Le règlement européen « RGPD »

Depuis le 25 mai 2018, les sociétés qui stockent, traitent, analysent, voire transmettent des données personnelles et comportementales doivent se conformer au RGPD – Règlement Général européen consacré à la Protection des Données Personnelles.

Quelle démarche mettre en place pour être en conformité avec ce règlement ? Comment bien évaluer les enjeux et les moyens à mettre en œuvre ? Comment éviter un défaut d’application quant aux obligations à remplir ?

Informez-vous dès à présent et faîtes appel à nos expertises pour agir en conséquence !

Le BtoB : un cas a part dans le RGPD !

Le 30 mars 2018, la CNIL a confirmé que pour les campagnes de communication inter-entreprises (BtoB), le RGDP n’impose pas à l’expéditeur d’avoir le consentement préalable du destinataire à recevoir cette communication.

La collecte et la protection des données personnelles
en BtoB

Prospection commerciale BtoB, les 4 conditions à respecter :

1

Appliquer un opt-out valide sur l’email BtoB pour la prospection via un tiers

2

Interdiction d’acheter des adresses e-mails : de ce fait, vous devez obligatoirement passer par un tiers de confiance pour réaliser vos campagnes de prospection et intégrer les données collectées dans votre base.

3

Adresser une sollicitation commerciale en rapport avec l’activité du destinataire ou de son entreprise. En optimisant votre ciblage (critères de sélection, qualité des données…), vous maximisez l’intérêt que votre interlocuteur portera à votre sollicitation.

4

Faire apparaitre les mentions légales conformes au RGDP, et en particulier celles relatives aux droits du destinataire, et proposer à ce dernier d’agir selon ses choix.

H.A! a mis en œuvre toutes les mesures nécessaires pour se conformer à l’ensemble des dispositions du RGPD.

Le contexte du règlement européen du 27 avril 2016

Le 27 avril 2016, l’Union Européenne a adopté le RGPD, un Règlement spécifiquement consacré à la protection des données personnelles des résidents européens. Ce texte est d’application directe dans tous les pays et vient par conséquent se substituer à la Directive de 1995 ; il remplace très largement la loi n°78-17 du 6 janvier 1978, qui constituait jusqu’à présent le référentiel légal français.

Ce Règlement intègre l’évolution en quelques années de l’économie traditionnelle vers un écosystème digital mondialisé. Dans le domaine du marketing, ce n’est pas une évolution mais une révolution qui a mis la data au cœur de tous les enjeux. En moins de 20 ans, quelques dizaines de start-ups sont devenues des géants de l’internet, sans compter les groupes existants qui ont réalisé leur transformation digitale. Moteurs de recherche, systèmes d’exploitation, commerce en ligne, réseaux sociaux, tourisme, applications ludiques, tous ces métiers s’appuient très largement sur la collecte, l’enrichissement et l’exploitation de la donnée personnelle. Ce texte vise tout particulièrement les métadonnées dont le traitement et les recoupements permettent l’identification de personnes physiques, souvent à leur insu. En Europe, les données personnelles sont considérées comme une émanation de la personnalité, elles doivent donc faire l’objet d’un accord préalable de collecte auprès des individus concernés, de protections spécifiques et de restrictions d’utilisation.

Les principes fondamentaux de la GDPR
– General Data Protection Regulation (ou RGDP chez nous)

Le prérequis du RGPD est que les données personnelles ne peuvent être utilisées qu’avec le consentement des personnes concernées.

Il existe cependant un cas où la collecte de données personnelles à des fins marketing et commerciales peut se concevoir dans la mesure où elle respecte 6 conditions impératives.

Cette exception concerne le cas où « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données personnelles, notamment lorsque la personne concernée est un enfant ».

Les 6 conditions impératives sont :

  • Le principe de loyauté et de transparence
  • Le principe de limitation des finalités
  • Le principe de minimisation
  • Le principe d’exactitude
  • Le principe de limitation de la conservation
  • Le principe d’intégrité et de confidentialité

Quelles sont les mesures à appliquer pour être « GDPR compliant » ?

 

1

Adapter tout le corpus juridique de l’entreprise à ces obligations et notamment actualiser les contrats avec les tiers (fournisseurs, clients, sous-traitants)

2

Mettre en œuvre les process informatiques qui vont protéger et anonymiser les données personnelles stockées ou en circulation dans vos systèmes d’informations

3

Mener les actions de formation auprès des collaborateurs pour les sensibiliser aux bonnes pratiques de la protection de ces données. Cette conduite du changement est un travail de longue haleine car il faudra vous assurer régulièrement du respect des procédures qui auront été définies dans le cadre de la « RGPD compliance ». C’est une vraie évolution des comportements qu’il faut instaurer en interne.

H.A! peut vous accompagner dans cette démarche d’audit et de recommandations, en particulier sur le volet de la conduite du changement.