En 2016, le Parlement Européen a introduit le GDPR (General Data Protection Regulation), un règlement général sur la protection des données dont l’entrée en vigueur est prévue le 25 mai 2018. Ceux qui en connaissent les grandes lignes disent que le règlement va révolutionner le contrôle du traitement des données des petites comme des grandes entreprises.
Si vous ne savez pas quelles conséquences l’application du GDPR va avoir pour votre entreprise, vous n’êtes pas le seul dans cette situation. Un sondage de la société Dell a révélé qu’environ 80% des personnes interrogées ne connaissaient pas, ou peu, le GDPR. Par ailleurs, la majorité écrasante des entreprises (97%) ont déclaré ne pas avoir de plan d’action officiel pour se préparer au GDPR. Heureusement, nous sommes là pour vous expliquer ce qu’il faut savoir sur le GDPR et sur son impact pour les entreprises.
Présentation du GDPR
En avril 2016, après des années de délibération, le Parlement Européen a adopté un nouveau texte sur la protection des données, applicable à compter du 25 mai 2018 : le GDPR. L’objectif de ce règlement est de protéger les données des citoyens européens et de donner à ces derniers un maximum de liberté par rapport à leurs informations digitales. Le GDPR s’applique à l’ensemble des entreprises qui stockent des données personnelles sur les résidents européens, y compris celles qui sont domiciliées hors UE.
Comme tout document juridique, le GDPR définit les termes qui ont de la pertinence dans le cadre des obligations fixées. Par « données personnelles », il entend « toute information se rapportant à une personne physique permettant d’identifier directement ou indirectement la personne ». Cela inclut notamment les informations relatives au nom, à la photo, aux données des réseaux sociaux, au dossier médical, à l’adresse email, voire l’adresse IP de l’ordinateur, d’une personne.
Le GDPR renforce les droits des clients à l’égard de leurs données :
- Droit d’accès
Les clients ont le droit de demander une copie de leurs données au responsable du traitement des données (l’entreprise). Ils ont également le droit de demander des informations sur l’utilisation faite de leurs données et le pays d’hébergement. Si un client fait valoir ce droit, le responsable du traitement doit transmettre l’intégralité des données à l’individu concerné gratuitement et sous format électronique. - Droit à l’oubli
La personne concernée par les données (individu / client) peut également demander au responsable du traitement d’effacer l’intégralité de ses données personnelles. Dans ce cas de figure, le responsable du traitement des données est dans l’obligation d’effacer toutes les données sur l’individu et de stopper toute utilisation de ces données par des tierces parties. - Notification des violations de données à caractère personnel
En cas de violation de données personnelles, la personne concernée par les données doit être informée dans un délai de 72 heures à compter de la découverte de la violation. - Portabilité des données
Les personnes concernées ont le droit de demander le transfert de leurs données d’un service à un autre. Le format doit être lisible par machine et couramment utilisé. - Droit d’information
Les clients doivent être informés lorsque leurs données sont collectées / stockées. En d’autres termes, ils doivent cocher une case ou accepter la collecte des données, exprimant ainsi clairement leur accord. Une inactivité ou une case cochée par défaut ne peuvent pas être considérées comme un consentement. - Droit de rectification
Les individus peuvent demander que leurs données soient modifiées en cas d’inexactitude des informations stockées. - Droit d’opposition et droit à la limitation du traitement des données
Les individus peuvent, à tout moment, retirer leur consentement au traitement de leurs données personnelles. Si une personne fait valoir ce droit, le responsable est obligé de stopper immédiatement le traitement des données concernées. NB : Ce droit est différent du droit à l’oubli.
Autre point important du GDPR, le règlement ne fait pas la distinction entre les données personnelles qui appartiennent à la sphère privée et à la sphère professionnelle. De ce fait, même si deux personnes partagent des données de la part de leur entreprise (comme pour les communications B2B), le GDPR les considère comme deux personnes physiques plutôt que deux représentants d’une entreprise.
L’Union Européenne a prévu de lourdes sanctions pour les entreprises qui ne seraient pas en conformité avec le GDPR. Tout non-respect des obligations imposées par le règlement sera sanctionné par des amendes pouvant atteindre 4% du revenu annuel global de l’entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu). Votre entreprise a donc tout intérêt à être en règle pour ne pas subir les conséquences désastreuses d’une entorse à la nouvelle législation.
GDPR : quel impact pour votre entreprise
Maintenant que vous savez ce qu’est le GDPR, vous vous interrogez sans doute sur l’impact que ce nouveau règlement va avoir sur vos activités. Dans l’ère « post-GDPR », la confidentialité et la sécurité des données personnelles de vos clients devront primer sur tout. La première partie de votre travail consiste à recenser les catégories de données personnelles visées par le GDPR, c’est-à-dire toutes les données (y compris les adresses IP et l’identité des mobiles) dont l’utilisation permet d’identifier vos clients. Cette étape consistant à cartographier vos traitements de données est essentielle pour prendre la mesure de l’impact du GDPR sur votre activité. Par conséquent, il faudra redoubler de vigilance pour repérer les données que vous avez recueillies sur des clients dont l’utilisation risque de permettre d’identifier ces clients.
Pour les PME, l’article 30 du GDPR stipule explicitement que le règlement s’applique uniquement aux organisations de plus de 250 employés. Mais ne vous réjouissez pas trop vite ; si votre entreprise utilise régulièrement des données à caractère personnel, vous n’échapperez pas aux dispositions du GDPR. L’article signifie simplement que vous devez nommer un délégué à la protection des données personnelles (Data Protection Officer ou DPO), conformément aux obligations légales du GDPR pour les grandes entreprises (250 employés ou plus) et pour les PME qui traitent régulièrement des données personnelles. Le délégué sera chargé de faire respecter le GDPR, de conseiller l’entreprise et de surveiller le traitement et stockage des données personnelles des clients.
Parallèlement, le GDPR revoit la définition du mot « consentement » et impose aux entreprises d’obtenir l’accord explicite de l’internaute avec un opt-in. Alors qu’avant, le consentement de l’internaute était implicite en l’absence d’opt-out actif, le GDPR oblige les entreprises à démontrer que l’individu a utilisé un opt-in pour donner son consentement. Une obligation qui s’applique de manière rétroactive et qui fait que les données collectées avant l’application du GDPR ne pourront être utilisées que si l’utilisateur donne à nouveau son consentement. Pour pouvoir utiliser des données personnelles de clients, vous devrez mettre en place des dispositifs permettant d’obtenir leur consentement explicite. Il faudra également penser à mettre à jour vos conditions d’utilisation en conséquence.
L’autre disposition du GDPR qui aura des répercussions sur votre entreprise est la politique de notification des violations de données à caractère personnel. Avec le nouveau règlement, le responsable du traitement doit signaler toute violation des données confidentielles du client à l’autorité nationale de la protection des données de préférence dans les 24 heures, et 72 heures au plus tard, suivant la découverte de la violation. Pour être en règle, vous devrez avoir un système spécialement conçu pour signaler les cas de violation de données personnelles.
Enfin, par rapport à cette disposition, il est recommandé aux entreprises de prendre des mesures de précaution pour limiter les risques de violation de données. Deux mesures sont préconisées : recruter un délégué chargé d’assurer la sécurité des données (le fameux DPO) ou crypter toutes les données utilisateur visées par le GDPR avant de les sauvegarder dans vos systèmes. C’est une stratégie qui demande peu d’efforts, d’autant que vous n’avez rien à perdre mais tout à gagner en renforçant la sécurité de vos données.
Impact sur les activités marketing et commerciales
De toute évidence, le GDPR va avoir d’innombrables répercussions sur les activités des entreprises, notamment sur la gestion des activités commerciales et marketing. Du fait que le GDPR vise les données numériques des clients, l’e-marketing risque d’être particulièrement affecté par la nouvelle réglementation.
L’emailing fait partie intégrante de l’e-marketing moderne. Et pour cause, puisqu’une étude a révélé que les marketeurs peuvent espérer un retour sur investissement (ROI) moyen de 119% avec des campagnes d’email marketing. Si les entreprises affichent un fort optimisme par rapport à l’email marketing, les clients se montrent eux aussi largement en faveur des offres par email et 77% des internautes citent l’email marketing comme canal préféré. Le GDPR risque donc de complètement changer la donne en matière d’email marketing.
Compte tenu de l’insistance sur la nouvelle définition du consentement client, les marketers ne seront plus autorisés à envoyer des emails à des clients potentiels si ces clients ne s’intéressent pas à leur produit ou service. Cela risque d’affecter votre liste de diffusion actuelle et vos perspectives d’achat de listes de diffusion, sachant que les fournisseurs de listes de diffusion devront être en mesure de démontrer que les clients ont accepté de recevoir des emails marketing.
En outre, vous devez veiller à mettre en place un système destiné à la sauvegarde du consentement que les clients ont accordé à votre entreprise. Dans l’idéal, il vous faut une preuve du consentement de chaque client actuellement associé à votre entreprise.
Terminons par un point important, qui découle directement du « droit à l’oubli » du GDPR : les dispositifs permettant aux clients de demander l’effacement de leurs données, à savoir que les nouvelles obligations légales vont vous amener à revoir vos méthodes de profilage.
Conclusion
Face à la digitalisation de l’économie, la protection des données personnelles est devenue un enjeu important. L’UE a tenté de répondre au problème avec le GDPR, un règlement dont l’objectif est de responsabiliser les entreprises vis-à-vis de leur traitement des données personnelles de clients. Là où certains verront un obstacle à la profitabilité, la nouvelle réglementation est une opportunité que les meilleures entreprises sauront saisir pour en faire un avantage concurrentiel.