responsables marketing sont les premiers concernés par ces mesures étant souvent les premiers acteurs de l'entreprise à interagir avec des prospects et clients.

A y regarder de plus près, un grand nombre d'annonceurs se rendent compte qu'ils traitent non seulement des données en propre mais, de plus en plus, que celles-ci sont mélangées à des données tierces. Cela peut être le fait de l'utilisation d'un logiciel particulier, ou dans le contexte d'un projet complexe, impliquant des fournisseurs de données. Les exigences sur la protection des données évoluent en effet, avec l'émergence des nouvelles technologies et les demandes des métiers. Auparavant, les bases de données ou solutions de CRM ne contenaient que des données déclaratives, mais aujourd'hui, les Big Data et la monétisation des données rendent possible la fusion et le stockage de données déclaratives mais aussi collectées (cookies sur des sites web divers).

Les entreprises ont compris l'intérêt, rendu possible par les nouvelles technologies, d'une amélioration de l'analyse du comportement du client au travers du datamining et du profilage. Cela n'est pas sans engendrer des complications, du fait des avancées technologiques et de l'empilage des interconnexions avec des plateformes tierces. Bien que le RGPD n'ait pas, scricto sensu, réécrit la loi sur la protection des données, de nouvelles obligations juridiques y sont définies. Il ne s'agira plus seulement de faire savoir où, quand et quel type de données est traité, mais aussi de tenir un registre des activités de traitement (article 30 du règlement). Après l'analyse de données, la loi s'intéresse ainsi au contrôle, puis à l'évaluation du traitement de ces données.

Quels changements pour l'annonceur ?

Après l'audit du flux des données, les entreprises qui font du traitement de données devront le plus souvent nommer un délégué à la protection des données (article 37 et suivants du règlement), évaluer en continu leur impact sur la protection des données et / ou mettre en place une analyse d'impact relative à la protection des données (article 35 du RGPD) pour tout type de traitement de données.
Elles devront aussi s'assurer que les contrats avec les sous-traitants, les notifications en ligne sur la protection des données et les autorisations sont bien en conformité avec la nouvelle réglementation. En conséquence, vérifier que tous les processus internes sont convenablement consignés et analysés ne sera pas suffisant. Il faudra aussi s'assurer que le site de l'entreprise ou le suivi (tracking) comportemental des visiteurs soit bien en conformité avec la réglementation en vigueur du RGPD. Tout manquement non rectifié avant mai 2018 pourrait coûter cher.

L'une des nouveautés les plus importantes, et qui suscite bien des réactions, est la clause concernant les amendes. Alors que jusqu'à présent, les amendes, en Europe et en France en particulier, étaient plutôt rares et d'un montant peu élevé, les articles 83 et 84 ont introduit une toute nouvelle dimension dans le monde de la protection des données. On parle ici de 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, un chiffre de grande ampleur qui devrait vraiment démontrer que la protection des données n'est pas un vain mot.

Évolutions dans les demandes d'indemnisation

Jusqu'ici, le propriétaire des données était l'unique responsable vis-à-vis de la partie concernée. Désormais, les exigences vont monter d'un cran : chaque personne lésée pourrait réclamer une indemnisation pour des dommages matériels ; et depuis peu, pour des dommages moraux (article 82). De plus, le sous-traitant partage la responsabilité avec le propriétaire des données pour l'intégralité du dommage. Cela peut entraîner des demandes de dommages et intérêts significatifs aux sous-traitants, au cas où ceux-ci ne seraient pas couverts par un contrat protecteur.

Le GPDR n'introduit pas d'innovations fondamentales concernant le lieu du traitement des données. Jusqu'à maintenant, seuls les traitements de données effectués au sein de l'Union Européenne (UE) ou de pays tiers identifiés comme sûrs - pays ayant démontré un niveau de protection des données équivalent à celui de l'UE, selon la Commission - étaient considérés comme solides. Aujourd'hui, lorsque l'on exporte des données vers d'autres pays, le traitement doit déjà être couvert contractuellement. Pour le moment, cela concerne des clauses contractuelles standard pour la transmission des données personnelles à des sous-traitants dans des pays tiers, ou encore les dispositions relatives au Privacy Shield. En somme, rien de nouveau par rapport à ce que la loi rend déjà obligatoire en ce domaine.

D'une manière générale, les entreprises qui ont déjà adapté leur organisation et qui se sont mis en conformité avec les lois actuelles de protection des données devraient être capables d'adapter facilement leurs processus et leurs contrats pour se mettre en conformité avec le nouveau règlement. Après s'être renseignée sur la loi de protection des données, si une entreprise devait découvrir qu'elle n'était pas au fait de la loi, ni assez préparée, alors il lui resterait peu de temps pour se mettre à niveau.

La protection des données et la mise en œuvre du règlement devrait devenir la priorité de toutes les entreprises, avant que cela ne se retourne contre elles en mai 2018.

C'est donc un devoir pour toute organisation commerciale de préparer sa mise en conformité avant la butée de mai 2018. Avec le département marketing qui, très souvent sera la cheville ouvrière sans doute aider pour l'IT et le département juridique. Mais c'est également un devoir pour les fournisseurs de solutions de marketing digital d'être en conformité et d'assurer à leurs clients que leur plateforme permet de l'être




Nouveau commentaire :
Facebook Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.