Rodolphe Rosenrib, Directeur des Services Clients Western Europe chez Mapp Digital
RGDP, objet de toutes les discussions. Le règlement européen sur la protection des données personnelles ne sera applicable qu'à partir du 25 mai 2018 ; ceci laisse un peu de temps aux organismes privés et publics pour s'adapter. Les conditions principales ont déjà été fixées, pour que personne ne soit pris au dépourvu. Chaque acteur est donc, aujourd'hui, conscient que tout doit être mis en œuvre pour être prêt à assurer la protection des données des citoyens consommateurs. Les responsables marketing sont les premiers concernés par ces mesures étant souvent les premiers acteurs de l'entreprise à interagir avec des prospects et clients.
A y regarder de plus près, un grand nombre d'annonceurs se rendent compte qu'ils traitent non seulement des données en propre mais, de plus en plus, que celles-ci sont mélangées à des données tierces. Cela peut être le fait de l'utilisation d'un logiciel particulier, ou dans le contexte d'un projet complexe, impliquant des fournisseurs de données. Les exigences sur la protection des données évoluent en effet, avec l'émergence des nouvelles technologies et les demandes des métiers. Auparavant, les bases de données ou solutions de CRM ne contenaient que des données déclaratives, mais aujourd'hui, les Big Data et la monétisation des données rendent possible la fusion et le stockage de données déclaratives mais aussi collectées (cookies sur des sites web divers).
Les entreprises ont compris l'intérêt, rendu possible par les nouvelles technologies, d'une amélioration de l'analyse du comportement du client au travers du datamining et du profilage. Cela n'est pas sans engendrer des complications, du fait des avancées technologiques et de l'empilage des interconnexions avec des plateformes tierces. Bien que le RGPD n'ait pas, scricto sensu, réécrit la loi sur la protection des données, de nouvelles obligations juridiques y sont définies. Il ne s'agira plus seulement de faire savoir où, quand et quel type de données est traité, mais aussi de tenir un registre des activités de traitement (article 30 du règlement). Après l'analyse de données, la loi s'intéresse ainsi au contrôle, puis à l'évaluation du traitement de ces données.
Quels changements pour l'annonceur ?
Après l'audit du flux des données, les entreprises qui font du traitement de données devront le plus souvent nommer un délégué à la protection des données (article 37 et suivants du règlement), évaluer en continu leur impact sur la protection des données et / ou mettre en place une analyse d'impact relative à la protection des données (article 35 du RGPD) pour tout type de traitement de données.
Elles devront aussi s'assurer que les contrats avec les sous-traitants, les notifications en ligne sur la protection des données et les autorisations sont bien en conformité avec la nouvelle réglementation. En conséquence, vérifier que tous les processus internes sont convenablement consignés et analysés ne sera pas suffisant. Il faudra aussi s'assurer que le site de l'entreprise ou le suivi (tracking) comportemental des visiteurs soit bien en conformité avec la réglementation en vigueur du RGPD. Tout manquement non rectifié avant mai 2018 pourrait coûter cher.
L'une des nouveautés les plus importantes, et qui suscite bien des réactions, est la clause concernant les amendes. Alors que jusqu'à présent, les amendes, en Europe et en France en particulier, étaient plutôt rares et d'un montant peu élevé, les articles 83 et 84 ont introduit une toute nouvelle dimension dans le monde de la protection des données. On parle ici de 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, un chiffre de grande ampleur qui devrait vraiment démontrer que la protection des données n'est pas un vain mot.
Évolutions dans les demandes d'indemnisation
Jusqu'ici, le propriétaire des données était l'unique responsable vis-à-vis de la partie concernée. Désormais, les exigences vont monter d'un cran : chaque personne lésée pourrait réclamer une indemnisation pour des dommages matériels ; et depuis peu, pour des dommages moraux (article 82). De plus, le sous-traitant partage la responsabilité avec le propriétaire des données pour l'intégralité du dommage. Cela peut entraîner des demandes de dommages et intérêts significatifs aux sous-traitants, au cas où ceux-ci ne seraient pas couverts par un contrat protecteur.
Le GPDR n'introduit pas d'innovations fondamentales concernant le lieu du traitement des données. Jusqu'à maintenant, seuls les traitements de données effectués au sein de l'Union Européenne (UE) ou de pays tiers identifiés comme sûrs - pays ayant démontré un niveau de protection des données équivalent à celui de l'UE, selon la Commission - étaient considérés comme solides. Aujourd'hui, lorsque l'on exporte des données vers d'autres pays, le traitement doit déjà être couvert contractuellement. Pour le moment, cela concerne des clauses contractuelles standard pour la transmission des données personnelles à des sous-traitants dans des pays tiers, ou encore les dispositions relatives au Privacy Shield. En somme, rien de nouveau par rapport à ce que la loi rend déjà obligatoire en ce domaine.
D'une manière générale, les entreprises qui ont déjà adapté leur organisation et qui se sont mis en conformité avec les lois actuelles de protection des données devraient être capables d'adapter facilement leurs processus et leurs contrats pour se mettre en conformité avec le nouveau règlement. Après s'être renseignée sur la loi de protection des données, si une entreprise devait découvrir qu'elle n'était pas au fait de la loi, ni assez préparée, alors il lui resterait peu de temps pour se mettre à niveau.
La protection des données et la mise en œuvre du règlement devrait devenir la priorité de toutes les entreprises, avant que cela ne se retourne contre elles en mai 2018.
C'est donc un devoir pour toute organisation commerciale de préparer sa mise en conformité avant la butée de mai 2018. Avec le département marketing qui, très souvent sera la cheville ouvrière sans doute aider pour l'IT et le département juridique. Mais c'est également un devoir pour les fournisseurs de solutions de marketing digital d'être en conformité et d'assurer à leurs clients que leur plateforme permet de l'être
A y regarder de plus près, un grand nombre d'annonceurs se rendent compte qu'ils traitent non seulement des données en propre mais, de plus en plus, que celles-ci sont mélangées à des données tierces. Cela peut être le fait de l'utilisation d'un logiciel particulier, ou dans le contexte d'un projet complexe, impliquant des fournisseurs de données. Les exigences sur la protection des données évoluent en effet, avec l'émergence des nouvelles technologies et les demandes des métiers. Auparavant, les bases de données ou solutions de CRM ne contenaient que des données déclaratives, mais aujourd'hui, les Big Data et la monétisation des données rendent possible la fusion et le stockage de données déclaratives mais aussi collectées (cookies sur des sites web divers).
Les entreprises ont compris l'intérêt, rendu possible par les nouvelles technologies, d'une amélioration de l'analyse du comportement du client au travers du datamining et du profilage. Cela n'est pas sans engendrer des complications, du fait des avancées technologiques et de l'empilage des interconnexions avec des plateformes tierces. Bien que le RGPD n'ait pas, scricto sensu, réécrit la loi sur la protection des données, de nouvelles obligations juridiques y sont définies. Il ne s'agira plus seulement de faire savoir où, quand et quel type de données est traité, mais aussi de tenir un registre des activités de traitement (article 30 du règlement). Après l'analyse de données, la loi s'intéresse ainsi au contrôle, puis à l'évaluation du traitement de ces données.
Quels changements pour l'annonceur ?
Après l'audit du flux des données, les entreprises qui font du traitement de données devront le plus souvent nommer un délégué à la protection des données (article 37 et suivants du règlement), évaluer en continu leur impact sur la protection des données et / ou mettre en place une analyse d'impact relative à la protection des données (article 35 du RGPD) pour tout type de traitement de données.
Elles devront aussi s'assurer que les contrats avec les sous-traitants, les notifications en ligne sur la protection des données et les autorisations sont bien en conformité avec la nouvelle réglementation. En conséquence, vérifier que tous les processus internes sont convenablement consignés et analysés ne sera pas suffisant. Il faudra aussi s'assurer que le site de l'entreprise ou le suivi (tracking) comportemental des visiteurs soit bien en conformité avec la réglementation en vigueur du RGPD. Tout manquement non rectifié avant mai 2018 pourrait coûter cher.
L'une des nouveautés les plus importantes, et qui suscite bien des réactions, est la clause concernant les amendes. Alors que jusqu'à présent, les amendes, en Europe et en France en particulier, étaient plutôt rares et d'un montant peu élevé, les articles 83 et 84 ont introduit une toute nouvelle dimension dans le monde de la protection des données. On parle ici de 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, un chiffre de grande ampleur qui devrait vraiment démontrer que la protection des données n'est pas un vain mot.
Évolutions dans les demandes d'indemnisation
Jusqu'ici, le propriétaire des données était l'unique responsable vis-à-vis de la partie concernée. Désormais, les exigences vont monter d'un cran : chaque personne lésée pourrait réclamer une indemnisation pour des dommages matériels ; et depuis peu, pour des dommages moraux (article 82). De plus, le sous-traitant partage la responsabilité avec le propriétaire des données pour l'intégralité du dommage. Cela peut entraîner des demandes de dommages et intérêts significatifs aux sous-traitants, au cas où ceux-ci ne seraient pas couverts par un contrat protecteur.
Le GPDR n'introduit pas d'innovations fondamentales concernant le lieu du traitement des données. Jusqu'à maintenant, seuls les traitements de données effectués au sein de l'Union Européenne (UE) ou de pays tiers identifiés comme sûrs - pays ayant démontré un niveau de protection des données équivalent à celui de l'UE, selon la Commission - étaient considérés comme solides. Aujourd'hui, lorsque l'on exporte des données vers d'autres pays, le traitement doit déjà être couvert contractuellement. Pour le moment, cela concerne des clauses contractuelles standard pour la transmission des données personnelles à des sous-traitants dans des pays tiers, ou encore les dispositions relatives au Privacy Shield. En somme, rien de nouveau par rapport à ce que la loi rend déjà obligatoire en ce domaine.
D'une manière générale, les entreprises qui ont déjà adapté leur organisation et qui se sont mis en conformité avec les lois actuelles de protection des données devraient être capables d'adapter facilement leurs processus et leurs contrats pour se mettre en conformité avec le nouveau règlement. Après s'être renseignée sur la loi de protection des données, si une entreprise devait découvrir qu'elle n'était pas au fait de la loi, ni assez préparée, alors il lui resterait peu de temps pour se mettre à niveau.
La protection des données et la mise en œuvre du règlement devrait devenir la priorité de toutes les entreprises, avant que cela ne se retourne contre elles en mai 2018.
C'est donc un devoir pour toute organisation commerciale de préparer sa mise en conformité avant la butée de mai 2018. Avec le département marketing qui, très souvent sera la cheville ouvrière sans doute aider pour l'IT et le département juridique. Mais c'est également un devoir pour les fournisseurs de solutions de marketing digital d'être en conformité et d'assurer à leurs clients que leur plateforme permet de l'être
