Le nouveau règlement sur la vie privée : une opportunité pour les marketeers

by Bart Van den Brande

Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. L’objectif du RGPD est d’assurer la bonne marche de « l’économie des données » et de mieux protéger la vie privée des consommateurs. Quel est l’impact de ce nouveau règlement sur la vie privée pour les marketeers ? Bart Van den Brande, avocat et partenaire chez Sirius.Legal, nous apporte un éclairage sur le sujet.

 

Ce nouveau règlement sur la vie privée me concerne-t-il ?

Le Règlement général sur la protection des données, également connu sous l’acronyme RGPD, s’appliquera immédiatement et directement dès son entrée en vigueur en mai 2018 à toute personne résidant dans l’UE chargée du traitement de données, d’une manière ou d’une autre : du dentiste qui collecte les coordonnées de ses patients à la boutique en ligne qui vend des marchandises et gère un fichier de clientèle en passant par le marketeer qui élabore des profils clients.

 

De quoi traite le règlement sur la vie privée ?

Le règlement se compose de plusieurs volets, dont deux ont une importance capitale pour les entrepreneurs. Un premier ensemble de règles détermine comment les données à caractère personnel peuvent être collectées. Ces dispositions définissent les cas où un opt-in (accord) est nécessaire, ainsi que les modalités en matière de protection des mineurs et de transmission des données à des tiers. Elles prévoient également des règles strictes en matière de profilage des clients ou des prospects. Si de nombreuses règles existaient déjà auparavant, il est évident qu’elles deviendront bien plus sévères en 2018.

Le règlement contient en outre une deuxième série de règles, qui sont quant à elles inédites. Ces dernières se rapportent à l’organisation interne des entreprises. Ainsi, toutes les entreprises sont dans l’obligation de procéder à une « évaluation d’impact sur la vie privée ». Il s’agit d’une sorte d’audit de sécurité dans le cadre duquel les entreprises doivent analyser la façon dont elles traitent leurs données et les risques encourus en matière de perte ou de vol de données. Sur la base de cette étude, les entreprises sont tenues d’élaborer un plan d’action afin d’éliminer ces risques. Pour de nombreuses entreprises, une autre obligation concerne le recrutement d’un délégué à la protection des données (Data Protection Officer en anglais), dont le rôle s’apparente à celui d’un conseiller en prévention pour la vie privée. Il peut d’ailleurs s’agir d’un consultant externe disponible quelques heures par semaine ou par mois.

Le RGPD apporte par ailleurs bien d’autres nouveautés, notamment une obligation de notification des fuites de données : en cas de perte ou de vol de données, les autorités et les clients concernés devront être avertis dans les 72 h.

 

Quelles mesures dois-je prendre ?

Les mesures précises qu’il convient de prendre varient d’une entreprise à l’autre. Dans les grandes lignes, il s’agit d’effectuer un audit de vie privée. Cet audit consiste à dresser une vue d’ensemble des données utilisées au sein de l’entreprise, à définir d’où elles proviennent, qui y a accès, quels sous-traitants peuvent les utiliser (p. ex. : entreprise de marketing en ligne). Il est ainsi possible d’évaluer les risques pour la sécurité.

La réalisation d’un audit de vie privée vous permet de travailler à la mise en œuvre des modifications nécessaires selon trois axes :
1. Prévoir des dispositifs de sécurité techniques supplémentaires selon les besoins
2. Modifier les processus de l’entreprise
3. Contrats avec les fournisseurs, contrats de travail, règlements de travail, politiques BYOD, etc.

Pour de nombreuses entreprises, ces obligations entraînent une masse de travail bien plus importante qu’elles ne l’imaginaient. Vous pouvez bien sûr vous faire accompagner par des cabinets d’avocats ou des consultants IT spécialisés.

 

Une charge ou une opportunité ?

Le RGPD ne vous impose pas uniquement d’assurer votre propre conformité. En tant qu’entreprise, vous devez également vérifier si les fournisseurs et les prestataires de services auxquels vous faites appel sont conformes. Autrement dit : le marché imposera à tous ses acteurs de se mettre en conformité par rapport aux nouvelles règles. En ce sens, le RGPD peut probablement être considéré comme une « charge » pour de nombreuses entreprises.

Cependant, le « big data » ouvre aussi la voie à des opportunités commerciales de grande envergure. En tant que marketeer, vous devez dès lors aussi considérer ce processus de mise en conformité comme une opportunité.

Il s’agit tout d’abord d’une occasion de contrôler les données existantes au sein de votre organisation, ainsi que la façon dont elles sont utilisées (ou de déceler les risques éventuels d’utilisation abusive). Vous pouvez ainsi examiner comment mieux exploiter les données dans les limites autorisées par le nouveau règlement. En d’autres termes, le processus de mise en conformité avec le RGPD vous en apprendra beaucoup sur votre organisation et garantira plus de maturité, d’ingéniosité et de solidité à votre entreprise.

En outre, la conformité par rapport au RGPD ne représentera pas uniquement une charge dans les années à venir, mais aussi une opportunité et un argument de vente pour les entreprises qui traitent des données, surtout dans le domaine B2C où les consommateurs sont de plus en plus sensibles à la protection de leur vie privée. Les entreprises capables de donner des garanties en matière de sécurisation des données à caractère personnel auront à n’en pas douter une longueur d’avance sur la concurrence à l’avenir.

Dès l’année prochaine, en tant que prestataire de services pour d’autres sociétés ou pouvoirs publics, vous devrez de toute façon être en mesure de prouver à ces derniers que vous êtes en conformité avec le règlement. Les acteurs du marché qui veilleront à être conformes dans les délais impartis auront par là même aussi un avantage concurrentiel dans le secteur du B2B au cours des années à venir.

 

Mais qu’en est-il en cas de non-conformité ?

Les entreprises qui ne seront pas en conformité avec le RGPD en mai 2018 pourront s’attendre à des contrôles plus sévères et d’éventuelles amendes, pour la première fois en Belgique d’ailleurs. En effet, la Commission de la protection de la vie privée bénéficiera d’une capacité d’action renforcée et pourra imposer des amendes effectives.

Les sanctions prévues par le règlement et pouvant être imposées par l’autorité nationale compétente (en Belgique : la Commission vie privée) peuvent atteindre 20 000 000 d’euros ou 4 % du chiffre d’affaires mondial.

En outre, l’entreprise peut être tenue responsable en cas de fuite de données ayant causé un préjudice à des tiers.

 

Mieux vaut donc prévenir que guérir !

Bart Van den Brande

 

Nous vous conseillons donc d’entamer à temps le processus de mise en conformité avec le RGPD. Non seulement pour éviter les amendes, mais aussi car vous avez conscience de l’atout que peut représenter la conformité en matière de respect de la vie privée pour votre entreprise !

 

safetyVous souhaitez en savoir plus ?

Dans le cadre de la formation pour marketeers « Nouvelles règles pour la protection des données : l’impact sur vos actions marketing », Bart Van den Brande vous apprendra à adapter vos actions marketing en fonction du règlement sur la vie privée. Kluwer Formations organise par ailleurs des séminaires spécialisés sur la vie privée et la sécurité (Privacy & Security) pour d’autres fonctions dans votre entreprise. Nous vous invitons à consulter l’offre « Safety First » de Wolters Kluwer.

Également intéressant pour vous