A partir du 25 mai 2018, toutes les entreprises gérant et collectant des données sur les personnes devront respecter chacune des obligations du Règlement européen pour la protection des données, le RGPD. Toutes les entreprises sont donc concernées par ce règlement que vous fassiez de l'outbound ou de l'inbound marketing... Le règlement prévoit également de lourdes sanctions en cas de violation de clauses : votre entreprise est-elle prête ?

New Call-to-action

1-Qu’est-ce que le RGPD ?

Le Règlement général pour la protection des données – RGPD - a été adopté par le Parlement européen le 4 avril 2016. En anglais Il est le GDPR pour « General Data Privacy Regulation ». Il vise à protéger toutes les données à caractère personnel des individus au sein de l’Union Européenne à travers trois objectifs ambitieux et précis :

  • L’uniformisation européenne de la règlementation sur la protection des données
  • La responsabilisation des entreprises
  • Le renforcement du droit des personnes

RGPD-se-conformer-objectifs.jpg

Le règlement n’a besoin d’aucune transposition légale en fonction du pays de l’entreprise : son application concerne directement tous les pays européens, à partir d’un même texte. L’intérêt majeur de cette uniformisation à échelle européenne est la simplification des mesures, centralisées vers un interlocuteur unique. Les entreprises pourront s’adresser directement à l’autorité de protection des données pour l’Etat membre dans lequel se situe l’établissement principal.

La simplification des formalités pour les entreprises doit aussi permettre de les responsabiliser dans le traitement et la gestion des données. Les rôles, les responsabilités, les fonctions sont réparties et précisées, avec un ensemble de points à suivre : chaque entreprise doit mettre en place une politique de protection des données personnelles, et s’assurer qu’à chaque étape de la gestion des données, le RGPD est respecté.

De nouveaux droits sont introduits, comme le droit à la portabilité, qui permet aux personnes de récupérer les données fournies, pour un contrôle total de ses propres de données. On peut citer aussi le droit à réparation des dommages matériels et moraux, des droits spécifiques pour les enfants et le traitement de leurs données, des droits aux recours collectifs.

2 - Le RGPD, pour qui ?

Le RGPD est applicable sur toutes les données à caractère personnel de chacun des citoyens et résidents européens, soit « toute information se rapportant à une personne physique identifiée ou identifiable » selon la définition du RGPD. Il permet même de faire valoir ses droits face à une entreprise non européenne.

Dès lors qu’une entreprise européenne traite des données personnelles – noms, e-mails, numéro de téléphone… elle est concernée. Collecte, enregistrement, conservation, classement, utilisation, diffusion… le RGPD s’applique aux entreprises privées comme publiques des 28 Etats-membres de l’Union européenne, ou pour être plus précis :

  • Aux entreprises proposant des biens et des services sur le marché européen
  • Aux entreprises collectant des données à caractère personnel sur les résidents de l’UE
  • Aux entreprises non implantées dans l’UE, dès qu’elles collectent et traitent de données personnelles appartenant à un résident de l’Union européenne.

3- Etre conforme au règlement sur la protection des données : les 5 règles à respecter

Avez-vous préparé votre entreprise aux nouvelles normes de protection des données ? Faisons le point sur les 5 règles majeures à respecter.

  • La protection réelle des données, le principe du Privacy by design
  • Le consentement du consommateur
  • Le vrai droit à l’oubli ou « droit à l’effacement »
  • L’accès de l’utilisateur à ses données
  • Le délégué à la protection des données – DPO

En amont même de la réalisation du projet, dès les premières étapes de sa conception, la protection des données personnelles devra s’imposer comme une exigence, dans le cahier des charges. C’est le principe du Privacy by design, soit la protection dès la conception du projet, du service, du produit ou du système. Corrélativement, la règle de la sécurité par défaut devra être appliquée : toute entreprise concernée devra disposer d’un système sécurisé.

Il est obligatoire de demander et d’obtenir le consentement du consommateur pour collecter ses données. Il est obligatoire de faire cocher la case, et il est interdit d’utiliser une case – ou autre dispositif - autorisant par défaut la collecte (exemple : case déjà cochée).

Dès lors qu’un individu en fait la demande, tous les acteurs concernés par le RGPD auront un délai de 30 jours pour supprimer ses données.

De la même manière, il est obligatoire pour le responsable des données de notifier ce droit, ainsi que le droit à la limitation dans l’utilisation des données et le droit de rectification des données. L’utilisateur a le droit d’accès permanent, et de contrôle sur ses propres données.

RGPD-se-conformer-DPO.png

Nommé au sein de l’entreprise, le DPO (pour rappel le délégué à la protection des données) doit mettre en œuvre 3 principes :

  1. Privacy by design
  2. le Privacy by default, par lequel le plus haut niveau de protection est assuré
  3. l’Accountability, soit la transparence et la démonstration de sa parfaite conformité devant les autorités.

4 – Les sanctions prévues par le RGPD

Le RGPD prévoit des plafonds beaucoup plus élevés que les sanctions prévues par la CNIL. Elles sont applicables dès le 25 mai 2018.

RGPD-se-conformer-date.jpg

Pour les plus extrêmes, on compte :

  • Jusqu’à 10 millions d’euros ou pour une entreprise 2% du chiffre d'affaires (CA) annuel mondial pour manquement aux principes,
  • Jusqu’à 20 millions d’euros ou 4 % du CA annuel mondial par manquement aux droits des personnes -accès, rectification, opposition, oubli et effacement… -

Si l’on transpose sur la base de ce calcul l’amende de la CNIL sanctionnant Facebook, elle passerait de 150.000 € à 1 milliard d’euros… On comprend mieux que les dirigeants d’entreprise, et plus particulièrement les directeurs marketing se préoccupent de la conformité au RGPD.

Pour toutes les pratiques liées aux données personnelles au sein des entreprises, la mise en application du RGPD représente une vraie révolution : il est donc temps, pour les entreprises, de se préparer dès aujourd'hui et de repenser leurs processus internes.

newsletter-inbound-marketing

Commentaires

Découvrez les autres articles de la même thématique

William Troillard William Troillard

​Top 5 des générateurs de mots-clés pour mieux référencer votre site web

A partir du 25 mai 2018, toutes les entreprises gérant et collectant des données sur les personnes devront respecter chacune des obligations du Règlement européen pour la prot...

Maxime James Maxime James

Quelle stratégie emailing mettre en place en BtoB ?

A partir du 25 mai 2018, toutes les entreprises gérant et collectant des données sur les personnes devront respecter chacune des obligations du Règlement européen pour la prot...

10 019
MARKETEURS ET VOUS ?

Ils reçoivent les notifications du blog chaque jeudi. Rejoignez-les ! Il vous suffit d'entrer votre email ci-dessous pour commencer.