Le RGPD 2018 : tout comprendre, simplement !

RGPD 2018 cover

Si vous ne vivez pas dans une grotte vous avez FORCÉMENT entendu parler du RGPD 2018… Sur les réseaux, dans les journaux, à la télévision voire même dans le métro, le terme RGPD (ou GDPR en anglais) est sur toutes les lèvres ! Un acronyme bien compliqué, pour une nouvelle règlementation qui ne l’est pas moins.

Cet article a été écrit en partenariat avec ORSON, création de site internet.
Un très grand merci à Frédéric Abella pour sa relecture amicale et éclairée.

 

EDIT du 16 mai 2018 :
La CNIL a publié un guide spécial à l’usage des TPE/PME. N’hésitez pas à le consulter pour plus de détails pratiques.

 

Le « RGPD 2018 » signifie Règlement Général sur la Protection des Données. C’est une loi européenne qui entrera en vigueur en France le 25 Mai 2018.

Disons qu’en gros, vous avez compris que ça concerne la façon dont les entreprises gèrent la protection des données personnelles des citoyens. Ok, mais en pratique, tout ceci reste encore bien nébuleux pour vous.

Le RGPD 2018 c’est quoi, et qui est concerné ? Quels sont les enjeux ? Comment ça marche ? Pourquoi ça fait autant le buzz ? Et surtout pour moi, petite ou grosse entreprise, en pratique ça va changer quoi à ma manière de travailler ?

Essayons donc de faire le point simplement sur le sujet.

 

 

Un peu d’histoire

Depuis plus de 40 ans, la France s’attache à protéger les données à caractère personnel collectées par des systèmes informatiques toujours plus puissants.

Nous sommes l’un des tous premiers pays à avoir créé une législation pour encadrer ces pratiques, en adoptant en 1978 la loi “Informatique et Liberté” que tout le monde connaît. Cette loi a institué un organisme régulateur : la CNIL (Commission Nationale de l’Informatique et des Libertés)

Au fil des années cette loi a évolué.

Notamment en 2004, lors de la transposition en France d’une directive européenne datant de… 1995. Les obligations déclaratives des détenteurs de fichiers ont été allégées, les pouvoirs de la CNIL ont été étendus sur les contrôles sur place et les sanctions. Les droits des personnes ont aussi été renforcés. Sauf qu’au niveau de l’Europe, chaque pays appliquait la directive au regard de son droit national. Compliqué pour les échanges…

Du coup en janvier 2012, la Commission Européenne a proposé un projet de règlement réformant et harmonisant à l’échelle de l’Europe le cadre de la protection des données. Je vous passe les années de travaux et de mise au point du projet pour que tout le monde se mette d’accord…

Bref, la directive finale a été adoptée le 14 avril 2016 par le Parlement Européen, et toutes ses dispositions seront directement applicables le 25 mai 2018 par les 28 états membres.

 

Le RGPD 2018 a pour vocation prioritaire de :

  • redonner aux citoyens européens le contrôle sur leurs données personnelles
  • les aider à mieux faire respecter leurs droits vis à vis de ceux qui utilisent cette data

Pour les fortiches en droit qui souhaiteraient plus de détails (et qui aiment lire des trucs écrits en tout petit) voici le texte intégral de la Directive sur le RGPD 2018.

 

Le Big Data aujourd’hui

Quelques chiffres

D’après une étude menée en 2016 par IDC (International Data Corporation – leader mondial de l’analyse prédictive de données), les dépenses mondiales dans le marché de l’analyse de la data (le fameux « Big Data ») dépasseront les 200 milliards de dollars en 2020.

A l’heure actuelle, le volume mondial des données double tous les 3 ans. En 2025 il devrait être multiplié par 8, selon le McKinsey Global Institute.

Le Big Data se définit aujourd’hui au travers de 5 critères (on les appelle les « 5V ») :

  • le volume des données traitées (dont les limites ne sont plus vraiment identifiées…)
  • la vitesse d’actualisation et d’analyse (quasiment en temps réel actuellement)
  • la variété des données (textes, images, contenu multimédia…)
  • également la véracité des données (les plus petites erreurs peuvent conduire à de gros écarts à la fin des traitements)
  • et surtout le plus important : la valeur de ces données (quelle est la plus-value qu’on va ensuite pouvoir en tirer ?)

En outre, d’ici 5 à 10 ans, 50% de ces données proviendront des objets connectés (au  nombre de 20,4 milliards dans le monde en 2020 selon la dernière étude du cabinet Gartner). Ce qu’on appelle l’Internet des Données (ou IoT – Internet of Things) pour désigner l’extension de l’internet aux choses du monde physique.

RGPD 2018 iot

 

Les enjeux

Vous enfilez une montre connectée pour suivre votre jogging, ou vous installez une caméra connectée dans la chambre de vos enfants. Êtes-vous pleinement conscient.e de l’ampleur des données que vous envoyez sur Internet ? Savez-vous vraiment à qui vous les donnez ? Sont-elles toutes indispensables ? A quoi vont-elles servir ?

Des questions angoissantes quand on commence à se les poser… Mais que beaucoup parmi nous n’ont même pas (plus) l’idée de se poser !

Pourtant seuls 10% des consommateurs dans le monde aujourd’hui estiment avoir réellement le contrôle de l’utilisation de leurs données personnelles. Et 90% des Français se disent préoccupés par la protection de leurs données sur Internet.

Or nos données personnelles, c’est un prolongement de nous-mêmes. Et pas seulement une « data » commercialisable, modifiable et revendable…

Autant dire que les enjeux sont colossaux ! Sur le plan économique évidemment, mais aussi sur un double plan :

  • social : pour préserver les droits et libertés individuelles des citoyens
  • sociétal : pour limiter les collectes inutiles pour économiser sur les ressources de stockage, particulièrement énergivores

Par ailleurs, dans certains secteurs, tels que le médical par exemple, la data peut sauver des vies… L’arbitrage entre le nécessaire et l’inutile sera donc matière à vaste réflexion.

 

Les données concernées

Une donnée à caractère personnel est une “donnée permettant d’identifier directement ou indirectement un citoyen européen.” Il existe deux natures de données : Les données non-sensibles et les données sensibles.

Les données non-sensibles englobent toutes les données comme l’âge, le sexe, le prénom et le nom d’un individu. Les données sensibles sont celles qui sont relatives à la santé, la génétique, la vie sexuelle ou encore les origines raciales ou ethniques, les opinions politiques, philosophiques, d’un individu.

Mais la notion de « donnée » recouvre aussi vos emails, adresses personnelles et professionnelles, numéros de téléphone, d’identification, de comptes, votre position GPS, l’IP de vos ordinateurs, etc.

Or les scandales sur les fuites de données s’enchaînent depuis quelques années… Linkedin en 2012 et 2016, Ebay et Adobe en 2013 et 2014. Mais aussi Wiko, SnapChat, Über se sont fait épingler…

Qui plus est, on parle moins ici de cybersécurité (qui représente pourtant aussi une réelle menace !) que de négligence de la part des opérateurs. Voire parfois peut-être complaisance ??

Même le géant Facebook a plongé dans la tempête en mars 2018 avec l’affaire Cambridge Analytica. A tel point que le Sénat américain commence sérieusement à se demander s’il ne serait pas bon de réguler ce type de plate-forme… Enquête en cours à l’heure où j’écris ces lignes.

 

La formule commence à être entendue un peu partout : la donnée sera le pétrole du 21ème siècle.

Et le RGPD 2018 marque bien la volonté de renforcer le droit fondamental à la protection des données personnelles et de la vie privée de près de 750 millions d’Européens.

 

Le RGPD 2018 en pratique

Prenons un exemple :

Vous allez tous les jours acheter votre baguette chez le boulanger du coin. Nul doute que très vite, il.elle vous salue gentiment, voire vous appelle par votre nom/prénom. Pour peu que vous papotiez un minimum pendant qu’on emballe votre achat, votre interlocut.eur.rice saura très vite plein de choses sur vous… Où vous habitez, les prénoms de vos enfants, vos goûts, quand et où vous allez partir en vacances, etc. Et vous trouvez tout à fait normal d’avoir de bonnes relations avec un.e commerçant.e. C’est humain non ?

En attendant, vous avez fourni à un tiers marchand, consciemment ou non, un bon paquet de données personnelles…

Est-ce que mon boulanger doit se soumettre au RGPD 2018 ? Oui et non.

Tant que toutes ces informations restent dans sa petite tête et servent seulement à la bonne relation entre vous et lui, non.

A partir du moment où il.elle va consigner scrupuleusement ces données sur vous, que ce soit sur un petit carnet ou un tableau Excel, et/ou qu’il.elle va s’en servir, par exemple pour une campagne de promotion conjointe dans votre ville avec son pote le boucher, oui.

 

 

L’esprit de la loi

Certes, le texte peut paraître obscur, et sa mise en application assez complexe.

Mais ce qu’il faut bien comprendre, c’est que le RGPD 2018 est avant tout construit sur la base de deux notions essentielles : la confiance et la facilité.

La facilité n’est plus désormais un choix ou une option pour la marque ou l’entreprise, elle est devenue incontournable dans cette nouvelle règlementation. Et l’utilisateur doit pouvoir être à même de juger du bien-fondé de son choix quand il communique ses informations personnelles.

Pour être en conformité, il faut que la facilité d’accès, de compréhension et d’interaction soit totale pour le consommateur. A l’article 12 de la loi il est écrit « … les informations [communiquées aux clients] doivent être données d’une façon concise, compréhensible et aisément accessible, en des termes clairs et simples… »

Conséquence immédiate donc, toute forme de profilage devra désormais se faire avec le consentement direct et explicite de l’utilisateur. Et le marketing prédictif – qui s’appuie sur des données comportementales – devra s’adapter à ce nouvel environnement.

 

Qui est concerné ?

En théorie, TOUS les organismes, entreprises, structures diverses, quelle que soit leur taille ou le secteur dans lequel ils opèrent (B2B comme B2C).

Le RGPD 2018 devra être appliqué à partir du moment où la structure traite et/ou stocke des données personnelles de citoyens européens. Et ceci, même si l’entreprise en elle-même n’est pas basée en Europe. Les acteurs sociaux tels que les associations, les syndicats, les collectivités locales et les administrations sont eux aussi concernés, ainsi que les individus.

Qui plus est, vous devez également vous assurer que vos fournisseurs ou sous-traitants sont eux-mêmes en conformité avec la loi. En particulier vis-à-vis des données de VOS clients que vous pourriez être amenés à leur fournir.

D’après une étude menée en 2017 par Sitecore (spécialiste des logiciels de gestion de l’expérience client) en partenariat avec le britannique Vanson Bourne, les marques déclarent collecter en moyenne 8 types de données différentes concernant leurs consommateurs…

Pourtant la plupart d’entre elles ne les utilisent pas – ou mal – pour proposer une expérience client personnalisée. En France, on atteint même le chiffre de 9, qu’il s’agisse de détails transactionnels ou de tendances comportementales. Quel intérêt alors ? Se dire « ça pourra servir un jour » ? Le nouveau règlement veut empêcher de telles pratiques.

Voir l’infographie réalisée à partir de cette étude dans cet article.

 

A bien distinguer également la notion d’opt-in et d’opt-out : (source : Médiathèque CNIL)

 

RGPD 2018 Cnil opt-in opt-out

 

Les exceptions

Le RGPD 2018 prévoit 5 cadres légaux pour lesquels le traitement des données personnelles reste licite. Et ceci, même sans consentement éclairé de l’individu. C’est le cas quand le traitement :

  • découle d’une obligation légale
  • est nécessaire à la sauvegarde des intérêts vitaux de la personne
  • permet l’exécution d’un contrat accepté par la personne
  • est nécessaire à l’exécution d’une mission d’intérêt public
  • s’appuie sur tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant

 

Les nouveaux droits des citoyens

Le RGPD 2018 garantit aux citoyens européens les droits suivants :

  • le consentement : donné de manière explicite à l’utilisation de ses données (et donc le refus possible)
  • l’accès (à) et la rectification des données. Et la réparation en cas de dommage matériel ou moral
  • la portabilité : tout individu peut récupérer ses données personnelles sous un format lisible et structuré, et/ou les transférer à un autre fournisseur
  • l’oubli : il offre la possibilité aux utilisateurs de disposer quand ils le souhaitent de toutes les données collectées par l’entreprise à leur sujet. Ils peuvent ainsi demander leur effacement.

Encore une fois on retrouve là tout l’esprit de la loi : l’individu doit rester maître de ses données.

S’il décide de les confier en toute clarté à une entreprise, c’est parce qu’il a confiance en elle. Et qu’il estime qu’elle saura en faire bon usage, notamment en les protégeant de façon fiable et durable. C’est vraiment l’opportunité pour une marque d’instaurer – ou de retrouver – une vraie relation de qualité avec son client.

 

RGPD 2018 marque & client

 

Le vocabulaire du RGPD 2018

Traitement des données : toute action impliquant la collecte, l’exploitation, le croisement, le stockage ou le transfert des données.

Consentement : déclaration positive, univoque et claire d’une personne autorisant l’entreprise à collecter, enregistrer, voire diffuser ou transférer ses données à caractère personnel.

Principe de transparence : nécessité d’informer en des termes clairs et explicites les personnes sur la collecte de leurs données et la transmission de celles-ci à des tiers.

Cryptage : le cryptage vise à rendre impossible la ré-identification des données personnelles.

On utilisera la technique de l’anonymisation (coupure du lien entre la donnée et la personne) ou bien celle de la pseudonymisation (le nom de l’individu auquel se rattachent les données est remplacé par un pseudonyme). Pas obligatoire, mais fortement conseillé.

Profilage : traitement automatisé consistant à utiliser les données d’une personne afin de prédire ses intérêts, son comportement, ses déplacements, etc.

 

Les étapes pour se mettre en conformité

En pratique, que faut-il faire pour se conformer à la nouvelle règlementation ?

Sur le site de la CNIL vous trouverez le détail des 6 étapes préconisées pour se préparer au RGPD 2018. Tout y est très bien expliqué comme vous pouvez le voir dans l’image ci-dessous, étape par étape. Vous y trouverez aussi d’autres ressources et explications, et des modèles à télécharger.

 

RGPD 2018 infographie CNIL

 

 

Je ne vais pas faire de copié/collé de ce que préconise la CNIL, mais plutôt vous en proposer un résumé synthétique et pratique en 4 étapes. Pour cela, je me suis inspirée de cet excellent livre blanc édité par Extens Consulting, experts de la Relation Client :

« Le RGPD – De la donnée personnelle à la donnée relationnelle » (à télécharger sur leur site)

 

1. Responsabilisation et co-responsabilisation

Nommer un DPD/DPO

Tout organisme public et entreprise de plus de 250 salariés, traitant de données sensibles et/ou en masse devra nommer un Délégué à la Protection des Données (Data Privacy Officer). Son rôle, entre les services juridiques et informatiques, sera de s’assurer du bon respect de la règlementation au sein de l’organisation.

Tenir un registre

Pour recenser, qualifier et démontrer la finalité de tous les traitements de données réalisés, et en définir les mécanismes de sécurité.

S’assurer que les sous-traitants sont en règle

Le RGPD 2018 étend les obligations de l’entreprise à tous ses sous-traitants (hébergeurs, fournisseurs, agences etc). Quelle que soit leur implantation géographique, ils devront aussi pouvoir démontrer leur conformité par le biais du même type de registre.

 

2. Sécurisation des données

Effectuer un PIA (Privacy Impact Assessment)

Le PIA est une analyse d’impact du traitement des données [recueillies par l’entreprise] sur la vie privée de ses clients. Il implique de mettre en place un dispositif sécuritaire adapté en cas de faille. Il doit normalement se faire avant tout traitement de données.

Respecter une culture éthique

Spécifiquement celle qui est définie par le RGPD 2018, à savoir respecter :

  • le Privacy by Default qui limite au strict minimum nécessaire la quantité et la durée d’archivage des données. L’utilisateur doit être averti en cas de profilage, et pouvoir s’y soustraire à tout moment.
  • le Privacy by Design qui oblige les entreprises à garantir un niveau de sécurité maximum autour des échanges de données dès la conception d’un nouveau produit ou service. Ceci grâce aux techniques évoquées plus haut (anonymisation ou pseudonymisation)

En cas de violation des données, l’autorité compétente (la CNIL en France) devra en être avertie dans un délai de 72 heures, avec le plan d’action pour y remédier associé.

 

3. Compréhension et accès aux données

Rendre compréhensible

Toute information relative au traitement des données devra être fournie aux personnes concernées par ces traitement de la manière la plus simple et claire possible.

Recueillir des consentements

Les citoyens européens devront exprimer librement et de manière expresse leur consentement. Finis donc les systèmes d’opt-in ou opt-out passifs. Pour les mineurs de moins de 16 ans le consentement devra être reccueilli auprès du représentant légal.

Faciliter l’accès aux données

Les consommateurs devront pouvoir accéder facilement à leurs données par le biais de tableaux et fiches individuelles. Ils pourront modifier, supprimer ou transférer leurs données. L’idée est toujours de respecter le principe de transparence.

 

4. Formation en interne

Former les collaborateurs

Il est important d’aller au-delà de la seule sécurisation de l’environnement informatique. Tous les collaborateurs doivent être formés au nouveau cadre réglementaire, aux procédures et aux outils développés pour sécuriser les données.

 

Et en cas de non-conformité ?

Les sanctions prévues au texte sont lourdes. Selon l’infraction, de 10 à 20 millions d’euros, ou bien de 2 à 4% du chiffre d’affaires mondial de la structure sanctionnée. Le montant le plus élevé des deux sera retenu.

Sans compter qu’en terme de réputation, l’impact risque d’être énorme pour la marque concernée.

Il est donc préférable de prendre toutes les mesures nécessaire au strict respect du RGPD 2018 AVANT le 25 mai. Aucun délai supplémentaire ni aucune période de transition ne seront accordés au-delà de cette date.

 

Et pour les « petits » ça se passe comment ?

Il est vrai que jusqu’ici, les directives publiées par la CNIL pour la mise en conformité RGPD 2018 semblent plutôt réservées à de grosses structures. On attend encore des réponses pratiques plus adaptées aux indépendants, TPE et PME.

Quoi qu’il en soit, on peut raisonnablement supposer que vous ne serez pas inquiété en tant que « petit » si vous vous conformez à l’esprit de la loi. L’esprit de la loi est de ne pas vendre de données personnelles et/ou ne pas faire de marketing direct grâce à ces données personnelles… sans le consentement éclairé du propriétaire des données.

Donc terminées les pratiques de collecte ou de traitement sauvages et déloyales, et ce dans toute l’Europe. Plus d’achat ou de récupération illicite de fichiers tiers, plus de spamming débridé (si jamais cela faisait partie de vos pratiques #shameonyou)

 

RGDP 2018 pratiques email

 

Quelques conseils pratiques :

MENTIONS LEGALES : modifiez vos mentions légales en précisant la nature des données collectées ainsi que la finalité de cette collecte.

➡️ Vous pourriez créer une page séparée « Vie Privée » ou « Politique de confidentialité » qui regroupe tout ce qui concerne le traitement des données personnelles.

FORMULAIRES : retravaillez vos formulaires de recueil d’adresses (ex : inscription à la newsletter, téléchargements divers, etc).

➡️ Ils devront clairement mentionner le but de cette récolte de données, et demander à l’internaute son consentement. Les modèles de la CNIL sont très bien faits, à adapter à vos besoins.

COOKIES : veillez à bien spécifier dans le bandeau prévu à cet effet l’usage que vous en faites et l’intérêt pour l’utilisateur.

➡️ Pensez à ajouter un bouton « En savoir plus » qui mène à une page explicative (soit Mentions Légales soit Vie Privée comme on vient de le voir)

➡️ En théorie vous devriez même lui donner la possibilité de NE PAS accepter le dépôt de cookies, en spécifiant pour chaque type de cookies s’il accepte ou pas. C’est là que ça devient compliqué et très pointu, pour un « petit » qui ne sait pas coder. Attendons de voir ce qui se passe…

DATE : pour chaque nouveau contact dans votre mailing list vous devrez être capable de donner la date à laquelle vous avez récupéré l’information, ainsi que la provenance de cette dernière.

➡️ Vous devrez renouveler le consentement de l’utilisateur au bout de 13 mois au travers de vos cookies. De plus, si un contact dans vos listes a plus de 3 ans d’ancienneté, vous devrez vous en séparer s’il n’a pas été actif au cours de cette période.

Mon conseil : même si vous êtes « petit » vous devrez tenir le registre prévu par le RGPD 2018. Un Excel proprement fait fera le job.

 

Le futur de votre email marketing

Oh oui, il va carrément falloir « se sortir les doigts » comme on dit. Sûrement déjà commencer par repenser la manière dont vous organisez votre prospection.

Par exemple, travailler le networking et les réseaux sociaux me paraissent être de bonnes pistes. L’idéal serait d’incorporer dans vos listes uniquement des adresses de gens avec qui vous avez déjà eu un véritable échange, physique ou commercial.

Votre objectif doit être d’avoir une mailing list propre et engagée, composée uniquement de personnes ayant déjà montré un intérêt pour vous, vos produits ou vos services.

Essayez de constituer une vraie communauté d’intention à laquelle vous écrirez régulièrement et de manière efficace. En retravaillant encore et encore vos messages. Et n’hésitez pas (et comme l’impose le RGPD 2018) à supprimer les adresses n’ayant pas réagi depuis plusieurs campagnes.

Vous pouvez aussi envoyer une lettre d’information à tous vos contacts en leur demandant carrément si oui ou non ils souhaitent rester dans votre base. Gonflé ? Pas tant que ça… Faites le ménage, vous verrez bien ainsi QUI s’intéresse vraiment à ce que vous proposez.

Dites-vous que tout comme dans la vie, on ne peut pas plaire à tout le monde. Soyez séduisant.e, vous améliorerez d’autant vos taux de délivrabilité et d’ouverture !

 

 

A relire au besoin sur le blog :

10 conseils de base en email marketing (cet article date de septembre 2014 mais tout y est encore d’actualité !)

Marketing B2B : 6 conseils pour être efficace

 

Conclusion

Le RGPD 2018 a été adopté par l’Europe il y a 2 ans déjà, rappelons-le. Alors je ne sais pas comment ça se passe chez nos voisins européens, mais chez nous en France, forcément tout le monde s’affole au dernier moment… Et par manque de connaissance, beaucoup le considèrent comme un énième diktat imposé par Bruxelles. Un truc chiant pénible et compliqué quoi.

Je suis persuadée pourtant qu’il ne faut pas le considérer comme un règlement supplémentaire ou un nouveau centre de coûts, mais comme une véritable opportunité.

En toute logique, cette loi devrait être une bénédiction pour tout le monde !

Pour le citoyen (et ce y compris le salarié au sein de son organisation) qui retrouve la maîtrise complète de ses données personnelles. Mais aussi et surtout pour la marque qui devra désormais mériter la confiance de son client.

 

Pour moi, ce sont bien là les nouveaux challenges imposés aux marques par ce règlement. Elles devront désormais :

  • mener une vraie réflexion sur le traitement de la donnée
  • s’orienter vers une nouvelle expérience client, respectueuse et engagée
  • transformer un process de vente ordinaire en vrai parcours client personnalisé
  • créer de la valeur grâce à des échanges sincères et honnêtes avec le client

 

Dans cette nouvelle culture éthique de l’entreprise imaginée par l’Europe, le RGPD 2018 constituera à n’en pas douter un levier marketing stratégique. Et donnera un avantage concurrentiel énorme à qui l’appliquera avec intelligence.

En passant ainsi d’une économie de l’usage à une économie de la confiance, la marque pourra délivrer des expériences personnalisées et contextualisées. Et redonner à la data sa vraie richesse : celle de la relation librement consentie.

RGPD 2018 se dire oui

 

L’une de nos expertises métier est de piloter vos campagnes d’email. Contactez-moi !

A très vite !


Valérie Bernard

Fondatrice de Gimme Social Web

 

Vous avez trouvé cet article intéressant ?

Inscrivez-vous à ma newsletter et recevez régulièrement des conseils GRATUITS de ce genre pour améliorer votre visibilité sur le web

Vous aimerez lire aussi...

Trackback URL: http://www.gimmesocialweb.fr/rgpd-2018-tout-comprendre-simplement/trackback/

Leave a comment:

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *