Vous n’en avez pas entendu parler ?

La GDPR c’est la General Data Protection Regulation, la nouvelle loi européenne sur la protection des données personnelles. Elle rentre en vigueur le 25 mai 2018 et si vous ne vous y êtes pas préparé, ça risque de faire mal – ou au moins de faire peur.

La GDPR en deux mots

Oublié le système déclaratif auprès de la CNIL qui est la norme depuis une vingtaine d’années.
La nouvelle réglementation responsabilise (principe d’accountability) les entreprises qui collectent et traitent (directement ou via des sous-traitants) les données à caractère personnelles (DCP pour les intimes).
L’objectif c’est avant tout la sécurité des données personnelles et leur traçabilité. Sont également confortés le consentement préalable et le droit à l’oubli pour l’utilisateur tracé. Enfin, la mise en place d’un système de communication adapté en cas de fuite de données.
Ce qui est également intéressant pour cette directive, c’est qu’elle ne s’applique pas seulement aux entreprises résidentes de l’UE. Toutes les entreprises qui collectent et manipulent des données de personnes localisées sur le territoire de l’UE sont concernées… Non non, les US ne sont pas du tout visés !
Si vous voulez tout savoir en détails sur la GDPR, vous trouverez nombre d’articles fournis, comme celui-ci décrivant les notions fondamentales de la GDPR.

OK mais qu’est-ce qui change réellement ?

Cette règlementation ne fait finalement que suivre le tournant vers la data opéré depuis +10 ans, plaçant l’exploitation des données et des comportements utilisateurs au centre du système de valeurs.
Ce qui change c’est la volonté d’établir la sécurité et la traçabilité comme principe de base du système d’information (privacy by design). Le problème c’est surtout la mise en conformité de l’existant et l’identification des risques.
Pour le marketing B2B en France, il devrait y avoir peu d’impact car la réglementation existante impliquait déjà ce formalisme, pour peu que l’on veuille être en conformité avec la CNIL. Sur le sujet B2B, lire cette analyse : pas de big bang pour le marketing B2B.

Et concrètement, on fait comment ?

La CNIL a édité depuis plusieurs mois un guide de mise en conformité en 6 étapes, qui permet d’anticiper la nouvelle loi.
Dans la réalité, cela semble compliqué de se préparer en moins d’un an si aucun travail n’a jamais été fait pour recenser ou optimiser le traitement des données en interne. La recette reste pourtant assez simple quoique chronophage :

 

  • Identifier et cartographier les données et les traitements
  • Lister les sous-traitants des données
  • Segmenter les données par degré de sensibilité (les données des mineurs par exemple)
  • Sécuriser par ordre de priorité, et bien sûr documenter !
  • Anticiper une fuite des données personnelles

 

Changement culturel

Certes, cette évolution réglementaire est assorti d’un volet coercitif qui peut faire peur (jusqu’à 20M€ ou 4% du CA annuel mondial pour une entreprise). Mais il faut plutôt prendre ce texte comme l’opportunité de prendre le tournant de la data (en tout cas de ne pas rater le train).
Centraliser les données personnelles, avoir une structure réfléchie et maîtrisée, optimiser les traitements : ce ne sont que des bonnes pratiques qu’un certain nombre d’acteurs ont déjà mis en application depuis un bon moment…
Et guess what ? Ce sont souvent ceux qui sur-performent sur leur marché.