Marketing Digital

Les principaux changements à venir avec le RGPD

By: Privacy Counsel Marketo

Le RGPD, ou règlement général sur la protection des données (2016/679), est une mise à jour de la législation européenne, engagée à des fins d’harmonisation, qui concernera le traitement de toutes les données à caractère personnel au sein de l’Union européenne à partir du 25 mai 2018. Avant cette date, ce domaine relevait de la compétence des États membres dans le cadre de la directive sur la protection des données (96/45/CE), mais les lois variaient considérablement d’un État à l’autre.
En tant que marketeur, vous entendez probablement de plus en plus parler du RGPD. En effet, toute infraction peut entraîner d’énormes sanctions financières et affecter même les plus grosses multinationales. Par ailleurs, la loi s’applique au traitement des données y compris hors de l’UE. Même si, à cet égard, des règles strictes existaient déjà au sein de l’UE, le RGPD introduit des différences qui modifient radicalement les pratiques, les produits et les accords liés à la gestion des données personnelles.
Pour aider votre entreprise à déployer une stratégie plus cohérente, cet article évoque les six changements les plus significatifs qui accompagnent le RGPD.

 

Sanctions

L’une des modifications les plus importantes apportées par le RGPD porte sur les sanctions : les entreprises qui ne respectent pas ce règlement sont passibles d’une amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. C’est l’amende maximale qui peut être appliquée dans le cas où les infractions les plus graves sont combinées, par exemple en l’absence d’un consentement suffisant de la part du client avant de traiter ses données, du fait d’un défaut d’application des principes de « Privacy by Design » (protection de la vie privée dès la conception), ou en cas d’incapacité à d’identifier une violation des données. Il est important de noter que ces règles s’appliquent aux responsables du traitement et aux sous-traitants, ce qui signifie que les sous-traitants en « cloud » ne sont pas exemptés.

 

Périmètre extraterritorial

Contrairement à la directive précédente, dont le périmètre d’application était ambigu, et qui ne s’appliquait qu’aux données personnelles utilisées « dans le cadre d’un établissement », le RGPD indique clairement qu’il s’appliquera à tout traitement de données personnelles « au sein de l’Union » (quelle que soit la citoyenneté de la personne). Même si ces données ne sont pas traitées « au sein de l’Union », le RGPD s’applique aux organisations qui ont des « établissements » dans l’Union ou qui offrent des biens et services aux citoyens de l’UE (qu’un achat ait lieu ou non). Il porte aussi sur le suivi du comportement des citoyens européens. Les entreprises qui n’ont pas d’établissement au sein de l’UE mais qui traitent les données de ses ressortissants doivent également nommer un représentant dans l’UE.

 

Consentement

Le consentement pour le traitement des données à caractère personnel est nécessaire dès lors que l’entreprise n’est pas soumise à une autre base juridique. Exit le jargon. Quand les entreprises sont dans l’obligation de demander le consentement pour traiter les données personnelles, elles ne peuvent pas se cacher derrière des mots qui ont un sens juridique particulier. La demande de consentement doit être exprimée clairement, sous une forme facilement accessible, et elle ne doit pas être mélangée à d’autres sujets ou noyée dans les « petites lignes » ou en petits caractères gris dans un document séparé.
Par ailleurs, il doit être aussi simple de revenir sur son consentement que de l’accorder. Par exemple, si une application envoie une notification pour obtenir le consentement du client sur le traitement de ses données, alors le mécanisme de retrait du consentement ne doit pas être enfoui dans une rubrique inaccessible de l’application.

 

Notification de violation

Jusqu’ici, la plupart des États membres n’exigeaient pas de notification systématique en cas de violation mais, aujourd’hui, le RGPD rend cette pratique obligatoire dans tous les États membres dès lors que la violation est « susceptible d’engendrer un risque élevé pour les droits et les libertés de la personne physique ». La notification doit être faite « dans les meilleurs délais » et « si possible, 72 heures au plus tard après avoir pris connaissance [de la violation de données à caractère personnel] ». Le délai d’application de ces exigences est bien plus court qu’aux termes de la législation américaine et de la loi HIPAA (sur la santé, l’assurance maladie et la protection des données médicales), où les délais de notification se comptent en jours, en semaines, voire en mois.

 

Droits des personnes concernées

Droit d’accès
Les personnes concernées par les données ont désormais le droit d’obtenir une confirmation de la part du responsable du traitement des données les informant que des données personnelles les concernant sont utilisées, à quel endroit et pour quel usage. Maintenant, le responsable du traitement doit également fournir gratuitement une copie de ces données personnelles au format électronique.
« Droit à l’oubli »
Également appelé le droit à l’effacement des données, il donne à la personne concernée la possibilité de demander au responsable du traitement d’effacer ses données personnelles et potentiellement d’empêcher leur utilisation par des tierces parties. La personne concernée peut demander un effacement si elle a retiré son consentement ou si les données ne sont plus pertinentes par rapport à l’usage pour lequel elles avaient été collectées au départ. Le responsable du traitement peut également tenir compte de « l’intérêt public au regard de la disponibilité des informations » lorsqu’il évalue les demandes des personnes concernées.

Portabilité des données
La personne concernée est autorisée à recevoir ses données personnelles dans un « format couramment utilisé et lisible par machine », et elle peut transférer ces données à un autre responsable du traitement des données. Ce droit n’est applicable que si l’utilisation des données a fait l’objet du consentement de la personne ou entre dans le cadre de l’exécution d’un contrat, ou si le traitement de ces données est automatique et ne s’applique qu’aux données personnelles qui ont été fournies au responsable du traitement par la personne concernée.
Privacy by Design
Les principes de « Privacy by Design » (protection de la vie privée dès la conception), s’inscrivent également dans la loi LPRDE canadienne et sont encouragés par la Commission fédérale du commerce aux États-Unis, mais seul le RGPD en fait une exigence légale. La protection de la vie privée et de la sécurité par défaut (et dès le départ) fait partie de ces principes ; elle consiste à utiliser un minimum de données personnelles pour atteindre un objectif donné et à ne pas imposer une perte de fonctionnalité à la personne concernée pour des questions de protection de la vie privée. Cette exigence oblige les organisations à faire travailler des spécialistes de la protection de la vie privée sur le développement de leurs logiciels et à intégrer cette problématique dans le cycle de développement.

 

Délégués à la protection des données

Avec le système actuel, chaque État membre a ses propres exigences d’enregistrement en ce qui concerne les transferts de données et les notifications, et les notifications et les enregistrements doivent être soumis à chaque État membre. Avec le RGPD, les organisations devront désigner un délégué à la protection des données (DPD), qui pourra (dans la plupart des cas) échanger avec l’autorité en charge de la protection des données, désignée comme autorité de contrôle chef de file pour l’organisation par un État membre. La désignation d’un DPD sera obligatoire pour les responsables du traitement et les sous-traitants dont l’activité principale repose sur des opérations de traitement qui impliquent un suivi régulier et systématique de personnes concernées à grande échelle, ou de catégories de données particulières (et sensibles).
Un DPD :

  • Doit parfaitement maîtriser la législation et les pratiques en matière de protection des données
  • Peut être un salarié de l’entreprise ou un prestataire externe
  • Doit bénéficier des ressources nécessaires pour pouvoir mener à bien ses missions et renforcer son expertise
  • Doit rendre compte directement aux plus haut échelons de la hiérarchie
  • Ne doit pas être associé à une autre mission susceptible de provoquer un conflit d’intérêt

Les implications du RGPD sont énormes pour les marketeurs et leur entreprise en général. Si votre entreprise est active dans l’Union européenne, ces changements vous mettront le pied à l’étrier. Pour en savoir plus sur ce que le RGPD changera pour vous en tant que marketeur, téléchargez notre guide complet.