Règlement
RGPD
Règlement RGPD
Data
Depuis l’explosion numérique, l’apparition de nouveaux usages et la croissance des outils digitaux, les données personnelles sont l’or de certains acteurs au risque d’empiéter sur la vie privée des utilisateurs. Un nouveau règlement européen semble alors nécessaire.
Collecter et traiter les données sensibles implique de prendre des mesures techniques pour garantir une utilisation de ces données appropriées et respectueuses de la vie privée des personnes concernées. Le RGPD : défi colossal ou opportunité ?
Le Règlement Général sur la Protection des Données
Le RGPD responsabilise les organismes publics et privés qui traitent les données. Il protège les droits et libertés fondamentaux des personnes, et en particulier leur droit à la protection des données à caractère personnel. La commission nationale de l’informatique et libertés (CNIL) est l’autorité de contrôle chargée de veiller au respect et à l’application du RGPD. Voici les 5 points à retenir de cette loi informatique de plus de 200 pages :
• Droit d’accès : garantir aux personnes physiques l’accès, la rectification, la modification, la restitution et l’effacement de leurs données. Le droit d’accès peut être suivi par le droit d’opposition : chaque usager peut contester l’utilisation des données transmises.
• Devoir d’information : recueillir et prouver le consentement éclairé des individus.
• Devoir de sécurisation : sécurité des données contre les risques de perte, vol ou divulgation.
• Devoir de preuves : documenter les mesures et procédures de protection.
• Devoir d’alertes : notifier la CNIL sous 72h en cas de risque réel d’atteinte au respect de la vie privée.
Ces nouveaux droits et devoirs réjouissent un bon nombre d’européens et de français, soulagés de savoir leurs données personnelles mieux protégées.
1CNIL, 23 mai 2019
L’évolution du projet au fil des années
Pour tenir compte des évolutions technologiques, la commission européenne a dû réviser ce règlement, entré en vigueur en 1995. Le RGPD se renforce alors au fil des années pour protéger les données personnelles des citoyens des états membres de l’Union Européenne.
Ainsi, en 2014, un arrêt de la Cour de justice de l’Union européenne oblige Google à donner satisfaction aux internautes demandant le retrait de leurs données. En 2015, l’Europe interdit aux entreprises américaines l’exportation des données personnelles de citoyens européens.
Le RGPD est finalement voté en mai 2016 et entre en vigueur le 25 mai 2018. Il devient alors le texte de référence de l’Union Européenne au sujet de la protection des informations personnelles.
Les obligations à respecter
Les entreprises doivent opérer plusieurs changements pour respecter au mieux le RGPD,
avec notamment 4 actions à mettre en place :
Écarter les pièges
L’entreprise doit bannir les cases cochées par défaut, le texte doit être clair et précis, le processus de désabonnement doit être simplifié et sans condition.
Informer le client
Il convient d’informer au mieux les utilisateurs de la politique de protection des données, de la durée de conservation des données, de l’existence d’un profilage, de leurs droits fondamentaux et des recours possibles en cas de violation de données.
Démontrer la conformité des données
Il est essentiel de rassurer le client. L’entreprise doit donc montrer qu’elle adhère à des codes de conduite. Elle doit recenser les traitements des données personnelles dans un registre, notifier toute violation de la part des responsables de traitement et/ou des sous-traitants et désigner un DPO (Délégué à la Protection des Données) dans certains cas.
Respecter le droit d’opposition
Il s’agit de mettre en place un consentement révisable et de respecter le droit à l’oubli, c’est à dire l’effacement de leurs données et le droit à la portabilité, soit la possibilité de récupérer une partie de leurs données. L’entreprise doit également accepter toutes les demandes de suspension du traitement des données personnelles.
Toutes les entreprises, organisations et institutions de l’Union Européenne qui disposent de données utilisateurs doivent respecter ces 4 obligations légales pour être en conformité avec la législation.
Pour inciter ces acteurs à appliquer ce nouveau règlement et ainsi faire respecter la protection des données, des sanctions ont été mises en place.
Les sanctions applicables
en cas de non-respect
Les infractions sont sanctionnées graduellement. Si l’entreprise ne change pas suite à un premier avertissement, puis à la suspension temporaire des traitements de données, elle s’expose à :
Des amendes administratives
Proportionnelles aux infractions et à sa taille. Cette amende peut s’élever jusqu’à 4% de son chiffre d’affaires ou jusqu’à 20 millions d’euros dans le cas d’un organisme.
Des condamnations pénales
Dans le cas d’atteinte aux droits des personnes. Ces sanctions peuvent entrainer 5 ans d’emprisonnement et 300 000 € d’amende.
Des dommages et intérêts
Si la personne concernée par le traitement des données non conforme porte plainte.
2CNIL, 23 mai 2019
Au-delà des risques légaux, l’entreprise peut dégrader sa réputation. En effet, si ses clients apprennent qu’elle ne respecte pas le RGPD, cela peut déclencher une crise de confiance, voir un boycott dans le pire des cas. Il n’y a donc pas d’autres choix que se conformer à ces nouvelles obligations.
Pour mieux appréhender le RGPD, la CNIL a proposé aux professionnels une formation en ligne ouverte à tous nommée « L’Atelier RGPD », en mars 2019. Au final, ce MOOC a réuni plus de 35 100 personnes dont 6 900 qui ont obtenu une attestation de réussite2.
La CNIL est aussi là pour rappeler que se conformer au RGPD peut aussi présenter des avantages et déclencher un cercle vertueux. Pour cela, il faut arriver à transformer cette exigence en opportunité, autrement dit, tourner le RGPD à son avantage. Le règlement offre la possibilité de repenser le parcours client.
Les bénéfices à en tirer
La transparence à l’honneur
67% des français attribuent la responsabilité des pertes de données à caractère personnel à l’entreprise, même avant les hackers3. Il est donc temps de protéger les données sensibles et d’améliorer la transparence. Les usagers se sentent souvent piégés par des textes à rallonges, sans clarté. En bannissant les cases cochées par défaut et le désabonnement compliqué, le consommateur entame sereinement cette relation. De plus, la politique de protection des données doit être affichée et la base de données actualisée. Se conformer au RGPD c’est la « preuve » que les données de l’utilisateur sont entre de bonnes mains. La relation de confiance peut démarrer dès lors que le règlement est appliqué. C’est un fait : 77% des français préfèrent acheter à des marques transparentes4.
3Sondage de RSA, France
4IFOP et SendinBlue, 26 mars 2018
Grâce au consentement,
garder les meilleurs clients
Avec la mise en place du consentement révisable, les bases de données sont mieux qualifiées. Le RGPD permet en effet de mettre à jour l’ensemble de ses données consommateurs car toutes les entreprises ont dû vérifier le consentement de leurs clients et exposer en détails leur nouvelle politique de confidentialité.
Vous ne gardez ainsi que les contacts intéressés par votre marque ! Vos campagnes e-mailings seront de ce fait adressées aux personnes les plus impliquées et attachées à votre marque, ce qui peut se traduire par un taux d’ouverture et un taux de clics plus important. Une certaine fidélité se met alors en place et les indicateurs de performance ne peuvent qu’être bons.
Le bilan, 2 ans après l’entrée en vigueur
Si la mise en conformité RGPD date de 2 ans, elle est toujours au centre des préoccupations des entreprises. La commission nationale de l’informatique et liberté publie de nombreux articles pour soutenir les entreprises dans ce grand changement. De leur côté, les usagers prennent de plus en plus conscience de leurs droits et de l’importance de la protection de la vie privée. Ils sont plus au fait des violations, les dénoncent plus facilement et incitent ainsi les entreprises à passer à l’action.
Le RGPD n’a cependant pas mis fin à la méfiance liée au traitement des données personnelles ni à leur utilisation frauduleuse. La CNIL a ainsi reçu plus de 11 900 plaintes en France (+ 30 %) et 144 376 plaintes au niveau européen6 depuis la mise en place du RGPD.
5Numerama, CNIL, mai 2019
6CNIL, 23 mai 2019
Bientôt la fin du marketing intrusif ? Le règlement général sur la protection des données s’ancre peu à peu dans les esprits des entrepreneurs et des dirigeants. Contre toute attente, il peut être un vrai levier de développement pour l’entreprise et fidéliser voire attirer de nouveaux clients. Le RGPD, c’est avant tout l’occasion d’assainir sa stratégie de communication et poursuivre l’aventure avec les prospects, clients ou utilisateurs motivés et consentants.
Au-delà des problématiques de vie privée posées par le traitement des données personnelles, de plus en plus d’organismes soulèvent d’autres dérives liées à une mauvaise gestion de ces données. Certaines données sensibles peuvent en effet entrainer une discrimination à l’embauche ou lors d’un crédit : opinion politique, sensibilité religieuse, appartenance ethnique, situation médicale… Les citoyens et associations sont de plus en plus impliqués dans la protection des données personnelles.
Ce règlement européen va-t-il être la première étape d’une politique mondiale sur la protection des données des utilisateurs ? Il semblerait que les autres pays préfèrent encore le contourner… Par exemple, certains sites internet d’actualité américains bloquent les internautes européens.