RGPD : 5 éléments que vous avez peut-être manqués

Publié par le | Mis à jour le
RGPD : 5 éléments que vous avez peut-être manqués

La loi européenne sur la protection des données occupe les sujets de conversation à quelques mois de son entrée en vigueur. Et pour cause : les pratiques marketing pourraient être bouleversées par le texte.

  • Imprimer

RGPD, a-t-on fait le tour de la question ? Rien n'est moins sûr, au vu des nombreuses questions qui ont émergé de la matinée "GDPR" organisée par Converteo (groupe ADLPerformance) et mediarithmics, en présence, notamment, de l'éditeur McAfee et de maître Marc-Antoine Ledieu. Objectif : rappeler l'essence du texte et les impacts sur les organisations du règlement sur la protection des données personnelles. Voici les éléments qui pourraient avoir échappé à la vigilance des professionnels du marketing :

1 / Le délai d'application : 2 018 ou 2 020 ?

Le règlement sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018. Par sa nature, le texte est directement applicable dans les 27 États membres - à la différence d'une directive qui laisse aux instances nationales la compétence quant à la forme et aux moyens de l'application. Au 25 mai 2018, les entreprises doivent donc être en conformité avec le règlement, sous peine de sanctions administrative et financière.

Pour autant, "selon la version française du règlement, il existe un délai de deux ans, à partir du 25 mai 2018, pour appliquer la réglementation", révèle maître Marc-Antoine Ledieu, avocat à la Cour, spécialisé dans le droit numérique et la propriété intellectuelle. En effet, comme l'indique le considérant 171 (l'une des 173 interprétations des tribunaux intégrées aux 99 articles du règlement) : "La directive 95 / 46 / CE devrait être abrogée par le présent règlement. Les traitements déjà en cours à la date d'application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur". Une interprétation contestée par la CNIL : "Le règlement européen a été adopté en mai 2016, il est d'application en mai 2018", explique la Commission Nationale de l'Informatique et des Libertés.

2 / Les données : quelles sont celles à ne (surtout) pas collecter ?

Le règlement sur la protection des données personnelles vise à encadrer la collecte et le traitement des données personnelles, c'est-à-dire toutes informations concernant une personne physique identifiée ou identifiable (nom, identifiant en ligne, données de localisation, par exemple). La collecte de certaines data dites "sensibles" est interdite par l'article 9 : les données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ; mais, aussi, les données génétiques, biométriques, concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne physique.

De plus, les données collectées doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

3/ Traitement des données : quand le consentement n'est-il pas obligatoire ?

Les professionnels du marketing se doivent de récolter le consentement de l'individu concerné avant de collecter des informations sur celui-ci. Mais, le consentement de récolte de certaines data ne saurait être demandé si le traitement est nécessaire à l'exécution du contrat. C'est le cas, par exemple, du nom et de l'adresse postale d'un client pour un e-commerçant, qui ne pourrait, sinon, lui envoyer sa commande. Autre exception : si le "traitement est nécessaire aux intérêts légitimes du responsable des données", pour la constitution de fichiers données clients, prospects et salariés.

L'article 21 rappelle que "la personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant [...] y compris un profilage fondé sur ces dispositions." Le responsable du traitement des données ne pourra ainsi plus effectuer de démarche de prospection commerciale ou de profilage, "mais il conserve la titularité des données clients", rappelle maître Marc-Antoine Ledieu.

4/ Obligations : quels sont les 3 incontournables ?

Le règlement fixe de nouvelles obligations pour le responsable des données, à savoir la nomination d'un Data Protection Officer (DPO), "qui rendra compte au plus haut niveau de la hiérarchie", la tenue d'un registre de traitement des données pour tous et la sécurisation des données (pseudonymisation et chiffrement).

5 / Sanctions : les géants, en ligne de mire ?

Le premier projet de réglementation sur la protection des données date de janvier 2012, rappelle maître Marc-Antoine Ledieu. Abandonné, le projet est remis au goût du jour par les révélations d'Edward Snowden des écoutes de la NSA. Dans le viseur de la réglementation européenne : les géants américains, Google, Facebook et autres Amazon, qui collectent à grande échelle les données des citoyens européens. Ce devrait être les premiers contrôlés - et le cas échéant sanctionnés "pour l'exemple", prônent les experts réunis à la matinée GDPR.

Pour aller plus loin :

- 4 points du règlement sur la protection des données à anticiper

- Comment se préparer au règlement européen sur la protection des données

- À quoi doivent s'attendre les marketers ?

- [Fiche métier] Le data protection officer

Journaliste pour Emarketing.fr, Ecommercemag.fr et Relationclientmag.fr et Marketing, je parle souvent data, digital et médias sociaux. Et quand je [...]...

Voir la fiche

Autres articles

Keedn se lance dans les études express
Etudes
Keedn se lance dans les études express

Keedn se lance dans les études express

Par Mégane Gensous

La jeune pousse des études annonce la création de Keedn 6H, un produit capable de livrer des résultats seulement 6 heures après son lancement. [...]

Liste de Noël de la French Tech : la sélection de la rédaction
Veille
Liste de Noël de la French Tech : la sélection de la rédaction

Liste de Noël de la French Tech : la sélection de la rédaction

Par Stéphane Guillard

Le Noël de la French Tech, le collectif de start-up qui a pour objectif de promouvoir l'innovation issue des jeunes pousses françaises, a dévoilé [...]

Les gains de budget de la semaine (13-17 novembre 2017)
Agences
Les gains de budget de la semaine (13-17 novembre 2017)

Les gains de budget de la semaine (13-17 novembre 2017)

Par Mégane Gensous

Chaque vendredi, découvrez notre récap' des compétitions et des appels d'offres remportés par les agences, les régies publicitaires et les prestataires [...]

5 start-up qui réinventent le marketing par l'IA
Data
5 start-up qui réinventent le marketing par l'IA

5 start-up qui réinventent le marketing par l'IA

Par Eloïse COHEN

Mettre à profit l'intelligence artificielle pour bousculer les visions marketing. Tel est l'objectif de 5 des start-up venues pitcher, le 15 [...]

L’outil innovant pour les agences de marketing digitales
Agences

Article écrit par Channable

Channable
L’outil innovant pour les agences de marketing digitales

L’outil innovant pour les agences de marketing digitales

Par Nathalie van der Linden

En tant qu’agence marketing, vous effectuez les activités promotionnelles pour augmenter la notoriété et les ventes de vos clients. Vous êtes [...]

Bad buzz : comment Electronic Arts a tué son image de marque ?
Social media
Bad buzz : comment Electronic Arts a tué son image de marque ?

Bad buzz : comment Electronic Arts a tué son image de marque ?

Par Clément Fages

Après avoir tenté ce 13 novembre de justifier sur Reddit le modèle économique de son dernier jeu, Electronic Arts a dû faire face à un appel [...]