Webinaire RGPD : Compte-rendu + livre blanc
Notre webinaire RGPD va permettre aux marketeurs de comprendre simplement quels sont les enjeux que soulèvent cette nouvelle réglementation.
Récapitulatif de la nouvelle règlementation
Le RGPD, qu’est-ce que c’est ?
Le RGPD, c’est tout simplement le Règlement Général de la Protection des Données. C’est le nouveau texte de référence européen visant à encadrer et protéger les données à caractère personnel. Il va unifier et renforcer considérablement la protection des données des individus présent au sein de l’Union européenne. Il entrera en vigueur à partir du 25 mai 2018 prochain.
Quelles seront les entreprises concernées ?
Toutes les entreprises traitant des données seront concernées par le RGPD, que ces données soient en ligne ou hors ligne. La taille des entreprises ne sera d’ailleurs pas un critère du champ d’applicabilité de ce nouveau règlement. En effet, TPE, PME et GE peuvent être touchées par le RGPD. Même les entreprises étrangères si elles traitent des données de résidents européens.
Quelles seront les risques encourus ?
Des amendes administratives pouvant atteindre un montant maximal de 20 millions d’euros peuvent être prononcées à l’encontre des entreprises ne respectant pas la nouvelle loi. Cette somme peut être encore plus importante s’il s’agit de firmes multinationales. En effet, l’équivalent de 4% du chiffre d’affaires mondial de l’entreprise peut être réclamés par la Cour Européenne. A cela, s’ajoute le fait que les entreprises peuvent également être impactées de façon négative quant à leur image. Puisque selon le contexte, la Cour Européenne pourra :
Prononcer un avertissement ; Mettre en demeure l’entreprise ; Limiter temporairement ou définitivement un traitement de données ; Suspendre les flux de données ; Ordonner de satisfaire aux demandes d’exercices des droits des personnes ; Ordonner la rectification, la limitation ou l’effacement des données.
Droits, obligations et sécurité
Le consentement préalable
La possession de bases de données implique qu’il va, à partir du 25 mai 2018 falloir recueillir le consentement préalable de chaque individu figurant dans vos bases. Ce consentement devra être exprès (formellement exprimé) et résulter d’un acte positif. La personne doit réellement avoir été mise devant la nécessité de donner son accord au traitement que les entreprises feront de ses données.
Le droit à l’oubli
Les personnes dont les données sont collectées disposent de droits à la rectification, à l’effacement totale des données et à l’oubli. Ces droits peuvent être invoqués selon plusieurs motifs :
– La personne concernée s’oppose au traitement à des fins de prospection
– Les données ont fait l’objet d’un traitement illicite
– La personne concernée retire son consentement
– Les données doivent être effacées pour respecter une obligation légale
– Les données ont été collectées dans le cadre d’une offre de service à destinations de mineurs
Attention : Lorsqu’un individu ne souhaite plus être prospecté, il convient de conserver ses données dans une liste d’opposition. Vous pouvez ainsi lui garantir qu’à l’avenir, il ne sera plus sollicité.
Le droit à la portabilité
Le droit à la portabilité renforce la maîtrise des personnes sur leurs données personnelles. Il crée également de nouvelles opportunités de développement et d’innovation. Car il va faciliter le partage de données personnelles, de manière sécurisée et sous le contrôle de la personne concernée.
La protection dès la conception et par défaut
On en entend souvent parler en anglais, le privacy by design & by default est un nouveau paramètre de sécurité que doivent intégrer les entreprises. Il s’agit de prendre en compte la notion du respect de la vie privée dès la conception d’une base de données, d’un système d’information ou d’une application. Pour la partie par défaut, elle traite du niveau de sécurité. En garantissant pour les individus, le plus haut niveau de protection de leurs données personnels.
Le délégué à la protection des données
Le DPD ou DPO (data protection officer) est un personnel clé au sein de l’entreprise. Car c’est lui qui va faire office de point de contact entre les autorités de contrôle et la société. Il doit connaître l’ensemble des lois et les faire appliquer au responsable de traitement. Sa nomination est obligatoire pour les organismes privés ou publics dont « les activités de base (…) exigent un suivi régulier et systématique à grande échelle des personnes concernées » ou lorsque « le traitement est effectué par une autorité publique ou un organisme public ».
La pseudonymisation des données
C’est un processus qui fait perdre aux données leur caractère nominatif. Au moyen d’une clé de hachage, les données à caractère personnel sont séparées de l’identité d’une personne. Ce procédé répond en partie à la protection dès la conception et par défaut. Car il assure un niveau de sécurité optimal des données.
Les notifications de violation des données personnelles
Il faut distinguer 3 types de violations de données différentes. Celle qui va entrainer un défaut de disponibilité des données (leur destruction ou leur perte). La violation qui va causer un défaut d’intégrité des données (altération). Et enfin, la plus sérieuse, la violation ayant pour effet un défaut de confidentialité des données (divulgation non autorisée).
En cas de piratage, le responsable de traitement doit avertir l’autorité de contrôle au plus tard 72h après la découverte du problème
L’article 34 du Règlement indique que ce signalement devra intervenir « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. » L’emploi du mot « élevé » laisse donc place à une large interprétation et occasionnera sans doute le développement d’une jurisprudence à ce sujet. Les personnes concernées par la violation des données doivent également être notifiées dans les meilleurs délais.
Les impacts du RGPD sur vos actions Marketing
La bonne nouvelle, concernant le RGPD, c’est que le traitement qui est fait aujourd’hui des données par les services marketing n’est pas vraiment chamboulé. En effet, ce sont davantage les process concernant ces données, la façon dont vous les collectez, les hébergez et les gérez.
De l’obtention des données à la suppression des données, en passant par le traitement et l’enrichissement des données, le RGPD amène des nouvelles pratiques au sein des services marketing. En effet, le RGPD renforce la protection des données basiques telles que les adresses emails, les numéros de téléphone, l’adresse postale mais intègre cette fois-ci dans son scope les données avancées telles que les données de localisation et les cookies, qui étaient jusqu’alors quelque peu « ignorées » par les textes législatifs.
RGPD : L’étude d’impact préalable
La 1ère étape pour vous, service marketing, va être de réaliser une étude d’impact avec votre responsable des données ou encore vos services juridiques et informatiques. En effet, il s’agit d’évaluer le niveau de risque lié à votre process de traitement de données : obtention et traitement des données en conformité avec les règles du RGPD, protection et sécurité des données et des flux liés à celles-ci, … Il s’agit pour vous de détecter si vous détenez des données sensibles ou vulnérables, où celles-ci sont hébergées et protégées, si votre traitement est bien conforme à l’autorisation donnée par l’individu et si celui-ci justifie bien le fait que vous déteniez ces données. Une fois cette étape réalisée, vous pourrez définir un plan d’actions de mise en conformité de vos leviers marketing.
RGPD : quid des bases de données marketing
Bonne nouvelle concernant les pratiques d’obtention des données, l’opt-in en B2B reste non obligatoire et l’opt-in B2C reste toujours obligatoire. Aucune révolution dans votre stratégie d’acquisition de données, ouf !
Le RGPD apporte tout de même une nuance : la transparence. En effet, l’opt-in doit être express de la part de l’individu. L’entreprise va devoir être transparente dans le traitement qui va être fait de ces données. Chaque finalité de traitement doit être explicite et l’opt-in doit résulter d’un acte positif. C’est donc la fin des cases pré-cochées. Mais aussi des tournures du type « Pour ne pas recevoir d’offres de notre part, merci de cocher cette case ».
Les autorités de contrôle seront également susceptibles de demander à accéder à vos données afin de vérifier trois informations obligatoires : la source des données, la date d’obtention de ces données et la preuve du consentement pour le traitement que vous faites de ces données. Veillez donc à bien structurer vos bases de données afin de récolter ces informations dans les champs adéquats, voire, ce que nous vous conseillons, de bien synchroniser toutes vos bases de données afin d’avoir un seul et même référentiel de données. Dans tous les cas, lors de contrôles, vous devrez fournir un seul et même fichier. Vous avez des solutions comme Zapier qui permettent de synchroniser vos données entre votre CRM et votre solution de gestion de campagnes emailing (c’est possible avec la solution de Dolist), un bon début qui vous permettra d’ailleurs de tirer pleinement profit de toutes vos données pour vos actions marketing.
De plus, sachez que les données et contacts que vous avez déjà en votre possession peuvent bien entendu rester dans votre base en l’état. Vous n’aurez pas besoin de recueillir le consentement des individus. Sauf si vous détenez des données sensibles qui ne sont pas justifiées dans le cadre de vos traitements. De même si vous n’en avez pas l’utilité dans la relation commerciale que vous entretenez avec cette personne. Comme c’est déjà le cas aujourd’hui, veuillez bien à toujours donner la possibilité aux individus d’apporter des modifications ou de supprimer leurs données.
RGPD & Email Marketing : quels changements ?
Comme indiqué précédemment, dans le cadre de vos communications marketing via le canal de l’email, il faut avoir le consentement préalable uniquement concernant les cibles B2C.
Déjà obligatoire, il faut toujours intégrer un lien de désabonnement dans chacun de vos emails et traiter toutes ces demandes. De façon automatique, c’est encore mieux.
Sachez qu’il est également préférable de publier vos conditions générales et conditions de traitement de vos données de façon publique, sur votre site Internet par exemple. Ainsi, tout individu aura les informations nécessaires concernant ces traitements, les informations de contacts pour modifier et supprimer leurs données et aussi les informations relatives au stockage et à la sécurité de leurs données.
Nous vous conseillons, dans le cadre de vos actions email marketing, de bien gérer votre pression marketing et ainsi éviter toutes plaintes à votre encontre. Le RGPD renforçant les droits des individus en la matière, les contrôles seront possiblement plus fréquents et débouchant à de vraies sanctions, au-delà de simples rappels à l’ordre.
Quid du profilage avec le RGPD
Le profilage permet aujourd’hui aux entreprises de dresser un profil type de consommateurs. Cela dans le but d’envoyer des messages et offres personnalisés mais aussi pour anticiper les comportements et intentions d’achats.
Avec l’arrivée du RGPD en mai 2018, le profilage reste autorisé. Par contre, les entreprises se doivent d’informer les personnes ciblées et de leur donner la possibilité de s’y opposer. Vous pouvez, par exemple, en plus d’un lien de désabonnement dans le footer de votre email, ajouter un lien qui permet à l’individu de s’opposer au profilage :
« Je ne souhaite plus être profilé et ainsi ne plus recevoir d’offres personnalisées ».
Dans le cadre de votre application de Data Mining, il vous restera à réaliser votre profilage sur un segment qui contient bien en exclusion toutes les personnes s’étant opposées à ce dernier.
Comment bien choisir son prestataires marketing avec le RGPD ?
Comme beaucoup d’entreprises, les services marketing utilisent des solutions tierces pour gérer leur stratégie CRM ou encore leurs campagnes email & SMS Marketing. Avec l’arrivée du RGPD et ses nombreuses obligations, il faut bien vous assurer que votre prestataire est conforme.
Voici une check-list des éléments à vérifier avant de choisir un prestataire :
- Où sont hébergées vos données ? (en France, en UE ou hors UE)
- Comment sont protégées vos données ?
- Un DPD a-t-il bien été nommé chez votre prestataire et avez-vous ses coordonnées ?
- Existe-t-il un process de notifications en cas de violation des données ?
- Vos données restent-elles toujours votre propriété et seront-elles bien détruites dès la fin de votre contrat ?
Bien entendu, Dolist est déjà conforme au RGPD et peut vous accompagner dans l’évolution de votre stratégie marketing.
La data, comme vous l’aurez compris, c’est une ressource capitale pour les entreprises. C’est même leur principal levier de croissance !
Jusqu’où ira-t-on dans l’exploitation des données et l’analyse des comportements ?