Suite à la multiplication des cyberattaques et piratages, et les abus du profilage de plus en plus utilisés par les entreprises, une nouvelle réglementation européenne sur la protection des données entre en vigueur le 25 mai 2018 :

le Règlement Général de la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR en anglais).

 

RGPD : Késako ?

Le RGPD est un texte adopté en avril 2016, remplaçant la loi Informatique et libertés de 1978, ayant pour objectif d’uniformiser la réglementation sur toute l’Union Européenne afin de protéger les citoyens européens dans l’usage de leurs données personnelles par les entreprises et organismes.

Cette réglementation s’applique pour toutes les entreprises de l’Union Européenne collectant et traitant des données ainsi que les sous-traitants, prestataires et les entreprises à l’étranger qui effectuent des traitements sur les données des citoyens européens.

 Drapeau Union Européenne RGPD

Les grandes lignes du RGPD :

– Demande de consentement

 « Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant »,
précise le texte (Raison 32 du RGPD).

L’entreprise doit demander le consentement de l’utilisateur de manière claire et sans ambiguïté avant de collecter les données de celui-ci.

– Droit à l’effacement ou Droit à l’oubli (Article 17,EU RGPD)

Toute personne pourra demander la destruction totale de ses données personnelles. L’entreprise aura donc le devoir d’effacer ces données dans les plus brefs délais.

– Droit à la portabilité (Article 20, EU RGPD)

Les personnes concernées pourront à tout moment récupérer leurs données pour un usage personnel ou transférer à un autre responsable de traitement.

– Désignation d’un Data Protection Officer (DPO)

Certaines entreprises devront recourir aux services d’un DPO, Délégué à la Protection des données personnelles. Sont concernés : les organismes publics, les organismes manipulant des données à grande échelle et ceux traitant des données sensibles.

Le DPO doit s’assurer que l’entreprise respecte la législation lors de l’utilisation des données personnelles à des fins internes et commerciales. En plus de la cybersécurité, le DPO doit posséder des compétences en matière juridique, notamment en droit des nouvelles technologies de l’information et de la communication (NTIC).

Il est chargé de superviser la stratégie de protection des données et doit s’assurer de respecter les obligations juridiques.

 

marketing digital

 

Quels changements webmarketing pour les entreprises ?

Toute stratégie webmarketing est amenée à collecter des données de son audience afin de proposer le bon produit, au bon moment et via le bon canal.

Néanmoins, suite à la nouvelle réglementation, les entreprises devront répondre à de nouvelles exigences.

L’utilisation de données obtenues par opt-out et opt-in passif sera désormais interdite. Fini les cases pré-cochées, le consentement devra donc être obtenu uniquement via la méthode opt-in actif (l’utilisateur doit volontairement cocher une case pour indiquer son consentement), et privilégier le consentement en double opt-in pour sécuriser cette procédure et avoir une double confirmation (l’utilisateur clique sur un lien de confirmation reçu par email).

Il en va de même pour l’utilisation des cookies. Ainsi, la simple visite d’un site ne sera plus considérée comme un consentement et les messages tels que « En utilisant ce site, vous acceptez les cookies » avec un simple bouton « ok » ne seront plus suffisants car cela n’offre pas le choix à l’utilisateur (opt-out).

L’entreprise a donc tout intérêt de faire les modifications nécessaires afin de pouvoir être conforme au nouveau règlement.

De plus, l’entreprise doit communiquer de manière transparente avec l’utilisateur afin que celui-ci soit informé clairement pourquoi, comment et où ses données personnelles sont utilisées.

Seules les données jugées pertinentes à la finalité du traitement peuvent être traitées, par exemple si la récolte de données personnelles concerne l’inscription pour une newsletter, l’entreprise ne devrait pas récolter une adresse postale ou une date de naissance, car cela n’est pas jugé comme pertinent ni nécessaire à l’envoi de newsletter.

 

Enjeux et sanctions

Les enjeux face à cette nouvelle réglementation sont donc importants pour les entreprises. La cartographie des données personnelles dans l’entreprise est une étape primordiale puisqu’elle va permettre de recenser les données qu’elle traite, savoir comment celles-ci sont exploitées et comment elles ont été récoltées (consentement ou non). Ainsi, cela facilitera l’accès aux données par les acteurs de l’entreprise et l’extraction des données si besoin. A noter que les données récoltées sans preuve de consentement ne pourront plus être utilisées une fois la mise en vigueur du RGPD.

police justice

Les entreprises ont donc jusqu’au 25 mai pour se mettre en conformité sous peine d’amende pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros.

En cas de piratage, elles devront notifier les incidents et signaler quelles données ont été compromises aux autorités dans un délai de 72 heures.