En matière de protection des données personnelles, le RGPD, dont la mise en place est prévue pour le 25 mai 2018, constitue un projet de très grande ampleur. Mais à l’heure actuelle, 60 % des professionnels de la cybersécurité redoutent encore cette échéance, considérant qu’ils auront des difficultés à respecter toutes les exigences de ce règlement européen.
Le RGPD, qu’est-ce que c’est ?
LA RGPD est une réglementation européenne qui vise à protéger les données personnelles des particuliers. Ce paquet législatif regroupe une centaine d’articles au total et entraîne de sérieuses modifications sur les sites internet notamment.
Il s’adresse tout particulièrement aux entreprises qui collectent des informations sur leurs clients et prospects : les boutiques de vente en ligne, mais aussi les sociétés qui proposent des services et, d’une façon générale, tous les sites web sur lesquels les internautes peuvent inscrire une adresse e-mail, un numéro de téléphone ou des coordonnées, entre autres.
(1) RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
(2) Art. La CNIL : Règlement européen sur la protection des données : ce qui change pour les professionnels
Les objectifs du RGPD
À l’ère des objets connectés et de l’essor de technologies aussi puissantes que l’intelligence artificielle, on observe la naissance d’un climat d’angoisse, qui ne permet plus d’assurer une relation de confiance saine entre les entreprises et leur clientèle.
Le but du RGPD est de restaurer la transparence entre les différentes parties. Pour cela, les articles ont été formulés avant tout pour renforcer les droits des personnes, notamment protéger les mineurs.
En parallèle, la devise de cette réglementation est la suivante « privacy by design and by default ». Plus clairement, la protection des données privées doit être une priorité pour toutes les entreprises. Ces dernières sont désormais dans l’obligation d’assurer à chacun une confidentialité totale et une protection optimale de la vie privée.
Comment appliquer le RGPD dans le marketing ?
Le RGPD reste un règlement très généraliste, qui touche à tous les aspects de l’activité de l’entreprise, dès lors qu’un lien avec les données personnelles et la vie privée des utilisateurs existe. Ainsi, sur le site web, par exemple, il faudra veiller à déployer des conditions d’utilisation extrêmement claires, tout en expliquant simplement la manière dont les données personnelles sont recueillies et traitées. Enfin, il ne faut jamais oublier de mettre à disposition une case à cocher, pour que l’utilisateur affirme qu’il est au courant qu’on collecte les informations délivrées.
La composition règlementaire de la RGPD
D’une façon générale, ces grandes règles du RGPD vont devoir être appliquées à toutes les entreprises :
• La portabilité des données. Chaque consommateur doit pouvoir récupérer les informations données à une entreprise pour souscrire un contrat. De plus, s’il veut changer de prestataire, les renseignements doivent pouvoir être transférés au nouvel interlocuteur (exemple : changer d’opérateur mobile et transférer de l’ancien interlocuteur au nouveau).
• Le droit à la modification et à l’effacement des données. Si le particulier retire son consentement au traitement de ses données personnelles, il doit pouvoir demander leur effacement, même si elles ont été rendues publiques.
• L’obligation du consentement pour le traitement des données. Dès lors qu’une entreprise collecte des informations sur un client ou prospect, elle doit lui demander son autorisation, lui expliquer que les renseignements peuvent être utilisés (et dans quels objectifs) afin d’avoir son accord.
• Le droit d’opposition. À tout moment, la personne concernée peut exprimer son opposition au traitement des données.
Quelques conseils pour se préparer au RGPD
Pour s’assurer de respecter les nombreuses règles de ce RGPD, toutes les entreprises concernées doivent lister scrupuleusement les données personnelles recueillies par les prestataires qui gèrent les informations relatives aux clients.
De plus, nous conseillions à toutes les structures qui le souhaitent à penser « Smart Data » plutôt que « Big Data ». En somme, réfléchissez autour des données collectées et, au lieu de les cumuler, choisissez uniquement celles qui sont vraiment pertinentes !
Enfin, sachez que les rapports entre CNIL et RGPD sont étroits : la Commission nationale de l’informatique et des libertés met en place des conférences et peut vous aider dans votre veille digitale.
Quelles sont les sanctions prévues par le RGPD ?
Toutes les entreprises et organisations publiques qui traitent des données personnelles peuvent, un jour, faire l’objet d’un contrôle de la CNIL. Dans l’article 62 du RGPD, on parle également de contrôles réalisés par « plusieurs autorités européennes de protection des données ».
Les contrôles sont parfois prévus à la suite d’une plainte, mais peuvent aussi être la conséquence d’une demande d’autorisation de traitement. Il s’agit :
• D’une audition sur place
• D’une convocation à distance
• En ligne
La violation des règles RGPD est lourdement réprimée. Une amende de premiers niveaux (fautes relatives au consentement des mineurs ou au traitement d’informations sans identification de l’utilisateur, par exemple) peut grimper jusqu’à 10 millions d’euros — ou 2 % du chiffre d’affaires.
Des pénalités plus importantes sont prévues pour les fautes lourdes relatives au consentement, à l’effacement ou à la rectification : jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires.
Il ne reste plus que quelques semaines pour se mettre en règle avec le RGPD. Le défi est de taille pour toutes les entreprises qui travaillent chaque jour avec des données propres à leurs clients ou prospects.