En 2016, l'Union européenne (UE) a adopté l’ensemble des nouvelles dispositions associées à la protection des données. Le règlement général sur la protection des données (GDPR) s’appliquera à tous les acteurs économiques et sociaux à partir du 25 mai 2018.

Les objectifs du GDPR sont clairement exposés dans le premier article : „ Etablir des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données » et « Protéger les libertés et droits fondamentaux des personnes physiques [..] ».

Les organisations exerçant des activités au sein de l’UE devront obligatoirement se conformer au GDPR, toute infraction entrainera des amendes graduées pouvant aller, pour les plus lourdes, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel global. Les amendes seront également très lourdes pour les entreprises, services ou organismes devant répondre de la violation de données à caractère personnel (comme récemment Talk Talk, qui s’était fait subtiliser plus de 170 000 de ces données privées).

À quoi correspondent les données à caractère personnel ?

En vertu de la nouvelle loi, les données à caractère personnel regroupent toute information concernant une personne identifiée ou identifiable. Il pourra s’agir des noms, des adresses, des numéros de téléphone, des numéros de compte, des adresses électroniques, des adresses IP ou de toute autre information propre à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale d'une personne.

Le nouveau règlement aborde aussi le traitement de ces données. Dans ce contexte, on entend par "traitement" toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel ou sur un ensemble de données à caractère personnel. Il peut s'agir de la collecte, du stockage, de l'extraction, de la consultation, de l'utilisation, de la communication de données par transmission, de la diffusion, voire de l'effacement ou de la destruction.

La définition et les méthodes de traitement de données à caractère personnel du GDPR couvrent tous les cas de figure que des organisations amenées travaillant avec ces données peuvent rencontrer. Un site où un nom d'utilisateur et une adresse électronique sont demandés et devront être conforme au GDPR, tout comme un site de vente en ligne où l’on peut passer des commandes, suivre la livraison et renseigner des moyens de paiements.

Les détails de la collecte des données

Le GDPR énonce une série de principes auxquels toute organisation utilisant des données à caractère personnel doit adhérer :

• Les données doivent être traitées de manière licite, loyale et transparente.
• Les données doivent être collectées à des fins précises, explicites et légitimes.
• La collecte des données doit être adéquate, pertinente et limitée à ce qui est nécessaire.
• Les données doivent être exactes et, si nécessaire, mises à jour.
• Les données ne doivent pas être conservées plus longtemps que nécessaire.
• Les données doivent être traitées d'une manière appropriée pour assurer la sécurité

Logiques et compréhensibles, ces principes façonnent en profondeur le travail des organisations traitant ce type de données. La nouvelle réglementation s'appliquera à tous ceux qui collectent des adresses électroniques ou d'autres informations dans le cadre de mise en place d’actions, de suivis et d’optimisations de stratégie marketing, quelle que soit le volume des données recueillies.

Quelles conséquences pour les spécialistes du marketing ?

J'aimerais porter une attention particulière sur l’Art.5, Paragraphe 1.a du règlement abordant les principes relatifs au traitement des données à caractère personnel. Il indique qu’elles doivent être " traitées de manière licite au regard de la personne concernée (licéité, loyauté, transparence) ».

La licéité du traitement est garantie si parmi les différentes conditions listées dans l’Art.6 Paragraphe 1 , au moins une est remplie, notamment celle indiquant que «la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; ».

Ce principe induit que chaque personne renseignant des données à caractère personnel doit donner son consentement explicite à leur utilisation. Les différentes conditions applicables au consentement se trouvent dans l’article 7. Nous pouvons les résumer ainsi :

• L’organisme traitant les données doit pouvoir démontrer que le consentement a été donné
• La question sur le consentement doit être clair, distinguable des autres questions, compréhensible, facilement accessible et non contraignante
• Le consentement doit pouvoir être retiré en tout temps et aussi simplement qu’il a été donné
• Vérifier si l’exécution d’un contrat est subordonnée ou non au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

Il est souvent demandé aux utilisateurs de cocher des cases pour indiquer leur consentement. Il arrive parfois que le libellé de ces cases ne soit pas clair ou que les utilisateurs doivent choisir d’accepter ou refuser le traitement pour accéder au service. En vertu de la nouvelle réglementation, le libellé doit être clair : les utilisateurs doivent explicitement accepter le traitement des données plutôt que de seulement le refuser.

Il est important de noter que le GDPR concerne toutes les données à caractère personnel des citoyens de l'UE, quel que soit le pays ou le continent où se trouve l’entreprise les collectant ou les traitant. Il ne reste que quelques mois aux entreprises pour s’assurer d’être en conformité avec les GDPR qui entrera en vigueur le 25 mai 2018 afin d’éviter de lourdes amendes.

Dû au fait de l’activité de votre entreprise, vous n'êtes pas sûr de devoir vous soumettre à cette législation, vous en assurer reste préférable, ce doute pouvant devenir très couteux à terme. L’adage « mieux vaut prévenir que guérir » prend ici tout son sens.

N’hésitez pas à contacter FFW si vous avez des questions concernant la sécurisation et le stockage des données de vos utilisateurs ou le GDPR en général.