Dès le mois de mai 2018, une nouvelle réglementation sur la protection des données personnelles (RGPD) entrera en vigueur. Cela aura un fort impact sur les projets en marketing et relation client. Au-delà de ça, il s’agit d’un enjeu plus global lié à l’image de marque de l’entreprise. Quelles conséquences ? Comment se faire accompagner ? On vous dit tout !
A partir du 25 mai 2018, les entreprises vont devoir se conformer à une nouvelle réglementation européenne : le RGPD (Règlement Général sur la Protection des Données) ou la GDPR (General Data Protection Regulation) en anglais.
L’idée générale du RGPD est de redonner aux personnes le contrôle sur leurs données personnelles et les aider à mieux faire respecter leurs droits. Avec le RGPD, les individus possèderont un droit de regard sur ce qui est fait de leurs données. Ainsi, il leur sera possible d’accéder à toutes les données les concernant possédées par une entreprise, les corriger si elles sont fausses, les supprimer sous certaines conditions, ou encore, demander leur transfert auprès d’une autre organisation.
L’objectif du RGPD est double.
Tout d’abord, le RGPD pose un garde-fou contre de potentielles dérives liées à l’exploitation des données personnelles, notamment en interdisant les pratiques de collecte ou traitement sauvages et déloyales, dans toute l’Union Européenne, de façon harmonisée.
La notion de donnée personnelle doit être entendue très largement puisqu’il s’agit de toute donnée permettant d’identifier directement ou indirectement un individu (nom, n° de carte bleue, n° client, plaque d’immatriculation, pseudonymes, badgeuse au travail, adresse IP, informations de géolocalisation ou financières, etc.).
« La donnée est le pétrole du 21ème siècle. Le cadre juridique actuel, fondé sur la loi Informatique et Libertés de 1978, est relativement clément avec les entreprises en situation de non-conformité. De plus, ce cadre juridique est passablement éclaté au sein de l’UE, car bien qu’il repose sur un instrument juridique unique (directive 95/46/CE), il fait l’objet d’une transposition dans le droit national de chaque Etat membre de l’UE. Cela entraîne des disparités dans son application et son interprétation, ce qui entrave les entreprises à dimension européenne. Avec le RGPD, le législateur européen se donne les moyens de faire enfin respecter la règlementation en matière de données personnelles. », confie Alexandre Tessonneau, avocat IT & Data privacy.
Ensuite, ce règlement a pour but de favoriser la circulation des données au sein de l’Union Européenne. Selon Alexandre Tessonneau, « la seconde ambition affichée par le RGPD est d’améliorer la confiance des individus à l’égard des organismes collectant des données, ce qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur européen. ». Cela sera facilité par l’harmonisation de la réglementation entre les divers états membres, dont la fragmentation actuelle constitue des obstacles aux flux de données au sein de l’UE. En dehors de l’UE, le RGPD introduit des outils et procédures dédiés, pour exporter et traiter des données personnelles plus simplement tout en assurant un niveau de protection adéquat.
Toutes les entreprises et organisations qui traitent des données personnelles sont concernées.
Ce nouveau règlement concerne-t-il tout le monde ? « Dès lors qu’un organisme privé ou public établi en Europe traite de données à caractère personnel, oui. » indique Alexandre Tessonneau. Comme nous l’avons vu, l’acception du terme « données personnelles » est très large. Il en va de même pour le « traitement » qui désigne la collecte, le stockage, l’analyse, ou encore le transfert de données personnelles. Le règlement est donc valable aussi bien pour une TPE qu’une multinationale. Soulignons que cela est aussi vrai pour une entreprise située hors UE à partir du moment où elle interagit avec de la donnée de citoyens européens.
Notre avocat Data privacy précise : « Il ne faut pas oublier non plus les sous-traitants au sens du RGPD, qui interagissent avec des données personnelles pour le compte de leur clientèle d’entreprises, comme les fournisseurs de solutions SaaS ou les centres de support clients par exemple. Aujourd’hui, s’ils sont relativement épargnés par la réglementation, avec le RGPD ce ne sera plus le cas. Leur responsabilité pourra être engagée directement par le régulateur ainsi que par les personnes dont ils traitent les données pour le compte de leurs clients. Les contrats B2B pour des prestations de services qui nécessitent le traitement de données personnelles devront obligatoirement inclure des clauses garantissant un niveau de protection adéquat. Les sous-traitants au sens du RGPD seront également tenus d’aider leurs clients à s’acquitter de certaines de leurs obligations au titre du règlement ».
« N’ayez pas peur de redonner le contrôle à vos clients sur leurs données, votre image pourrait bien en bénéficier ! »
De nouvelles obligations avec le RGPD.
Au sein des organismes, le règlement introduit une logique d’internalisation de la conformité en matière de protection des données personnelles. Aujourd’hui, la conformité se traduit notamment par des formalités préalables à effectuer auprès de la CNIL. Demain, ces formalités vont disparaitre, au profit d’un principe général d’« accountability* », se matérialisant par de nouvelles obligations, bien que certaines ne soient applicables qu’à partir de certains seuils. Ainsi, dès mai 2018, les entreprises de plus de 250 salariés auront le devoir de tenir un registre interne recensant l’ensemble des traitements de données personnelles (les identifier, les décrire, les tracer et s’assurer de leur conformité). Les sous-traitants devront également tenir à disposition de leurs clients un registre des catégories de traitements qu’ils réalisent pour le compte de ces derniers.
Pour les organismes publics ou pour les entreprises dont l’activité (1) induit des traitements de données sensibles avec une volumétrie importante, ou (2) exige un suivi régulier et systématique à grande échelle de personnes, un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) devra aussi être nommé. Cette personne sera référente sur tous les sujets liés aux données personnelles.
Les contrevenants au RGPD s’exposeront à des amendes massives : selon l’infraction, elles pourront atteindre 10/20 millions d’euros ou 2/4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Le RGPD impacte les projets marketing et relation client, nécessitant alors un accompagnement par des experts.
Au sein des entreprises, ce sont notamment les pôles Ressources Humaines et Marketing qui seront impactés. Pour accompagner les organisations dans leur mise en conformité avec le RGPD d’ici mai 2018, Extens Consulting a décidé de s’associer avec des avocats experts en Data privacy.
Pour Emmanuel Richard, directeur d’Extens Consulting : « En combinant notre connaissance des secteurs d’activités de nos clients, notre expertise en expérience client et en gestion de projets, à celle de l’expertise juridique de nos avocats partenaires, les projets de mise en conformité au RGPD vont beaucoup plus vite. ».
Quelque chose que l’entreprise Kärcher a bien compris en faisant appel au cabinet de conseil Extens Consulting sur le sujet du RGPD.
Sur quoi peut porter l’accompagnement ?
- Un état des lieux accompagné d’une proposition de plan d’action : « Grâce à un audit, nous cartographions les différents traitements de données personnelles et procédons à leur analyse juridique. » explique Emmanuel Richard, qui poursuit « Cela va permettre d’identifier les écarts de conformité par rapport à la réglementation et les risques associés.».
- L’accompagnement à la mise en œuvre d’un plan d’action pour résoudre les écarts : « Nous accompagnons le client dans la création et le maintien du registre interne des traitements, la revue des conditions générales, des politiques de confidentialité, des cookies, des modalités d’information et de recueil du consentement des personnes, des contrats fournisseurs et de l’encadrement juridique des transferts de données hors UE, etc. » explique Alexandre Tessonneau. « Mais cela ne s’arrête pas là ! Si nécessaire, une aide au recrutement d’un DPD peut être apportée. Nous pouvons aussi aider à conduire des études d’impact préalables au lancement d’un produit, par exemple un nouvel objet connecté, ayant des conséquences sur la vie privée des individus. » complète Emmanuel Richard.
« Ce RGPD ne doit pas être uniquement vu comme quelque chose de contraignant. En étant en conformité avec ce règlement, c’est une formidable opportunité pour les organisations de montrer qu’elles se soucient de leurs clients et du traitement de leurs données personnelles. » confie le dirigeant du cabinet de conseil.
Dans son dernier livre Le Seigneur des Robots, Arnaud de Lacoste, PDG du groupe Acticall-Sitel, va aussi dans ce sens : « La confiance restera plus que jamais la clé de voûte de l’expérience client. […] Mais pour maintenir la confiance, il sera indispensable de garantir une stricte protection des données personnelles. […] Ce qui fera la différence entre les grandes entreprises du numérique et de l’intelligence artificielle, c’est le respect de principes tels que la transparence et le secret. »**
« N’ayez pas peur de redonner le contrôle à vos clients sur leurs données, votre image pourrait bien en bénéficier ! » conclut Emmanuel Richard.
– Téléchargez le livre blanc RGPD
*accountability : l’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. (source)
** : extrait du livre d’Arnaud de Lacoste, Le Seigneur des Robots, p. 69-70, aux éditions Débats Publics, 2017.
Découvrez aussi notre Livre Blanc sur la Facilité Client et Collaborateurs : De l’Effort à la Facilité – Approchez positivement l’expérience Client et Collaborateur
